一种电子数据取证方法、取证系统以及取证终端与流程

1.本发明涉及信息安全技术领域，更具体的说是涉及一种电子数据取证方法、取证系统以及取证终端。


背景技术：

2.现代信息技术给人们的工作和生活带来诸多方便的同时，也不免引发了各种负面问题，尤其是利用网络和信息而引发的各类犯罪行为呈现逐年增长的多发态势，诸如窃取国家机密、泄露个人隐私、网络诈骗、黑客攻击之类的事件层出不穷，与之相关联的刑事、民事、行政案件或纠纷也大幅增长。为适应对这类案件或纠纷的诉讼需要电子取证应运而生。
3.电子取证是用计算机、通信、电子等相关学科中的原理和方法，按照符合法律规范的方式进行识别、保存、分析和提交电子证据的过程。
4.电子证据只有遵循合法的流程、并能被证明其真实性才能被法院认可，因此证明电子证据的真实性、合法性是非常必要的，为防止在取证过程中对电子证据进行破坏，需要对取证后的电子证据进行验证，在现有技术进行了复杂的计算以及繁复的工作。因此研发一种能够保证电子证据真实性的情况下便捷的取证方法是本领域技术人员亟需解决的问题。


技术实现要素：

5.有鉴于此，本发明提供了一种电子数据取证方法、取证系统以及取证终端，克服了上述缺陷。
6.为了实现上述目的，本发明提供如下技术方案：
7.一种电子数据取证方法，具体步骤为：
8.获取目标计算机中的目标电子数据；
9.将目标电子数据进行归一化处理；
10.将归一化处理的目标电子数据实时发送至备份设备，并同时生成取证文件；
11.将取证文件生成二维码图片数据；
12.验证二维码图片数据；
13.将二维码图片数据还原为取证文件；
14.为取证文件建立索引目录。
15.可选的，目标电子数据包括：网络平台发布信息、通信信息、用户基础信息、电子文件。
16.可选的，目标电子数据归一化处理的步骤包括：
17.根据预先设置的数据得到目标电子数据的获取模板和数据获取要求；
18.依据数据获取模板和数据获取要求对目标电子数据进行归类与合并，并对目标电子数据进行特征信息采集。
19.可选的，特征信息包括创建信息、修改信息、删除信息、访问信息、是否真实、是否
加密、文件后缀信息、文件类型信息和文件全路径信息。
20.可选的，二维码图片数据的获取步骤为：
21.将取证文件按照标准二维码编码规则进行编码；
22.根据编码生成二维码矩阵；
23.将二维码矩阵渲染成二维码图片数据。
24.可选的，还包括取证记录，用于记录取证文件的取证过程，并发送至存储装置。
25.一种电子数据取证系统，包括：
26.采集装置，用于获取目标计算机中的目标电子数据；
27.处理装置，用于对目标电子数据进行归一化处理；并将归一化处理的电子数据生成取证文件；验证目标计算机和备份装置中的二维码图片数据；
28.二维码生成装置，用于将取证文件转换成二维码图片数据；
29.备份装置，用于保存备份的取证文件；
30.二维码解码装置，用于将二维码图片数据还原为取证文件。
31.一种取证终端，包括存储器和处理器，所述存储器上存储有在处理器上运行的计算机指令，处理器运行计算机指令时执行一种电子数据取证方法的步骤。
32.经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种电子数据取证方法、取证系统以及取证终端，通过对目标电子数据的归一化处理，对于目标任务相关的数据进行关联性以及逻辑性的处理，能够将目标电子数据进行统一化描述，能够十分清楚的获得任一目标电子数据与目标任务的关系以及其具体的情况；通过两个设备上各自生成的二维码图片数据进行验证，能够确认在备份过程中是否对取证文件造成了更改，使得验证工作更加简洁方便，提高了取证过程的速度；通过将归一化处理的目标电子数据按照小类实时发送至备份设备，能够避免整体数据传输时数据较大，传输时间较长，影响传输速度，且采用实时传输能够加快验证的速度，减少验证时间。
附图说明
33.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
34.图1为本发明的方法流程示意图；
35.图2为本发明的系统结构示意图。
具体实施方式
36.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.实施例1
38.本发明实施例公开了一种电子数据取证方法、取证系统以及取证终端，公开了一
种电子数据取证方法的具体步骤，一种电子数据取证系统的具体结构以及一种取证终端的具体组成部分。
39.一种电子数据取证方法的具体步骤，如图1所示，具体步骤为：
40.步骤1、获取需要取证的电子数据所在的目标计算机中的目标电子数据；
41.根据目标任务，在多台计算机中获取目标电子数据；
42.其中目标电子数据包括：网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；文档、图片、音视频、数字证书、计算机程序等电子文件。
