基于移动存储设备的取证方法、装置及电子设备与流程

1.本发明涉及电子取证技术领域，尤其涉及一种基于移动存储设备 的取证方法、装置及电子设备。


背景技术：

2.计算机现场勘验是指在案件现场对计算机运行状态和数据进行 固定的过程，通常计算机现场勘验包括开机勘验和关机勘验，根据计 算机的开机或关机状态进行对应的开机勘验操作和关机勘验操作，从 而提取证据数据。
3.相关技术中的计算机现场勘验方法，必须借助硬盘复制机、只读 接口和只读面板等勘验工具才能进行勘验，并且在勘验过程中主要通 过对计算机硬盘进行拆盘镜像或拆盘克隆的方式得到含有证据数据 的镜像文件或克隆盘。
4.然而，由于现有计算机现场勘验方法需要借助现场勘验工具以及 拆盘才能取证，操作繁琐甚至拆卸难度大或损坏机身，也存在因拆盘 后硬盘接口不匹配或无法拆卸焊接在主板上的硬盘而无法勘验的情 况，从而导致现场勘验局限性较大而且取证效率不高。


技术实现要素：

5.本发明提供一种基于移动存储设备的取证方法、装置及电子设备， 用以解决现有技术中需要借助现场勘验工具及拆盘才能取证而导致 的现场勘验局限性较大且取证效率不高的缺陷，实现通过调用定制的 移动存储设备内的取证工具即可进行现场取证且无需拆盘的目的。
6.本发明提供一种移动存储设备，包括：系统分区和数据分区，所 述系统分区安装有预设操作系统、屏幕录像工具、专业取证工具以及 用户自定义取证工具；所述数据分区用于存储取证数据，所述专业取 证工具用于镜像或克隆取证，所述用户自定义取证工具用于抓包或数 据分析。
7.根据本发明提供的一种移动存储设备，还包括只读锁，所述只读 锁用于在所述移动存储设备的使用过程中启动，以禁止对所述数据分 区内存储的所述取证数据执行读操作之外的其他操作。
8.根据本发明提供的一种移动存储设备，所述系统分区安装的专业 取证工具包括硬盘镜像工具、内存镜像工具和硬盘克隆工具，所述用 户自定义工具包括抓包工具和数据提取工具。
9.本发明还提供一种基于移动存储设备的取证方法，所述方法包括：
10.获取取证启动指令；
11.基于所述取证启动指令，调用所述移动存储设备内的专业取证工 具执行取证操作，从而得到证据数据；
12.存储所述证据数据。
13.根据本发明提供的一种基于移动存储设备的取证方法，所述基于 所述取证启动
指令，调用所述移动存储设备内的专业取证工具执行取 证操作，从而得到证据数据，包括：
14.当确定待取证设备的当前状态为开机状态时，基于所述取证启动 指令，启动所述移动存储设备内的屏幕录像工具进行屏幕录像；
15.在所述屏幕录像的过程中，当确定待取证设备的当前状态为开机 状态时，启动所述移动存储设备内的内存镜像工具制作内存镜像，从 而得到含有证据数据的镜像文件。
16.根据本发明提供的一种基于移动存储设备的取证方法，所述基于 所述取证启动指令，调用所述移动存储设备内的专业取证工具执行取 证操作，从而得到证据数据，包括：
17.当确定待取证设备的当前状态为关机状态时，基于所述取证启动 指令，启动所述移动存储设备内的预设操作系统，以运行所述硬盘镜 像工具执行镜像操作，从而得到含有证据数据的镜像文件。
18.根据本发明提供的一种基于移动存储设备的取证方法，所述基于 所述取证启动指令，调用所述移动存储设备内的专业取证工具执行取 证操作，从而得到证据数据，包括：
19.当确定待取证设备的当前状态为关机状态时，基于所述取证启动 指令，启动所述移动存储设备内的预设操作系统，以运行所述硬盘克 隆工具执行克隆操作，从而得到含有证据数据的克隆盘。
20.根据本发明提供的一种基于移动存储设备的取证方法，所述存储 所述证据数据，包括：
21.获取所述数据分区的当前可用空间信息；
22.确定所述当前可用空间信息满足预设存储条件时，将所述证据数 据存储至所述移动存储设备的数据分区内。
23.根据本发明提供的一种基于移动存储设备的取证方法，在所述获 取所述数据分区的当前可用空间信息的步骤之后，所述方法还包括：
24.确定所述当前可用空间信息不满足所述预设存储条件时，输出第 一提示信息，所述第一提示信息用于提示用户外接硬盘存储所述证据 数据。
25.根据本发明提供的一种基于移动存储设备的取证方法，在所述获 取取证启动指令的步骤之后，所述方法还包括：
26.获取所述移动存储设备的累计使用频率；
27.判断所述累计使用频率与预设使用频率阈值的大小关系；
28.确定所述累计使用频率未达到所述预设使用频率阈值时，执行所 述基于所述取证启动指令，调用所述移动存储设备内的专业取证工具 执行取证操作，从而得到证据数据的步骤；
