专利名称:一种电子证据的综合管理方法
技术领域:
本发明是一种适用于计算机取证分析过程中原始证据保全和综合管理的方法,主要用于解决来源不同、类型不同、时间不同的海量复杂原始证据的存储、还原、预处理和提取,属于信息安全和计算机系统技术领域。
背景技术:
随着信息技术的发展和大数据时代的到来,计算机取证所面对的数据源变得越来越广泛,包括移动存储介质、手机、电脑、网络等,数据量动辄以TB计算。但这些数据并非都是具有取证价值的,这就需要识别出这些海量数据中具有取证价值的数据,过滤掉没有取证价值的数据,缩小取证分析的范围,提高取证分析的效率。·目前,取证数据分析的数据源基本都是单一的,很难做到对来自不同时间的不同介质的海量复杂数据进行综合分析,并且要等到取证分析时,才对证据源进行提取和数据分析。传统取证分析的对象只是单个数据源,其缺点是不能对来自多个不同类型数据源的数据进行综合分析。而事实上,不同数据源的数据之间却往往存在着千丝万缕的联系,因此当前的技术已经远远落后于目前信息技术的发展,迫切需要一种能够实时对数据源进行数据提取,并将这些来自不同类型数据源的数据进行统一存储和管理的系统,使取证人员在有取证需要时,能够快速得到想要的取证数据进行取证分析。
发明内容
技术问题针对上述存在的问题,本发明的目的是提供一种对不同复杂数据源的电子数据进行保全以及潜在证据数据提取和综合管理的方案及其相关的配套机制,所述的电子证据综合管理系统就是基于以上机制实现的。技术方案本发明的电子证据的综合管理方法,由管理客户端、镜像存储管理模块、潜在证据文件提取与分类存储模块、数据库管理模块四部分连接组合而成;管理客户端运行于用户电脑,完成证据镜像文件的提取、还原、上传,以及潜在证据文件的查看和下载;镜像存储管理模块位于镜像服务器,具有存储介质的上传、存储、管理、挂载的功能;潜在证据文件提取与分类存储模块运行于文件服务器上,具有远程文件系统遍历、规则初始化、文件提取和分类存储功能;数据库管理模块运行于数据库服务器上,负责文件提取规则、分类规则的存储管理,以及镜像和文件相关属性信息的存储和管理,这三个服务器相互连接在一起后再与运行在用户电脑上的管理客户端相连。管理客户端将具有取证分析价值的存储介质中的数据制作成镜像文件,然后将镜像文件上传的镜像服务器上进行保存,并将镜像文件的相关属性信息存储到数据库中,然后将镜像文件挂载到镜像服务器上。运行于文件服务器上的潜在证据文件提取与分类存储模块,遍历挂载到镜像服务器上的镜像文件的文件系统,根据提取规则,提取其中具有取证价值的数据文件作为证据文件,按照文件分类存储的规则保存到文件服务器上,并将文件的属性信息存储在数据库中。管理客户端实时的将存储介质上的数据上传到镜像服务器上交由镜像管理存储模块存储管理。
管理客户端随时浏览和下载镜像服务器上已经存在的镜像文件及上面的内容,并指定要下载的镜像格式。管理客户端实时的分类查看系统提取取来的所有具有取证价值的文件,或将所需要的文件下载到本地做进一步的取证分析。运行于文件服务器上的潜在证据文件提取与分类存储模块根据提取出的证据文件溯源到该文件所在的磁盘镜像文件。本方法要实现以下几个目标
I.数据的添加不受时间的限制,任意时刻都可以向系统中添加数据,并且不受数据存储介质的影响,系统将会以镜像的形式提取存储在存储介质中的原始电子数据,并将镜像以原始格式上传到镜像服务器上保存。2.镜像的提取是以无损形式按位对存储介质进行镜像,保证能够通过对镜像文件的操作还原已经删除的文件,并且能够将镜像逆向还原到物理存储介质;
3.能够借助虚拟机对计算机系统磁盘镜像进行仿真;
