一种电子设备的数据取证分析方法及系统技术方案

本发明专利技术公开了一种电子设备的数据取证分析方法及系统，其通过将电子设备数据提取步骤和取证分析报告生成步骤采用异步处理执行，且预先设置包含若干个数据缓存区的数据缓存队列执行电子设备数据提取步骤和取证分析报告生成步骤之间的取证数据缓存中转空间，从而使得需要大量耗时的电子证据的分析处理和取证分析报告的生成处理过程无需取证操作人员进行值守等待，有助于提升电子证据的数据提取和取证分析的整体处理效率，并可以通过优化取证分析报告生成步骤的中断控制，保证对计算机系统资源的优化分配，还可以通过优化取证分析设备建立B/S网络结构通信构架模式的方式，在兼顾数据访问安全性的前提下，帮助提升电子证据数据查阅的便利性和效率。

【技术实现步骤摘要】
一种电子设备的数据取证分析方法及系统
本专利技术涉及电子设备数据取证保全
，具体涉及一种电子设备的数据取证分析方法及系统。
技术介绍
随着计算机和网络技术的普及，电子商贸活动和其他许多基于网络的人际交往大量出现，电子文件已经成为传递信息、记录事实的重要载体。在这些方面一旦发生纠纷或案件，相关的电子文件就成为重要的证据。电子证据（DigitalEvidence）就是被作为证据研究的、能够证明案件相关事实的电子数据。电子证据通常定义为：基于电子技术生成、以数字化形式存在于磁盘、光盘、存储卡、手机等各种电子设备载体，其内容可与载体分离，并可多次复制到其他载体的文件。这个定义表述了电子证据的三个基本特征：①数字化的存在形式；②不固定依附特定的电子设备载体；③可以多次原样复制。对电子证据的数据取证中，目前常用的取证方式是，采用专用的计算机等数据处理存储设备作为取证分析设备，在其中建立用于存储取证数据和取证分析报告的电子证据数据库，将取证分析设备通过数据读取驱动设备、数据接口等中间设备与存储有电子证据的电子设备建立数据连接，运行专用的数据提取软件程序，提取电子设备中的电子证据作为取整数据，并对提取的取证数据进行取证分析处理，生成相应的取证分析报告，一并存储在取证分析设备的电子证据数据库中；如果需要查看取证数据或者相应的取证分析报告，则需要使用指定的计算机等专用查看设备通过数据接口、存储设备等中间设备与存储有电子证据的电子设备建立数据传输，获取到取证数据或者取证分析报告，并运行专用的数据查看软件程序，才能进行取证数据或者取证分析报告的查看和阅读，以保证对取证数据、取证分析报告的数据取证、查看环节的保全安全性。目前电子证据的数据取证、查看操作方式，虽然较好的确保了电子证据的安全性，但在实际的操作应用中，还是存在多方面的不便利：其一，取证分析设备对作为取证对象的电子设备进行数据取证处理、取证分析报告生成处理的处理时间较长，取证操作人员需要等待一台电子设备的数据取证处理、取证分析报告生成处理完成后，才能对下一台电子设备进行数据取证操作，然而，由于取证分析设备对电子证据的分析处理（包含数据加密处理）和取证分析报告的生成处理较为复杂，处理时间较长，因此在电子设备数量较多、每台电子设备中的电子证据数据量较大的情况下，就会导致取证操作人员长时间进行数据取证工作，占用过多的人员工作时间，对团队整体的电子证据取证保全工作效率造成不利影响；其二，取证数据、取证分析报告的查看使用指定的计算机等专用查看设备，间接的限制了查看取证数据、取证分析报告的场地和时间，影响电子证据数据查阅和相关案件办理的综合效率；其三，目前办案人员配备办案专用移动终端（例如专用手机等）的情况逐渐普遍，但即便使用办案专用移动终端进行取证数据、取证分析报告的查看，也需要将办案专用移动终端通过数据接口等中间设备与存储有电子证据的电子设备建立数据传输，获取到取证数据或者取证分析报告，并在办案专用移动终端上加载和运行专用的数据查看软件程序，才能进行查阅，依然对电子证据数据查阅的场地和时间造成限制，无法从根本上解决电子证据数据查阅的便利性和效率不足的问题。因此，如何更加有利于提升对电子证据的数据取证、查阅的便利性和效率，成为了进一步辅助提升相关案件办理效率的关键性技术问题之一。
技术实现思路
针对现有技术存在的上述不足，本专利技术要解决的技术问题是如何提升对电子证据的数据取证效率，进一步解决的技术问题是如何提升对取证相关数据的查阅的便利性和效率。为解决上述技术问题，本专利技术采用了如下的技术方案：一种电子设备的数据取证分析方法，包括电子设备数据提取步骤和取证分析报告生成步骤，其特征在于，所述电子设备数据提取步骤和取证分析报告生成步骤采用异步处理，且预先设置包含若干个数据缓存区的数据缓存队列，其中：在所述电子设备数据提取步骤执行中，将提取的一个电子设备的取证数据记录在预设的数据缓存队列中的一个数据缓存区中，且每当一个电子设备的取证数据提取完成时，断开与相应电子设备的数据连接；在所述取证分析报告生成步骤执行中，从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理，并生成相应的取证分析报告，将取证数据及其对应的取证分析报告一并存入电子证据数据库中，且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区。上述电子设备的数据取证分析方法中，作为优化方案，在所述电子设备数据提取步骤执行中，每当对一个电子设备的取证数据提取完成时，还为存储有相应取证数据的数据缓存区分配唯一对应的取证数据ID；所述取证数据ID为取证数据所对应的电子设备信息、取证事件信息或数据提取信息中的一种或几种。上述电子设备的数据取证分析方法中，作为进一步优化方案，在所述取证分析报告生成步骤执行中，当发生中断触发事件时，暂停数据处理过程，并生成中断信息节点记录暂停处理时的数据处理状态，且在发生中断返回事件时，读取中断信息节点记录的数据处理状态，对此前暂停处理时的数据处理状态进行恢复，然后继续执行取证分析报告生成步骤。上述电子设备的数据取证分析方法中，作为一种优选方案，所述中断触发事件包括收到中断控制指令；所述中断返回事件包括收到中断返回指令。上述电子设备的数据取证分析方法中，作为另一种优选方案，所述中断触发事件包括数据处理可用系统资源低于预设下限值；所述中断触发事件包括数据处理可用系统资源大于或等于预设下限值。上述电子设备的数据取证分析方法中，作为进一步优化方案，还包括将电子证据数据库中存储的取证数据或/和取证分析报告转换存储为网络浏览器可读的取证分析浏览文件，并允许网络浏览器访问读取取证分析浏览文件进行显示。上述电子设备的数据取证分析方法中，作为进一步优化方案，当网络浏览器访问读取取证分析浏览文件时，进行浏览权限的认证，仅在通过浏览权限认证后才允许网络浏览器访问读取取证分析浏览文件进行显示。相应地，本专利技术还提供了一种电子设备的数据取证分析系统，为此本专利技术采用了如下的技术方案：一种电子设备的数据取证分析系统，包括：数据缓存队列，包含若干个数据缓存区，每个数据缓存区用于缓存一个电子设备的取证数据；数据提取模块，用于与电子设备建立数据连接，提取所连接电子设备的证数据记录在数据缓存队列中的一个数据缓存区中，且每当一个电子设备的取证数据提取完成时，断开与相应电子设备的数据连接；数据解析模块，用于从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理，并生成相应的取证分析报告，将取证数据及其对应的取证分析报告一并存入电子证据数据库中，且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区；电子证据数据库，用于存储取证数据及其对应的取证分析报告。上述的电子设备的数据取证分析系统中，作为优化方案，还包括：中断控制模块，用于在监测到中断触发事件时，通知数据解析模块暂停本文档来自技高网...

