一种终端取证方法、装置、电子设备及存储介质与流程

1.本发明涉及计算机取证技术领域，尤其涉及一种终端取证方法、装置、电子设备及存储介质。


背景技术：

2.计算机系统中留存了用户的大量私密信息，这些私密信息可用于取证，现有的取证分析方法中，需根据计算机硬件架构类型有针对性的部署虚拟仿真分析软件，以对不同的计算机中数据信息进行取值分析。但由于计算机硬件架构类型较多，匹配对应不同的虚拟仿真分析软件时较繁琐，给取证人员造成不便。


技术实现要素：

3.有鉴于此，本发明实施例提供一种终端取证方法、装置、电子设备及存储介质，以解决现有取证方法中，不同计算机硬件架构类型对应不同的虚拟仿真分析软件，给取证人员造成不便的问题。
4.第一方面，本发明实施例提供一种终端取证方法，包括：
5.导入待取证终端对应的磁盘镜像；
6.配置引导启动参数；
7.从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件；
8.根据所述内核文件启动操作系统进行系统仿真以获取取证结果。
9.根据本发明实施例的一种具体实现方式，所述导入待取证终端对应的磁盘镜像前，还包括：
10.通过启动盘启动待取证终端；
11.通过拷贝指令获取所述待取证终端对应的磁盘镜像。
12.根据本发明实施例的一种具体实现方式，还包括：
13.获取待取证终端的硬盘；
14.通过磁盘拷贝机读取所述待取证终端的硬盘以导出待取证终端对应的磁盘镜像。
15.根据本发明实施例的一种具体实现方式，所述引导启动参数，包括：
16.磁盘镜像物证编号、镜像所在磁盘id、镜像大小、镜像操作系统类型、镜像操作系统指令集和启动模式。
17.进一步的，所述启动模式，包括：mbr启动模式和uefi启动模式。
18.根据本发明实施例的一种具体实现方式，所述从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件，包括：
19.根据所述镜像操作系统类型匹配出所述磁盘镜像对应的内核文件。
20.根据本发明实施例的一种具体实现方式，所述根据所述内核文件启动操作系统，包括：
21.在取证设备的硬盘第一个扇区内读入预设内存地址；
22.判断所述内存地址是否与预设启动标志相同；
23.若是，将所述待取证终端对应的磁盘镜像加载至启动模式引导区；
24.启动模式引导区读写所述内核文件,完成对匹配出的所述磁盘镜像对应的操作系统的启动过程。
25.第二方面，本发明实施例提供一种终端取证装置，包括：
26.导入模块，用于导入待取证终端对应的磁盘镜像；
27.配置模块，用于配置引导启动参数；
28.匹配模块，用于从内设多种内核文件中根据所述引导启动参数匹配出所述磁盘镜像对应的内核文件；
29.启动模块，用于根据所述内核文件启动操作系统进行系统仿真以获取取证结果。
30.第三方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的终端取证方法。
31.第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的终端取证方法。
32.本发明实施例提供的一种终端取证方法、装置、电子设备及存储介质，通过导入待取证终端对应的磁盘镜像，配置引导启动参数，从内设多种内核文件中根据引导启动参数匹配出所述磁盘镜像对应的内核文件，根据内核文件启动操作系统进行系统仿真以获取取证结果，可以解决现有取证方法中，不同计算机硬件架构类型对应不同的虚拟仿真分析软件，给取证人员造成不便的问题，提升取证效率。
附图说明
33.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
34.图1为本发明的实施例一终端取证方法的流程图；
35.图2为本发明的实施例二终端取证方法的流程图；
36.图3为本发明的实施例一终端取证装置的功能结构图；
37.图4为本发明的一个实施例提供的一种电子设备的结构示意图。
具体实施方式
38.下面结合附图对本发明实施例进行详细描述。应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
39.本实施例提供一种终端取证方法，以解决现有取证方法中，不同计算机硬件架构类型对应不同的虚拟仿真分析软件，给取证人员造成不便的问题。
40.图1为本发明实施例一的终端取证方法的流程示意图，如图1所示，本实施例的终端取证方法应用于电子设备。
41.本实施例的终端取证方法可以包括：
42.步骤101、导入待取证终端对应的磁盘镜像；
43.步骤102、配置引导启动参数；
44.步骤103、从内设多种内核文件中根据引导启动参数匹配出磁盘镜像对应的内核文件；
45.步骤104、根据内核文件启动操作系统进行系统仿真以获取取证结果。
46.传统终端取证方法过程中，由于计算机硬件架构类型种类较多，如cpu如龙芯、海光、飞腾、申威等，每种计算机硬件架构类型对应不同的虚拟仿真分析软件，给取证人员造成不便。
47.本实施例中，通过导入待取证终端对应的磁盘镜像，配置引导启动参数，从内设多种内核文件中根据引导启动参数匹配出所述磁盘镜像对应的内核文件，根据内核文件启动操作系统进行系统仿真以获取取证结果，可以解决现有取证方法中，不同计算机硬件架构类型对应不同的虚拟仿真分析软件，给取证人员造成不便的问题，提升取证效率。
48.图2为本发明实施例二的终端取证方法的流程图，如图2所示，本实施例的终端取证方法可以包括：
49.步骤201、导入待取证终端对应的磁盘镜像；
50.本实施例中，导入待取证终端对应的磁盘镜像前，还包括：
51.通过启动盘启动待取证终端；
52.通过拷贝指令获取待取证终端对应的磁盘镜像。拷贝指令例如为dd指令。
53.或者，
