本发明专利技术涉及一种电子取证系统,包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库。本发明专利技术还公开了一种电子取证方法,包括克隆取证系统、分析取证系统、数据采集、数据分析等过程。本发明专利技术采用硬盘备份以及安全的取证环境进行数据采集、分析,具有安全、可靠的特点。
An electronic forensics system and method
【技术实现步骤摘要】
一种电子取证系统及方法
本专利技术涉及一种电子取证系统及方法,特别涉及一种改进的电子取证系统及方法,属于电子取证领域。
技术介绍
电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程,具体是指运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻、提取罪犯证据。现阶段犯罪手段的数字化日益显现,搜集有效的电子证据成为破案的关键。现有电子取证方法在取证环境和取证的可靠性方面均存在问题。
技术实现思路
本专利技术电子取证系统及方法公开了新的方案,采用硬盘备份以及安全的取证环境进行数据采集、分析,解决了现有方案存在的取证环境以及取证可靠性方面的问题。本专利技术电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘,硬盘备份端口用于传输复制取证硬盘数据,备份硬盘用于存储取证硬盘数据。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,取证操作系统用于启动备份硬盘,备份硬盘分析模块用于分析备份硬盘上系统信息,备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,取证插件数据库用于存储、管理取证插件信息,证据提取模块用于提取证据信息,取证报告数据库用于存储、管理取证报告。本专利技术还公开了一种电子取证方法,电子取证方法基于电子取证系统,电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库。方法包括过程:系统通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息,取证操作系统根据备份硬盘系统信息从备份硬盘驱动数据库调取对应的设备驱动后加载,取证操作系统根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告存入取证报告数据库。进一步,本方案方法的取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。进一步,本方案方法的取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。进一步,本方案方法的取证模块还包括数字签名模块,数字签名模块对取证报告进行数字签名。本专利技术电子取证系统及方法采用硬盘备份以及安全的取证环境进行数据采集、分析,具有安全、可靠的特点。附图说明图1是电子取证系统的原理图。具体实施方式如图1所示,本专利技术电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘,硬盘备份端口用于传输复制取证硬盘数据,备份硬盘用于存储取证硬盘数据。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,取证操作系统用于启动备份硬盘,备份硬盘分析模块用于分析备份硬盘上系统信息,备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,取证插件数据库用于存储、管理取证插件信息,证据提取模块用于提取证据信息,取证报告数据库用于存储、管理取证报告。上述方案采用硬盘备份以及安全的取证环境进行数据采集、分析,利用安全的取证操作系统启动取证硬盘系统,提高了数据取证的安全性、可靠性。本专利技术还公开了一种电子取证方法,电子取证方法基于电子取证系统,电子取证系统包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库。方法包括过程:系统通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息,取证操作系统根据备份硬盘系统信息从备份硬盘驱动数据库调取对应的设备驱动后加载,取证操作系统根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告存入取证报告数据库。上述方案采用硬盘备份以及安全的取证环境进行数据采集、分析,利用安全的取证操作系统启动取证硬盘系统,在安全的取证操作系统中加载各种驱动,并且根据系统分析结果选择取证插件进行取证分析,提高了取证过程以及数据的安全性和可靠性。为了挽救因删除、更新等操作而丢失的有效数据,还原原始证据数据,本方案方法的取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。恢复的数据中可能存在重要的证据信息,对取证工作具有决定性意义。为了破除取证系统内文件、数据的加密保护,采集更加有效的证据数据,本方案方法的取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。解密的内容可能涉及某些重要的证据信息,也可能给取证工作带来颠覆性的突破。为了避免取证数据遭到篡改,提高可靠性,本方案方法的取证模块还包括数字签名模块,数字签名模块对取证报告进行数字签名。本方案公开的系统、装置、模块等除有特别说明外,均可以采用本领域公知的通用、惯用的方案实现,涉及到算法的可以采用公知的通用、惯用算法,也可以根据具体情况进行适当修改。本方案电子取证系统及方法并不限于具体实施方式中公开的内容,实施例中出现的技术方案可以基于本领域技术人员的理解而延伸,本领域技术人员根据本方案结合公知常识作出的简单替换方案也属于本方案的范围。本文档来自技高网...
【技术保护点】
1.一种电子取证系统,其特征是包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述硬盘备份端口用于传输复制取证硬盘数据,所述备份硬盘用于存储取证硬盘数据,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,所述取证操作系统用于启动备份硬盘,所述备份硬盘分析模块用于分析备份硬盘上系统信息,所述备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,所述取证插件数据库用于存储、管理取证插件信息,所述证据提取模块用于提取证据信息,所述取证报告数据库用于存储、管理取证报告。/n
【技术特征摘要】
1.一种电子取证系统,其特征是包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述硬盘备份端口用于传输复制取证硬盘数据,所述备份硬盘用于存储取证硬盘数据,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,所述取证操作系统用于启动备份硬盘,所述备份硬盘分析模块用于分析备份硬盘上系统信息,所述备份硬盘驱动数据库用于存储、管理备份硬盘的设备驱动信息,所述取证插件数据库用于存储、管理取证插件信息,所述证据提取模块用于提取证据信息,所述取证报告数据库用于存储、管理取证报告。
2.一种电子取证方法,所述电子取证方法基于电子取证系统,所述电子取证系统包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、备份硬盘驱动数据库、取证插件数据库、证据提取模块、取证报告数据库,其特征是包括过程:
系统通过硬盘备份端口将取...
【专利技术属性】
技术研发人员:许春晖,
申请(专利权)人:上海越钰信息技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。