一种基于隐蔽数据流的数据采集方法与流程

1.本发明涉及数据处理技术领域，具体涉及一种基于隐蔽数据流的数据采集方法。


背景技术：

2.在国家有关部门执法过程中，通常面临一些特殊场景的数据采集需求。他们需要接触到目标对象的计算机，采用隐蔽的方式对违法犯罪的证据文件进行采集，但又不能引起目标对象的警觉。证据采集的结果，需要通过一种隐蔽的方式写入存储装置，不仅要求通过平常的分析查找操作无法查看到真实文件，而且要保证整个数据采集过程的隐蔽性和安全性。
3.基于以上需求，本公司通过多年的研究和论证，自主研发了一套基于隐蔽数据流的数据采集方法及装置，对于执法过程中的数据采集隐蔽性和安全性，具有非常好的实战效果。


技术实现要素：

4.针对现有技术的不足，本发明提供了一种基于隐蔽数据流的数据采集方法，克服了现有技术的不足，通过采用预配置采集选项，整个采集过程完全自动运行，给执法过程带来了极大的便利性和可操作性。且数据采集不仅做到隐蔽写入，更使用了高强度加密算法，在数据提取和恢复之后，进行系统的覆写擦除，保障了数据安全、防泄漏。
5.为实现以上目的，本发明通过以下技术方案予以实现：一种基于隐蔽数据流的数据采集方法，包括以下步骤：步骤s1：通过对采集装置初始化完成各项配置；步骤s2：将配置完成的采集装置经过伪装成资料拷贝的形式，插入目标电脑，进行隐蔽数据采集；步骤s3：隐蔽数据采集完成后，将采集装置插入自有计算机，进行数据提取与恢复；步骤s4：完成数据提取与恢复后，进行采集装置的后处理流程，读写痕迹擦除。
6.优选地，所述步骤s1具体包括以下步骤：步骤s11：配置上网记录采集，包括浏览器的历史记录、地址栏url、浏览器cookie、浏览器收藏夹、浏览器临时文件；步骤s12：配置邮件客户端采集，包括本地客户端邮箱收件箱、已发送、草稿箱、已删除、垃圾箱、归档文件夹以及自定义文件夹；步骤s13：配置即时通讯记录采集，包括即时通讯记录的联系人列表、点对点消息列表、群聊列表、以及即时通讯软件的音视频文件；步骤s14：配置文档采集，包括配置目标采集的区域，全盘查找或指定一个或多个磁盘查找，配置文档采集的种类；步骤s15：配置密钥生成，配置密钥生成一对rsa公私钥，其中公钥用于数据采集过
程中的隐蔽数据加密写入，私钥用于数据采集装置的数据提取和恢复过程。
7.优选地，所述步骤s2具体包括以下步骤：步骤s21：采集程序自启动，采集装置通过基于计算机漏洞利用的方式进行自动启动，隐蔽运行无界面、无进程、无网络连接的采集程序；步骤s22：数据获取，采集程序根据初始化阶段的配置选项高速获取目标文件，包括上网记录、邮件客户端数据、即时通讯数据、文档数据；步骤s23：数据加密，采集程序使用高强度rsa密钥进行数据加密；步骤s24：隐蔽写入，采集程序使用ntfs数据流的形式直接将文件字节流以数据块的形式写入采集装置。
8.优选地，所述步骤s24的数据块写入根据采集装置的特有硬件特征进行读写。
9.优选地，所述步骤s3具体包括以下步骤：步骤s31：通过pc端软件识别采集装置并进行隐蔽ntfs数据块提取；步骤s32：加载密钥文件，pc端软件通过加载密钥文件将解密过程需要用到的私钥加载到程序内存中；步骤s33：数据解密，将第一步提取的加密数据块和第二步加载的密钥文件，采用多线程高并发的解密引擎，执行文件解密操作；优选地，所述步骤s4具体包括以下步骤：步骤s41：清除配置信息；步骤s42：清除数据块，对隐蔽数据采集过程中进行写入的ntfs数据块信息进行数据的清除；步骤s43：对整个采集装置进行磁盘的覆写擦除，恢复初始状态。
10.优选地，所述步骤s41中配置信息包括采集装置初始化阶段生成的上网记录采集配置、邮件客户端采集配置、即时通讯记录采集配置、文档采集配置、密钥生成配置。
11.本发明提供了一种基于隐蔽数据流的数据采集方法。具备以下有益效果：通过采用预配置采集选项，整个采集过程完全自动运行，给执法过程带来了极大的便利性和可操作性。并且整个数据采集流程完全静默运行，采集的数据通过隐蔽数据流的方式写入存储装置，整个过程中数据不可见、不会引起目标对象的察觉。且数据采集不仅做到隐蔽写入，更使用了高强度加密算法，在数据提取和恢复之后，进行系统的覆写擦除，保障了数据安全、防泄漏。
附图说明
12.为了更清楚地说明本发明或现有技术中的技术方案，下面将对现有技术描述中所需要使用的附图作简单地介绍。
13.图1 本发明的流程图；图2 本发明中步骤s1的流程图；图3 本发明中步骤s2的流程图；图4 本发明中步骤s3的流程图；图5 本发明中步骤s4的流程图。