29.确定所述累计使用频率达到所述预设使用频率阈值时，输出第二 提示信息，所述第二提示信息用于提示用户更换新的移动存储设备。
30.根据本发明提供的一种基于移动存储设备的取证方法，在所述存 储所述证据数据的步骤之后，所述方法还包括：
31.判断是否接收到辅助取证操作指令；
32.若接收到所述辅助取证操作指令，则解析并执行所述辅助操作指 令中的辅助取证操作，从而得到辅助证据数据；其中，所述辅助取证 操作基于用户自定义取证工具完成；
33.若未接收到所述辅助取证操作指令，则结束取证操作。
34.本发明还提供一种基于移动存储设备的取证装置，包括：
35.获取模块，用于获取取证启动指令；
36.取证模块，用于基于所述取证启动指令，调用所述移动存储设备 内的专业取证工具执行取证操作，从而得到证据数据；
37.存储模块，用于存储所述证据数据。
38.本发明还提供一种电子设备，包括存储器、处理器及存储在存储 器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时 实现如上述任一种所述基于移动存储设备的取证方法的步骤。
39.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算 机程序，该计算机程序被处理器执行时实现如上述任一种所述基于移 动存储设备的取证方法的步骤。
40.本发明还提供一种计算机程序产品，包括计算机程序，所述计算 机程序被处理器执行时实现如上述任一种所述基于移动存储设备的 取证方法的步骤。
41.本发明提供的基于移动存储设备的取证方法、装置及电子设备， 其中移动存储设备包括系统分区和数据分区，系统分区内安装有专业 取证工具、屏幕录像工具、用户自定义取证工具及其运行的预设操作 系统，使得将移动存储设备用于待取证设备上时，能够直接运行系统 分区内的取证工具进行取证操作，并且移动存储设备支持待取证设备 在开机、关机状态下的取证操作，解决了计算机勘验拆盘导致的现场 勘验局限性较大且取证效率不高的缺陷；进一步的，由于移动存储设 备还支持自定义取证工具，从而使得用户能够将各种自定义取证工具 置于移动存储设备的系统分区内，不仅丰富和完善了取证操作，也极 大的提高了取证效率。
附图说明
42.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见 地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术 人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得 其他的附图。
43.图1是本发明提供的移动存储设备的结构示意图；
44.图2是本发明提供的基于移动存储设备的取证方法的流程示意 图；
45.图3是本发明提供的基于移动存储设备的取证装置的结构示意 图；
46.图4是本发明提供的电子设备的结构示意图。
具体实施方式
47.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发 明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然， 所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提 下所获得的所有其他实施例，都属于本发明保护的范围。
48.当前，计算机现场勘验：在案件现场对计算机运行状态和数据固 定的过程，且计算机现场勘验一般分为关机勘验和开机勘验，关机勘 验可以直接对电脑硬盘进行克隆或镜像，分拆盘镜像或免拆盘镜像， 开机勘验较关机勘验多了步制作内存镜像的工序。在进
行计算机现场 勘验时，一般需要借助类似于硬盘复制机、只读接口、只读面板等现 勘勘验工具方可完成，且通过硬盘复制机、只读接口、只读面板来进 行，存在以下缺陷：1)现场勘验需要拆盘取证，操作麻烦；2)对于 工艺精细的笔记本电脑拆卸难度大，拆盘可能损坏机身；3)拆盘后 硬盘接口不匹配导致无法勘验；4)对于硬盘焊接在主板上的情况， 无法拆卸，导致无法勘验；5)缺少内存固定工具，无法固定易失数 据。
49.需要说明的是，现场勘验的目的，往往为了获取证据，因此，现 场勘验过程中遇到的问题，也可以认为是取证过程中需要解决的问题。
50.基于上述问题，本发明提供一种基于移动存储设备的取证方法、 装置及电子设备，下面结合图1-图4描述本发明的基于移动存储设备 的取证方法、装置及电子设备。