【技术保护点】
1.一种电子设备的数据取证分析方法，包括电子设备数据提取步骤和取证分析报告生成步骤，其特征在于，所述电子设备数据提取步骤和取证分析报告生成步骤采用异步处理，且预先设置包含若干个数据缓存区的数据缓存队列，其中：/n在所述电子设备数据提取步骤执行中，将提取的一个电子设备的取证数据记录在预设的数据缓存队列中的一个数据缓存区中，且每当一个电子设备的取证数据提取完成时，断开与相应电子设备的数据连接；/n在所述取证分析报告生成步骤执行中，从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理，并生成相应的取证分析报告，将取证数据及其对应的取证分析报告一并存入电子证据数据库中，且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区。/n

【技术特征摘要】
1.一种电子设备的数据取证分析方法，包括电子设备数据提取步骤和取证分析报告生成步骤，其特征在于，所述电子设备数据提取步骤和取证分析报告生成步骤采用异步处理，且预先设置包含若干个数据缓存区的数据缓存队列，其中：
在所述电子设备数据提取步骤执行中，将提取的一个电子设备的取证数据记录在预设的数据缓存队列中的一个数据缓存区中，且每当一个电子设备的取证数据提取完成时，断开与相应电子设备的数据连接；
在所述取证分析报告生成步骤执行中，从数据缓存队列中按照提取完成时间从前到后的顺序逐一调取数据缓存区中存储的取证数据进行取证分析处理，并生成相应的取证分析报告，将取证数据及其对应的取证分析报告一并存入电子证据数据库中，且在对一个数据缓存区中的数据调取完成后清空并释放该相应的数据缓存区。


2.根据权利要求1所述电子设备的数据取证分析方法，其特征在于，在所述电子设备数据提取步骤执行中，每当对一个电子设备的取证数据提取完成时，还为存储有相应取证数据的数据缓存区分配唯一对应的取证数据ID；所述取证数据ID为取证数据所对应的电子设备信息、取证事件信息或数据提取信息中的一种或几种。


3.根据权利要求1所述电子设备的数据取证分析方法，其特征在于，在所述取证分析报告生成步骤执行中，当发生中断触发事件时，暂停数据处理过程，并生成中断信息节点记录暂停处理时的数据处理状态，且在发生中断返回事件时，读取中断信息节点记录的数据处理状态，对此前暂停处理时的数据处理状态进行恢复，然后继续执行取证分析报告生成步骤。


4.根据权利要求3所述电子设备的数据取证分析方法，其特征在于，所述中断触发事件包括收到中断控制指令；所述中断返回事件包括收到中断返回指令。


5.根据权利要求3所述电子设备的数据取证分析方法，其特征在于，所述中断触发事件包括数据处理可用系统资源低于预设下限值；所述中断触发事件包括数据处理可用系统资源大于或等于预设下限值。


6.根据权利要求1所述电子设备的数据取证分析方法，其特征在于，还包括将电子证据数据库中...

【专利技术属性】
技术研发人员：李果，何健，孙磊，陈立，柳秋霜，黄秋凯，朱健铭，张驰，霍立文，申李万，涂文春，柯昌民，袁媛，李燕红，徐建，范晨龙，徐新忠，程瑞琪，吴云，轩翔宇，汪海平，
申请(专利权)人：重庆市合川区公安局，上海歆仁信息科技有限公司，
类型：发明
国别省市：重庆;50