54.获取待取证终端的硬盘；
55.通过磁盘拷贝机读取所述待取证终端的硬盘以导出待取证终端对应的磁盘镜像。
56.步骤202、配置引导启动参数，包括但不限于磁盘镜像物证编号、镜像所在磁盘id、镜像大小、镜像操作系统类型、镜像操作系统指令集和启动模式；
57.本实施例中，启动模式包括但不限于：mbr(主引导记录，master bootrecord)启动模式和uefi(unified extensible firmware interface，统一的可扩展固件接口)启动模式。
58.镜像操作系统指令集用于在操作系统启动后，进行虚拟控制，以得到取证结果。
59.步骤203、根据镜像操作系统类型匹配出磁盘镜像对应的内核文件。
60.内核文件存储在系统中，可根据镜像操作系统类型索引查找。
61.步骤204、在取证设备的硬盘第一个扇区内读入预设内存地址；
62.例如，将硬盘第一个扇区(0头0道1扇区，boot sector)读入内存地址0000： 7c00处；
63.步骤205、判断内存地址是否与预设启动标志相同；
64.步骤206、若是，将待取证终端对应的磁盘镜像加载至启动模式引导区；
65.步骤207、启动模式引导区读写内核文件，完成对匹配出的磁盘镜像对应的操作系统的启动过程。
66.一些实施例中，在配置引导启动参数完成后，还包括：bios(基本输入输出系统，basic input output system)加电自检；
67.若启动模式为mbr，mbr中的boot loader程序(一般在启动盘的第一个物理扇区，占416字节)，boot loader程序根据引导启动参数找到仿真运行的磁盘镜像文件的内核文件，由内核程序完成对操作系统的启动过程。
68.本实施例中，通过存储多个不同操作系统对应的内核文件，根据镜像操作系统类型匹配出磁盘镜像对应的内核文件，可以适用于不同操作系统的终端取证工作，提升取证效率。
69.通过图1、图2中所示方法实施例的技术方案，本技术不仅可以适用于不同操作系统的终端取证工作；还可以提升取证效率。
70.图3为本发明终端取证装置实施例一的结构示意图，如图3所示，本实施例的装置可以包括：
71.导入模块31，用于导入待取证终端对应的磁盘镜像；
72.配置模块32，用于配置引导启动参数；
73.匹配模块33，用于从内设多种内核文件中根据引导启动参数匹配出磁盘镜像对应的内核文件；
74.启动模块34，用于根据内核文件启动操作系统进行系统仿真以获取取证结果。
75.一些实施例中，在上一实施例基础上，本实施例的装置还包括：
76.第一获取模块35，用于通过启动盘启动待取证终端，通过拷贝指令获取所述待取证终端对应的磁盘镜像。
77.第二获取模块36，用于获取待取证终端的硬盘，通过磁盘拷贝机读取所述待取证终端的硬盘以导出待取证终端对应的磁盘镜像。
78.本实施例中，匹配模块33被配置为：
79.根据镜像操作系统类型匹配出磁盘镜像对应的内核文件。
80.本实施例中，启动模块34被配置为：
81.在取证设备的硬盘第一个扇区内读入预设内存地址；
82.判断内存地址是否与预设启动标志相同；
83.若是，将所述待取证终端对应的磁盘镜像加载至启动模式引导区；
84.启动模式引导区读写所述内核文件,完成对匹配出的所述磁盘镜像对应的操作系统的启动过程。
85.本实施例的装置，可以用于执行图1、图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
86.图4为本发明电子设备一个实施例的结构示意图，可以实现本发明图1、图 2所示实施例的流程，如图4所示，上述电子设备可以包括：壳体41、处理器 42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行
程序代码对应的程序，用于执行前述任一实施例所述的终端取证方法。
87.处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1、图2所示实施例的描述，在此不再赘述。
88.该电子设备以多种形式存在，包括但不限于：
89.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
90.(2)移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
91.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
92.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
93.(5)其他具有数据交互功能的电子设备。
94.第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实施例所述的终端取证方法。
95.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
96.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
97.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
98.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
99.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory， rom)或随机存储记忆体(random access memory，ram)等。
100.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。