51.图1示例了本发明提供的移动存储设备，所述移动存储设备具备 运行操作系统、运行各种取证工具以及存储数据的功能且支持开机勘 验和关机勘验。此外，本发明对移动存储设备的具体形式并不作具体 限定。
52.如图1所示，所述移动存储设备，包括：系统分区和数据分区， 系统分区安装有预设操作系统、屏幕录像工具、专业取证工具以及用 户自定义取证工具；数据分区用于存储取证数据，所述专业取证工具 用于镜像或克隆取证，所述用户自定义取证工具用于抓包或数据分析。
53.具体的，预设操作系统可以为windows7或windows10操作系统， 专业取证工具可以包括硬盘镜像工具、内存镜像工具、硬盘克隆工具 等其它取证工具，用户自定义取证工具可以包括抓包工具、数据提取 工具等其它工具。示例性的，可以将专业取证工具和用户自定义取证 工具以及依赖的windows7或windows10操作系统烧制到移动存储设 备内，以实现插入移动存储设备即可对计算机进行现场勘验工作的目 的。
54.需要说明的是，移动存储设备可以具体定制为u盘、移动硬盘 等类似的便携式设备，可以根据取证需要设置不同的存储容量，例如 设置为不低于64g的存储容量，当移动存储设备的存储容量为64g 时，系统分区的存储容量为30g，也即，移动存储设备的存储容量与 所安装的预设操作系统的大小紧密相关。并且，用户自定义工具还可 以包括数据恢复工具、usb连接记录工具、浏览器历史记录工具、 日志获取工具、内存镜像分析工具等，其可以根据用户需求安装，此 处不作具体限定。
55.可选的，所述移动存储设备还包括只读锁，所述只读锁用于在所 述移动存储设备的使用过程中启动，以禁止对所述数据分区内存储的 所述取证数据执行读操作之外的其他操作，从而使数据免受病毒、木 马或人为误操作的侵害。
56.需要说明的是，用于制作计算机硬盘镜像和内存镜像的专业取证 工具可以为ftkimager软件，用于进行硬盘克隆的专业取证软件可 以为winhex软件。并且，所述移动存储设备在定制时，可以先对其 进行分区操作，得到系统分区和数据分区，然后在系统分区中安装 windows7或windows10操作系统，待操作系统安装完成后，再在系 统分区中安装ftkimager软件、winhex软件和屏幕录像工具等专业 取证共具，以及安装抓包工具、数据提取工具等其用户它自定义工具， 所有工具可以以工具列表的形式存放于系统分区根目录。因此，本发 明可应用于烟草等行业。
57.本发明提供的移动存储设备，通过结合软件和硬件的方式，在移 动存储设备的系统分区内安装计算机现场勘验的专业取证工具、屏幕 录像工具、用户自定义取证工具及其
运行的预设操作系统，使得将移 动存储设备用于待取证设备上时能够直接运行系统分区内的取证工 具进行取证操作，并且移动存储设备支持待取证设备在开机、关机状 态下的取证操作，解决了计算机勘验拆盘导致的现场勘验局限性较大 且取证效率不高的缺陷；进一步的，由于移动存储设备还支持自定义 取证工具，从而使得用户能够将各种自定义取证工具置于移动存储设 备的系统分区内，不仅丰富和完善了取证操作，也极大的提高了取证 效率。
58.需要说明的是，移动存储设备的具体功能可以与下述方法实施例 相互对照。
59.本发明还提供了一种基于移动存储设备的取证方法，该基于移动 存储设备的取证方法的执行主体可以是提供移动存储设备连接口的 待取证设备，待取证设备可以为个人计算机(personal computer，pc)、 便携式设备、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备 等其它电子设备。本发明对待取证设备的具体形式不做限定。
60.需要说明的是，下述方法实施例的执行主体可以是上述待取证设 备的部分或者全部。下述方法实施例以执行主体为待取证设备为例进 行说明。
61.图2示例了一种本发明提供的基于移动存储设备的取证方法的 流程示意图，如图2所示，该基于移动存储设备的取证方法，包括以 下步骤：
62.步骤210、获取取证启动指令。
63.具体的，待取证设备获取取证启动指令，可以基于用户操作生成， 比如当用户将移动存储设备插入待取证设备时，即可生成取证启动指 令。比如，当移动存储设备为定制的u盘时，当u盘插入待取证设 备usb接口时即可生成取证启动指令。
64.步骤220、基于所述取证启动指令，调用所述移动存储设备内的 专业取证工具执行取证操作，从而得到证据数据。
65.具体的，待取证设备获取到取证启动指令时，表明移动存储设备 已被插入待取证设备中，此时待取证设备可以直接调用移动存储设备 中的专业取证工具，执行针对待取证设备内证据数据的提取操作。
66.步骤230、存储所述证据数据。