43.步骤2、将目标电子数据进行归一化处理；
44.根据预先设置的数据获取目标电子数据的获取模板和数据获取要求；
45.依据数据获取模板和数据获取要求对目标电子数据进行归类与合并，并对目标电子数据进行特征信息采集；
46.其中，特征信息包括创建信息、修改信息、删除信息、访问信息、损毁信息、是否真实、是否加密、文件后缀信息、文件类型信息和文件全路径信息等。
47.步骤3、将归一化处理的目标电子数据实时发送至备份设备，并同时生成取证文件；
48.对归一化处理后的目标电子数据以各自小类的分类方式实时发送至备份设备，并在目标计算机和备份设备上各自生成对应的取证文件。
49.在另一实施例中，对获得的目标电子数据进行数据处理，例如：将相同的多个目标电子数据归纳为一个目标电子数据，但是保留多个获取路径；对已经人为删除或人为格式化的内容进行数据恢复等等；
50.将处理后的目标电子数据按照时序特点以及与目标任务的关联程度构建电子数据链，以验证获取目标电子数据逻辑关系的正确性以及真实性；
51.根据电子数据链进一步挖掘目标电子数据，尽可能的使电子数据链更加完整；
52.将电子数据链进行分解，并将分解后的电子数据链传送至备份设备；
53.根据电子数据链生成取证文件
54.步骤4、将取证文件生成二维码图片数据；
55.根据获得取证文件在目标计算机和备份设备上各自生成对应的二维码图片数据；
56.其中，二维码图片数据的生成步骤为：
57.将取证文件按照标准二维码编码规则进行编码；
58.根据编码生成二维码矩阵；
59.将二维码矩阵渲染成二维码图片数据。
60.步骤5、验证第二维码图片数据；
61.对目标计算机和备份设备上各自生成的二维码图片数据进行对比；
62.若一致，则证明在备份过程中并未对取证文件造成修改，进行下一步；
63.若不一致，则证明在备份过程中对取证文件造成修改，则重新对文件进行备份。
64.步骤6、将二维码图片数据还原为取证文件；
65.步骤7、根据取证文件的特征信息为取证文件建立索引目录。
66.在本实施例中，在步骤5之前还包括病毒查杀的步骤，在备份设备进行二维码图片数据转化前，首先对获得的取证文件进行病毒的查杀，若发现病毒，则先对取证文件进行病毒消杀，再对取证文件进行二维码图片数据转化。
67.在另一实施例中，还包括取证记录，用于记录取证文件的取证过程，并发送至存储装置。
68.在另一实施例中，在证明取证过程并未影响取证文件后，将二维码图片数据分割成n个子数据；再将n个子数据分别存储在备份设备的n个存储节点中，并生成分割编号文件；根据分割编号文件生成索引目录。
69.其中，二维码图片数据分割成n个子数据的方法为：将二维码图片数据量的大小除以n得到l，如果没有余数r则生成n个等量的大小为l的子数据，如果有余数r则生成n-1个大小为l的子数据和1个大小为l r的子数据。
70.在此种方案实施时，需要将多个目标计算机生成的二维码图片数据进行融合；具体为采用matlab中的函数将多个二维码矩阵进行合并，得到新二维码矩阵，根据新获得的二维码矩阵渲染成二维码图片数据，得到取证二维码。
71.在此种方案实施中，当需要对取证文件进行提取时，根据索引目录提取n个子数据，组合生成二维码图片数据，根据二维码图片数据还原取证文件。
72.一种电子数据取证系统，如图2所示，包括：
73.采集装置，用于获取目标计算机中的目标电子数据；
74.处理装置，用于对目标电子数据进行归一化处理；并将归一化处理的电子数据生成取证文件；验证目标计算机和备份装置中的二维码图片数据；
75.二维码生成装置，用于将取证文件转换成二维码图片数据；
76.备份装置，用于备份取证文件；
77.二维码解码装置，用于将二维码图片数据还原为取证文件。
78.在另一实施例中，还包括录屏装置，对取证文件的取证过程进行实时记录，确保在获取取证过程的合法性和真实性。
79.一种取证终端，包括存储器和处理器，所述存储器上存储有在处理器上运行的计算机指令，其特征在于：处理器运行计算机指令时执行一种电子数据取证方法的步骤。
80.实施例2
81.根据案件，判断涉及到的目标计算机；然后在涉及到的目标计算机中提取跟案件相关的电子数据；
82.根据案件的类型以及预设的数据得到获取模板和数据获取要求；
83.根据上一步骤得到的获取模板和数据获取要求对采集的电子数据进行处理；
84.对处理后的电子数据以小类为准，实时传输至备份设备；
85.对目标计算机和备份设备中的文件进行二维码图片数据转换并核验；
86.核验成功，将二维码图片数据还原为取证文件，并根据特征信息建立索引目录，以便文件的查询。
87.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说
明即可。
88.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。