【技术实现步骤摘要】
一种终端取证方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机取证
,尤其涉及一种终端取证方法、装置、电子设备及存储介质。
技术介绍
[0002]计算机系统中留存了用户的大量私密信息,这些私密信息可用于取证,现有的取证分析方法中,需根据计算机硬件架构类型有针对性的部署虚拟仿真分析软件,以对不同的计算机中数据信息进行取值分析。但由于计算机硬件架构类型较多,匹配对应不同的虚拟仿真分析软件时较繁琐,给取证人员造成不便。
技术实现思路
[0003]有鉴于此,本专利技术实施例提供一种终端取证方法、装置、电子设备及存储介质,以解决现有取证方法中,不同计算机硬件架构类型对应不同的虚拟仿真分析软件,给取证人员造成不便的问题。
[0004]第一方面,本专利技术实施例提供一种终端取证方法,包括:
[0005]导入待取证终端对应的磁盘镜像;
[0006]配置引导启动参数;
[0007]从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件;
[0008]根据所述内核文件启动操作系统进行系统仿真以获取取证结果。
[0009]根据本专利技术实施例的一种具体实现方式,所述导入待取证终端对应的磁盘镜像前,还包括:
[0010]通过启动盘启动待取证终端;
[0011]通过拷贝指令获取所述待取证终端对应的磁盘镜像。
[0012]根据本专利技术实施例的一种具体实现方式,还包括:
[0013]获取待取证终端的硬盘;>[0014]通过磁盘拷贝机读取所述待取证终端的硬盘以导出待取证终端对应的磁盘镜像。
[0015]根据本专利技术实施例的一种具体实现方式,所述引导启动参数,包括:
[0016]磁盘镜像物证编号、镜像所在磁盘ID、镜像大小、镜像操作系统类型、镜像操作系统指令集和启动模式。
[0017]进一步的,所述启动模式,包括:MBR启动模式和UEFI启动模式。
[0018]根据本专利技术实施例的一种具体实现方式,所述从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件,包括:
[0019]根据所述镜像操作系统类型匹配出所述磁盘镜像对应的内核文件。
[0020]根据本专利技术实施例的一种具体实现方式,所述根据所述内核文件启动操作系统,包括:
[0021]在取证设备的硬盘第一个扇区内读入预设内存地址;
[0022]判断所述内存地址是否与预设启动标志相同;
[0023]若是,将所述待取证终端对应的磁盘镜像加载至启动模式引导区;
[0024]启动模式引导区读写所述内核文件,完成对匹配出的所述磁盘镜像对应的操作系统的启动过程。
[0025]第二方面,本专利技术实施例提供一种终端取证装置,包括:
[0026]导入模块,用于导入待取证终端对应的磁盘镜像;
[0027]配置模块,用于配置引导启动参数;
[0028]匹配模块,用于从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件;
[0029]启动模块,用于根据所述内核文件启动操作系统进行系统仿真以获取取证结果。
[0030]第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的终端取证方法。
[0031]第四方面,本专利技术的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的终端取证方法。
[0032]本专利技术实施例提供的一种终端取证方法、装置、电子设备及存储介质,通过导入待取证终端对应的磁盘镜像,配置引导启动参数,从内设多种内核文件中根据引导启动参数匹配出所述磁盘镜像对应的内核文件,根据内核文件启动操作系统进行系统仿真以获取取证结果,可以解决现有取证方法中,不同计算机硬件架构类型对应不同的虚拟仿真分析软件,给取证人员造成不便的问题,提升取证效率。
附图说明
[0033]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0034]图1为本专利技术的实施例一终端取证方法的流程图;
[0035]图2为本专利技术的实施例二终端取证方法的流程图;
[0036]图3为本专利技术的实施例一终端取证装置的功能结构图;
[0037]图4为本专利技术的一个实施例提供的一种电子设备的结构示意图。
具体实施方式
[0038]下面结合附图对本专利技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0039]本实施例提供一种终端取证方法,以解决现有取证方法中,不同计算机硬件架构类型对应不同的虚拟仿真分析软件,给取证人员造成不便的问题。
[0040]图1为本专利技术实施例一的终端取证方法的流程示意图,如图1所示,本实施例的终端取证方法应用于电子设备。
[0041]本实施例的终端取证方法可以包括:
[0042]步骤101、导入待取证终端对应的磁盘镜像;
[0043]步骤102、配置引导启动参数;
[0044]步骤103、从内设多种内核文件中根据引导启动参数匹配出磁盘镜像对应的内核文件;
[0045]步骤104、根据内核文件启动操作系统进行系统仿真以获取取证结果。
[0046]传统终端取证方法过程中,由于计算机硬件架构类型种类较多,如CPU如龙芯、海光、飞腾、申威等,每种计算机硬件架构类型对应不同的虚拟仿真分析软件,给取证人员造成不便。
[0047]本实施例中,通过导入待取证终端对应的磁盘镜像,配置引导启动参数,从内设多种内核文件中根据引导启动参数匹配出所述磁盘镜像对应的内核文件,根据内核文件启动操作系统进行系统仿真以获取取证结果,可以解决现有取证方法中,不同计算机硬件架构类型对应不同的虚拟仿真分析软件,给取证人员造成不便的问题,提升取证效率。
[0048]图2为本专利技术实施例二的终端取证方法的流程图,如图2所示,本实施例的终端取证方法可以包括:
[0049]步骤201、导入待取证终端对应的磁盘镜像;
[0050]本实施例中,导入待取证终端对应的磁盘镜像前,还包括:
[0051]通过启动盘启动待取证终端;本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种终端取证方法,其特征在于,应用于电子设备;所述方法包括:导入待取证终端对应的磁盘镜像;配置引导启动参数;从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件;根据所述内核文件启动操作系统进行系统仿真以获取取证结果。2.根据权利要求1所述的终端取证方法,其特征在于,所述导入待取证终端对应的磁盘镜像前,还包括:通过启动盘启动待取证终端;通过拷贝指令获取所述待取证终端对应的磁盘镜像。3.根据权利要求1所述的终端取证方法,其特征在于,还包括:获取待取证终端的硬盘;通过磁盘拷贝机读取所述待取证终端的硬盘以导出待取证终端对应的磁盘镜像。4.根据权利要求1所述的终端取证方法,其特征在于,所述引导启动参数,包括:磁盘镜像物证编号、镜像所在磁盘ID、镜像大小、镜像操作系统类型、镜像操作系统指令集和启动模式。5.根据权利要求4所述的终端取证方法,其特征在于,所述启动模式,包括:MBR启动模式和UEFI启动模式。6.根据权利要求4所述的终端取证方法,其特征在于,所述从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件,包括:根据所述镜像操作系统类型匹配出所述磁盘镜像对应的内核文件。7.根据权利要求1所述的终端取证方法,其特征在于,所述根据所述内核文件启动...
【专利技术属性】
技术研发人员:王盈,徐翰隆,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。