67.具体的，待取证设备利用移动存储设备提取证据数据时，可以基 于证据数据的形式进行存储，比如，当证据数据存在于镜像文件中时， 可以将镜像文件存储于至移动存储设备的数据分区；当证据数据存在 于克隆盘中时，可以将克隆盘存储于待取证设备中或者由取证人员收 集存储。
68.本发明提供的基于移动存储设备的取证方法，待取证设备获取到 取证启动指令时，通过调用移动存储设备内的专业取证工具即可执行 取证操作，并存储提取的证据数据，以此实现通过定制的移动存储设 备即可对待取证设备进行现场取证且无需拆盘，解决了需要借助现场 勘验工具及拆盘才能取证而导致的现场勘验局限性较大且取证效率 不高的缺陷，操作简单且应用广泛，极大提高了取证效率。
69.可选的，步骤220具体可以通过下述过程实现：
70.当确定待取证设备的当前状态为开机状态时，基于所述取证启动 指令，启动所述移动存储设备内的屏幕录像工具进行屏幕录像；在所 述屏幕录像的过程中，启动所述移动存储设备内的内存镜像工具制作 内存镜像，从而得到含有证据数据的镜像文件。
71.具体的，针对待取证设备执行取证操作，可以首先判断待取证设 备的当前状态，
当确定待取证设备的当前状态为开机状态时，可以进 一步基于获取的取证启动指令，启动移动存储设备内的屏幕录像开启 屏幕录像，并在屏幕录像的过程中，启动移动存储设备内的内存镜像 工具制作内存镜像，以将待取证设备证据内存中的证据数据精确复制 到内存镜像中，从而得到含有证据数据的镜像文件。由于镜像文件通 常为掉电可丢失数据，因此，当提取到镜像文件时，可以存储于移动 存储设备的数据分区内。
72.需要说明的是，确定待取证设备的当前运行状态为开机状态时， 基于取证启动指令调用移动存储设备内的内存镜像工具执行证据数 据提取过程，且在整个证据数据的提取过程中，屏幕录像工具处于持 续录像状态。并且，内存镜像是待取证设备运行内存的精确复制，且 在内存镜像中保存有待取证设备运行过程中的易失数据，比如剪贴板 数、进程pid、加密容器秘钥、微信秘钥等。
73.本发明提供的基于移动存储设备的取证方法，针对待取证设备在 开机状态下的取证操作，首先启动移动存储设备内的屏幕录像工具进 行屏幕录像，并在屏幕录像的过程中，再进一步启动移动存储设备内 的内存镜像工具制作内存镜像，从而得到含有证据数据的镜像文件， 以此实现无需拆盘即可直接进行内存镜像，并且支持固定内存镜像， 提高了开机勘验的取证效率。
74.可选的，步骤220具体还可以通过下述过程实现：
75.当确定待取证设备的当前状态为关机状态时，基于所述取证启动 指令，启动所述移动存储设备内的预设操作系统，以运行所述硬盘镜 像工具执行镜像操作，从而得到含有证据数据的镜像文件。
76.具体的，针对待取证设备的当前运行状态为关机状态，也可以先 启动移动存储设备内的屏幕录像开启屏幕录像，并在屏幕录像的过程 中，基于取证启动指令，启动移动存储设备内的预设操作系统，以运 行硬盘镜像工具执行镜像操作，将待取证设备证据硬盘内的数据按位 复制到dd、e01、aff、bin、img、raw等格式的镜像文件内，从 而得到含有证据数据的镜像文件，镜像文件也可以存储于移动存储设 备的数据分区内。
77.需要说明的是，确定待取证设备的当前运行状态为关机状态时， 需要启动移动存储设备内的预设操作系统，并在运行移动存储设备内 的硬盘镜像工具执行证据数据提取的整个过程中持续进行屏幕录像。 并且，硬盘镜像表征硬盘到文件操作，也即通过将待取证设备证据硬 盘内的数据按位复制到镜像文件内，镜像文件在法庭上与原始证据磁 盘等同，常见的镜像格式包括dd、e01、aff、bin、img、raw等。
78.本发明提供的基于移动存储设备的取证方法，针对待取证设备在 关机状态下的取证操作，通过启动移动存储设备内的预设操作系统的 方式运行硬盘镜像工具以执行镜像操作，从而得到含有证据数据的镜 像文件，以此实现无需拆盘即可直接通过硬盘镜像完成关机勘验的目 的，提高了关机勘验的取证效率。
79.可选的，步骤220具体还可以通过下述过程实现：
80.当确定待取证设备的当前状态为关机状态时，基于所述取证启动 指令，启动所述移动存储设备内的预设操作系统，以运行所述硬盘克 隆工具执行克隆操作，从而得到含有证据数据的克隆盘。
81.具体的，确定待取证设备的当前运行状态为关机状态时，还可以 通过克隆操作完成关机勘验，也即，基于取证启动指令，启动移动存 储设备内的预设操作系统，以运行所述
硬盘克隆工具执行克隆操作， 将待取证设备证据硬盘内的数据按位复制到克隆盘内，从而得到含有 证据数据的克隆盘。
