【技术实现步骤摘要】
基于移动存储设备的取证方法、装置及电子设备
[0001]本专利技术涉及电子取证
,尤其涉及一种基于移动存储设备 的取证方法、装置及电子设备。
技术介绍
[0002]计算机现场勘验是指在案件现场对计算机运行状态和数据进行 固定的过程,通常计算机现场勘验包括开机勘验和关机勘验,根据计 算机的开机或关机状态进行对应的开机勘验操作和关机勘验操作,从 而提取证据数据。
[0003]相关技术中的计算机现场勘验方法,必须借助硬盘复制机、只读 接口和只读面板等勘验工具才能进行勘验,并且在勘验过程中主要通 过对计算机硬盘进行拆盘镜像或拆盘克隆的方式得到含有证据数据 的镜像文件或克隆盘。
[0004]然而,由于现有计算机现场勘验方法需要借助现场勘验工具以及 拆盘才能取证,操作繁琐甚至拆卸难度大或损坏机身,也存在因拆盘 后硬盘接口不匹配或无法拆卸焊接在主板上的硬盘而无法勘验的情 况,从而导致现场勘验局限性较大而且取证效率不高。
技术实现思路
[0005]本专利技术提供一种基于移动存储设备的取证方法、装置及电子...
【技术保护点】
【技术特征摘要】
1.一种移动存储设备,其特征在于,包括:系统分区和数据分区,所述系统分区安装有预设操作系统、屏幕录像工具、专业取证工具以及用户自定义取证工具;所述数据分区用于存储取证数据,所述专业取证工具用于镜像或克隆取证,所述用户自定义取证工具用于抓包或数据分析。2.根据权利要求1所述的移动存储设备,其特征在于,还包括只读锁,所述只读锁用于在所述移动存储设备的使用过程中启动,以禁止对所述数据分区内存储的所述取证数据执行读操作之外的其他操作。3.根据权利要求1所述的移动存储设备,其特征在于,所述系统分区安装的专业取证工具包括硬盘镜像工具、内存镜像工具和硬盘克隆工具,所述用户自定义工具包括抓包工具和数据提取工具。4.一种基于权利要求1
‑
3任一项所述的移动存储设备的取证方法,其特征在于,所述方法包括:获取取证启动指令;基于所述取证启动指令,调用所述移动存储设备内的专业取证工具执行取证操作,从而得到证据数据;存储所述证据数据。5.根据权利要求4所述的基于移动存储设备的取证方法,其特征在于,所述基于所述取证启动指令,调用所述移动存储设备内的专业取证工具执行取证操作,从而得到证据数据,包括:当确定待取证设备的当前状态为开机状态时,基于所述取证启动指令,启动所述移动存储设备内的屏幕录像工具进行屏幕录像;在所述屏幕录像的过程中,启动所述移动存储设备内的内存镜像工具制作内存镜像,从而得到含有证据数据的镜像文件。6.根据权利要求4所述的基于移动存储设备的取证方法,其特征在于,所述基于所述取证启动指令,调用所述移动存储设备内的专业取证工具执行取证操作,从而得到证据数据,包括:当确定待取证设备的当前状态为关机状态时,基于所述取证启动指令,启动所述移动存储设备内的预设操作系统,以运行所述硬盘镜像工具执行镜像操作,从而得到含有证据数据的镜像文件。7.根据权利要求4所述的基于移动存储设备的取证方法,其特征在于,所述基于所述取证启动指令,调用所述移动存储设备内的专业取证工具执行取证操作,从而得到证据数据,包括:当确定待取证设备的当前状态为关机状态时,基于所述取证启动指令,启动所述移动存储设备内的预设操作系统,以运行所述硬盘克隆工具执行克隆操作,从而得到含有证据数据的克隆盘。8.根据权利要求4所述的基于移动存储设备的取证方法,其特征在于,所述存储所述证据数据,...
【专利技术属性】
技术研发人员:吕雪松,郑文鑫,闫鹏飞,高涛,
申请(专利权)人:奇安盘古上海信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。