具体实施方式
14.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述。
15.如图1-5所示，一种基于隐蔽数据流的数据采集方法，包括以下步骤：步骤s1：通过对采集装置初始化完成各项配置；步骤s2：将配置完成的采集装置经过伪装成资料拷贝的形式，插入目标电脑，进行隐蔽数据采集；步骤s3：隐蔽数据采集完成后，将采集装置插入自有计算机，进行数据提取与恢复；步骤s4：完成数据提取与恢复后，进行采集装置的后处理流程，读写痕迹擦除。
16.进一步地，所述步骤s1具体包括以下步骤：步骤s11：配置上网记录采集，包括浏览器的历史记录、地址栏url、浏览器cookie、浏览器收藏夹、浏览器临时文件；浏览器的种类涵盖主流的ie浏览器、chrome浏览器、firefox浏览器、edge浏览器等；步骤s12：配置邮件客户端采集，包括本地客户端邮箱收件箱、已发送、草稿箱、已删除、垃圾箱、归档文件夹以及自定义文件夹；本地客户端邮箱种类涵盖主流的outlook、outlook express、foxmail、thunderbird、dreammail等；步骤s13：配置即时通讯记录采集，包括即时通讯记录的联系人列表、点对点消息列表、群聊列表、以及即时通讯软件的音视频文件；其中，即时通讯软件种类涵盖主流的qq、微信、skype、msn等；步骤s14：配置文档采集，包括配置目标采集的区域，全盘查找或指定一个或多个磁盘查找，配置文档采集的种类；比如doc/docx、xls/xlsx、ppt/pptx、pdf等，配置文档采集的关键词，比如文档名称以及文档内容中包含的敏感词，配置文档创建/修改的时间范围、起止日期等；步骤s15：配置密钥生成，配置密钥生成一对rsa公私钥，其中公钥用于数据采集过程中的隐蔽数据加密写入，私钥用于数据采集装置的数据提取和恢复过程。
17.进一步地，所述步骤s2具体包括以下步骤：步骤s21：采集程序自启动，采集装置通过基于计算机漏洞利用的方式进行自动启动，隐蔽运行无界面、无进程、无网络连接的采集程序；步骤s22：数据获取，采集程序根据初始化阶段的配置选项高速获取目标文件，包括上网记录、邮件客户端数据、即时通讯数据、文档数据；步骤s23：数据加密，采集程序使用高强度rsa密钥进行数据加密；步骤s24：隐蔽写入，采集程序使用ntfs数据流的形式直接将文件字节流以数据块的形式写入采集装置；其中，数据块写入根据采集装置的特有硬件特征进行读写，从而保证读取方式的唯一性和其他设备不可识别性。
18.进一步地，所述步骤s3具体包括以下步骤：步骤s31：通过pc端软件识别采集装置并进行隐蔽ntfs数据块提取；采集装置在初始化阶段已经写入隐蔽特征，如果没有隐蔽特征，则不识别。pc端软件按照预设的ntfs数据
块特征进行数据块的提取，该阶段的数据提取为加密数据；步骤s32：加载密钥文件，密钥文件为采集装置初始化阶段密钥生成步骤生成的密钥文件。该密钥为公钥加密，私钥解密。ppc端软件通过加载密钥文件将解密过程需要用到的私钥加载到程序内存中；步骤s33：数据解密，将第一步提取的加密数据块和第二步加载的密钥文件，采用多线程高并发的解密引擎，执行文件解密操作；解密后的文件列表即是目标对象计算机获取的原始文件备份。
19.进一步地，所述步骤s4具体包括以下步骤：步骤s41：清除配置信息；包含采集装置初始化阶段生成的上网记录采集配置、邮件客户端采集配置、即时通讯记录采集配置、文档采集配置、密钥生成配置等；步骤s42：清除数据块，对隐蔽数据采集过程中进行写入的ntfs数据块信息，包含目标对象的加密文件和数据采集日志，进行数据的清除；步骤s43：对整个采集装置进行磁盘的覆写擦除，恢复初始状态。覆写擦除的标准采用三次随机擦写的方式，保障所有痕迹的彻底擦除，将采集装置还原为初始状态。一用一擦除，保障采集装置使用的安全性。
20.本技术是基于隐蔽数据流的数据采集方法及装置采用预配置采集选项，整个采集过程完全自动运行，给执法过程带来了极大的便利性和可操作性。并且整个数据采集流程完全静默运行，采集的数据通过隐蔽数据流的方式写入存储装置，整个过程中数据不可见、不会引起目标对象的察觉。且数据安全性高。数据采集不仅做到隐蔽写入，更使用了高强度加密算法，在数据提取和恢复之后，进行系统的覆写擦除，保障了数据安全、防泄漏。
21.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。