82.需要说明的是，确定待取证设备的当前运行状态为关机状态时， 也需要启动移动存储设备内的预设操作系统，并在运行硬盘克隆工具 执行克隆操作的整个过程中持续进行屏幕录像。并且，克隆操作表征 硬盘到硬盘，也即通过将待取证设备证据硬盘内的数据按位复制到克 隆盘内，克隆盘在法庭上与原始证据磁盘等同。
83.本发明提供的基于移动存储设备的取证方法，针对待取证设备在 关机状态下的取证操作，通过启动移动存储设备内的预设操作系统的 方式运行硬盘克隆工具以执行克隆操作，从而得到含有证据数据的克 隆盘，以此实现无需拆盘即可直接通过硬盘克隆完成关机勘验的目的， 提高了关机勘验的取证效率和取证灵活性。
84.可选的，步骤230的实现过程可以包括：
85.获取所述数据分区的当前可用空间信息；确定所述当前可用空间 信息满足预设存储条件时，将所述证据数据存储至所述移动存储设备 的数据分区内。
86.具体的，针对待取证设备调用移动存储设备内的专业取证工具所 得到的证据数据，当证据数据存在于镜像文件内时，可以将镜像文件 存储于移动存储设备的数据分区内，但为了确保数据的存储有效性， 可以先获取数据分区内的当前可用空间信息，再判断当前可用空间信 息是否满足预设存储条件，比如当前可用空间信息是否足够存储镜像 文件，并在确定当前可用空间信息满足预设存储条件时，可将含有证 据数据的镜像文件存储至移动存储设备的数据分区内。
87.本发明提供的基于移动存储设备的取证方法，在存储含有证据数 据的镜像文件之前，先获取移动存储设备内数据分区内的可用空间信 息，并确定该可用空间信息满足预设存储条件时，再执行将镜像文件 存储至移动存储设备的数据分区的操作，以此确保证据数据的存储有 效性和存储可靠性。
88.可选的，在所述获取所述数据分区的当前可用空间信息的步骤之 后，所述方法还包括：
89.确定所述当前可用空间信息不满足所述预设存储条件时，输出第 一提示信息，所述第一提示信息用于提示用户外接硬盘存储所述证据 数据。
90.具体的，将含有证据数据的镜像文件存储于移动存储设备前，如 果所获取的移动存储设备的数据分区内的当前可用空间信息不满足 预设存储条件，比如当前可用空间信息不足以存储镜像文件，此处待 取证设备可输出第一提示信息，以提示取证人员将镜像文件存储于待 取证设备外接的硬盘中。
91.本发明提供的基于移动存储设备的取证方法，针对存储含有证据 数据的镜像文件，如果移动存储设备内数据分区内的可用空间信息不 满足预设存储条件，输出提示用户外接硬盘存储证据数据的第一提示 信息，提高了存储证据数据的灵活性和可靠性。
92.可选的，在步骤210之后，所述方法还可以包括：
93.获取所述移动存储设备的累计使用频率；判断所述累计使用频率 与预设使用频率阈值的大小关系；确定所述累计使用频率未达到所述 预设使用频率阈值时，执行所述基于所述取证启动指令，调用所述移 动存储设备内的专业取证工具执行取证操作，从而得到证据数据的步 骤；确定所述累计使用频率达到所述预设使用频率阈值时，输出第二 提示
信息，所述第二提示信息用于提示用户更换新的移动存储设备。
94.其中，预设使用频率阈值可以用于表征移动存储设备在其使用寿 命范围能够正常用于现场勘验工作的频率。
95.具体的，由于用户将移动存储设备插入待取证设备时可以生成取 证启动指令，因此当待取证设备获取到取证启动指令时，可以先针对 所插入的移动存储设备获取累计使用频率，并将累计使用频率与预设 使用频率阈值进行大小比较，当确定累计使用频率未达到预设使用频 率阈值，说明当前插入待取证设备的移动存储设备在其使用寿命范围 内且能够再次执行取证操作，因此可以直接转入步骤220执行取证操 作；反之，当确定累计使用频率达到预设使用频率阈值，说明当前插 入待取证设备的移动存储设备将达到使用寿命临界值且不能再次正 常执行取证操作，此时可以输出第二提示信息，以提示用户更换新定 制的移动存储设备。
96.本发明提供的基于移动存储设备的取证方法，针对插入待取证设 备的移动存储设备，待取证设备通过获取该移动存储设备的累计使用 频率是否达到预设使用频率阈值的方式，判定是继续使用该移动存储 设备执行取证操作还是提示用户更换新定制的移动存储设备执行取 证操作，以此提高取证操作的灵活多样性和准确稳定性。
97.可选的，在步骤230之后，所述方法还可以包括：
98.判断是否接收到辅助取证操作指令；若接收到所述辅助取证操作 指令，则解析并执行所述辅助操作指令中的辅助取证操作，从而得到 辅助证据数据；其中，所述辅助取证操作基于用户自定义取证工具完 成；若未接收到所述辅助取证操作指令，则结束取证操作。
99.具体的，根据用户在实际取证过程中的不同需求，可以在调用移 动存储设备内专业取证工具进行取证操作之后，还可以基于用户操作 生成的辅助操作指令进行对应的辅助取证操作，辅助取证操作可以调 用移动存储设备系统分区内的用户自定义取证工具执行，比如对证据 待取证设备磁盘中的涉案关键数据进行提取操作，制作加密容器分区 镜像；也可以针对待取证设备开机状态下的运行进程进行抓包操作等； 以此得到更加具有针对性和直观性的目标证据数据，并将目标证据数 据存储于移动存储设备的数据分区内。
100.需要说明的是，由于待取证设备在开机状态下的取证过程均需要 启动屏幕录像，因此，如果在步骤230之后未接收到辅助取证操作指 令，即可停止屏幕录像，结束取证操作；反之，如果在步骤230之后 接收到辅助取证操作指令，可以基于辅助取证操作指令执行相应的辅 助取证操作，并将辅助取证操作执行后得到的目标证据数据或加密容 器分区镜像等内容存储后再停止屏幕录像，结束取证操作。
101.本发明提供的基于移动存储设备的取证方法，在将调用专业取证 工具所得的证据数据存储之后，待取证设备通过判断是否接收到辅助 取证操作指令，判定是结束取证操作还是继续执行针对辅助取证操作 指令的辅助取证操作，以此提高证据数据的多样性和可靠性。
102.下面对本发明提供的基于移动存储设备的取证装置进行描述，下 文描述的基于移动存储设备的取证装置与上文描述的基于移动存储 设备的取证方法可相互对应参照。
103.如图3所示，本发明提供一种基于移动存储设备的取证装置，在 图3中，该基于移动存储设备的取证装置300，包括：
104.获取模块310，用于获取取证启动指令；证模块320，用于基于 所述取证启动指令，调用所述移动存储设备内的专业取证工具执行取 证操作，从而得到证据数据；存储模块330，用于存储所述证据数据。
105.可选的，取证模块320，具体可以用于当确定待取证设备的当前 状态为开机状态时，基于所述取证启动指令，启动所述移动存储设备 内的屏幕录像工具进行屏幕录像；在所述屏幕录像的过程中，启动所 述移动存储设备内的内存镜像工具制作内存镜像，从而得到含有证据 数据的镜像文件。
106.可选的，取证模块320，具体可以还用于当确定待取证设备的当 前状态为关机状态时，基于所述取证启动指令，启动所述移动存储设 备内的预设操作系统，以运行所述硬盘镜像工具执行镜像操作，从而 得到含有证据数据的镜像文件。
107.可选的，取证模块320，具体还可以用于当确定待取证设备的当 前状态为关机状态时，基于所述取证启动指令，启动所述移动存储设 备内的预设操作系统，以运行所述硬盘克隆工具执行克隆操作，从而 得到含有证据数据的克隆盘。
108.存储模块330，具体可以用于获取所述数据分区的当前可用空间 信息；确定所述当前可用空间信息满足预设存储条件时，将所述证据 数据存储至所述移动存储设备的数据分区内。
109.存储模块330，具体还可以用于确定所述当前可用空间信息不满 足所述预设存储条件时，输出第一提示信息，所述第一提示信息用于 提示用户外接硬盘存储所述证据数据。
110.可选的，取证模块320，具体还可以用于获取所述移动存储设备 的累计使用频率；判断所述累计使用频率与预设使用频率阈值的大小 关系；确定所述累计使用频率未达到所述预设使用频率阈值时，执行 所述基于所述取证启动指令，调用所述移动存储设备内的专业取证工 具执行取证操作，从而得到证据数据的步骤；确定所述累计使用频率 达到所述预设使用频率阈值时，输出第二提示信息，所述第二提示信 息用于提示用户更换新的移动存储设备。
111.可选的，取证模块320，具体还可以用于判断是否接收到辅助取 证操作指令；若接收到所述辅助取证操作指令，则解析并执行所述辅 助操作指令中的辅助取证操作，从而得到辅助证据数据；其中，所述 辅助取证操作基于用户自定义取证工具完成；若未接收到所述辅助取 证操作指令，则结束取证操作。
112.图4示例了一种电子设备的实体结构示意图，如图4所示，该电 子设备400可以包括：处理器(processor)410、通信接口 (communicationsinterface)420、存储器(memory)430和通信总线440， 其中，处理器410，通信接口420，存储器430通过通信总线440完 成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以 执行基于移动存储设备的取证方法，该方法包括：
113.获取取证启动指令；
114.基于所述取证启动指令，调用所述移动存储设备内的专业取证工 具执行取证操作，从而得到证据数据；
115.存储所述证据数据。
116.此外，上述的存储器430中的逻辑指令可以通过软件功能单元的 形式实现并作为
独立的产品销售或使用时，可以存储在一个计算机可 读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说 对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品 的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若 干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者 网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而 前述的存储介质包括：u盘、移动硬盘、只读存储器(rom， read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、 磁碟或者光盘等各种可以存储程序代码的介质。
117.另一方面，本发明还提供一种计算机程序产品，所述计算机程序 产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介 质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法 所提供的基于移动存储设备的取证方法，该方法包括：
118.获取取证启动指令；
119.基于所述取证启动指令，调用所述移动存储设备内的专业取证工 具执行取证操作，从而得到证据数据；
120.存储所述证据数据。
121.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上 存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各 方法提供的基于移动存储设备的取证方法，该方法包括：
122.获取取证启动指令；
123.基于所述取证启动指令，调用所述移动存储设备内的专业取证工 具执行取证操作，从而得到证据数据；
124.存储所述证据数据。
125.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部 件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的 部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也 可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或 者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付 出创造性的劳动的情况下，即可以理解并实施。
126.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解 到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然 也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现 有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软 件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光 盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机， 服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所 述的方法。
127.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而 非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领 域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技 术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修 改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方 案的精神和范围。