4.自动从镜像文件中提取具有取证价值的电子数据(如日志文件、文档、数据文件、应用程序等等),过滤目前还不具备分析条件和已知的不具有取证价值的数据(如一些系统文件等),并将电子数据的一些附加信息存储到数据库中;
5.在电子数据提取时,按照一定的分类规则对提取的电子数据在文件服务器上自动分类存放;
6.具有统一性,对不同时间、不同介质镜像中提取的电子数据在文件服务器上统一存放,为进一步的取证分析提供最全面的数据。办案人员在办案过程中,会搜集到嫌疑犯的形式各样的电子设备,包括个人电脑、手机、平板电脑、移动硬盘、U盘等等,这些电子设备中存储了大量的电子数据,其中有大量嫌疑人的个人资料、个人数据和通信数据,这些数据不仅包含了当时案件侦破所需的大量信息和电子证据,也很可能包含了以后其它案件的线索和证据,本发明的目的是,在将各种数据源以镜像的形式提取保全之后,提取其中包含敏感信息的文件,并将它们集中存储。这样做的目的,一方面是为了方便当时的取证分析,另一方面也是为了方便日后不同时间、不同介质间敏感数据的综合取证分析。本发明是集数据采集、还原、保全、仿真、证据筛选和存储等功能的电子证据综合管理平台,它主要由镜像提取与还原、镜像管理、仿真、证据分类提取和规则管理等五个子系统组成。I)镜像提取与还原
用户以一定的权限登陆系统,成功登陆后,用户能够浏览查看镜像服务器上已经存在的镜像和镜像的时间、大小、来源、关联对象、镜像类型等信息。当用户要提取镜像时,只要将物理介质通过只读设备连接到运行有电子取证客户端的电脑即可,接下来用户需要填写与该磁盘相关联的部分信息,比如与数据存储介质关联的对象即存储介质的主人,镜像关联的案件、备注信息等。而系统则会自动提取生成其它一些固有属性,比如镜像提取的时间、镜像的大小、镜像的类型即原始存储介质的类型等。当所有这些需要的信息都提取完成后,系统开始读取镜像数据同时将读取得到的数据上传到镜像服务器存储。用户也可以选择已经利用第三方取证工具提取好的镜像文件通过客户端上传到镜像服务器进行存储。当镜像管理器接收到来自客户端的镜像存储请求后,会通过客户端获取要存储的物理存储介质的信息,接着,镜像管理程序会检测服务器上磁盘存储阵列剩余的存储空间是否满足存储新的镜像文件的需要,如果条件满足,则通知客户端提取镜像并上传镜像数据,否则,告知客户端目前不具备镜像存储的条件及其原因,并通过客户端将信息反馈给用户。当镜像文件创建完成后,镜像管理子 系统会计算镜像文件的SHA-I值并与客户端计算得到的原始存储介质的SHA-I值比对,若相等则返回成功,并将次SHA-I值作为镜像文件属性信息的一部分,否则返回错误,让用户选择下一步的操作时删掉重新上传或是忽略错误。当用户要将镜像服务器上的镜像还原到指定的存储介质上时,用户将要还原的物理存储介质连接到电脑的还原接口上,然后通过客户端选择要还原的镜像文件,根据系统提示,客户端可以下载镜像服务器的镜像文件数据,并在下载的同时将数据还原到目的存储介质上。当还原结束后,客户端会计算目的存储介质的起始到指定位置的SHA-I值并与镜像文件的SHA-I值比对,若相等,则还原成功,否则,还原失败。2)镜像管理子系统。由于计算机取证的特殊需要,必须保证镜像文件与原始存储介质的完全一样,同时也为了数据恢复和镜像还原的需要,本系统中采用了 DD文件格式作为镜像文件的存储格式,DD格式是一种通用的磁盘镜像格式,也称为原始镜像(RAM IMAGE)格式。DD格式最初是由LINUX下的DD命令所生成的文件格式,DD命令可以对目标媒介进行逐比特复制并制作镜像文件。该格式的支持软件最为广泛,几乎可以被所有的取证软件所读取。该格式镜像文件的后缀为.dd或者.001,并且可以被分割,以适应镜像文件存储的需要。其优点还在于,可以被各类程序进行特别的转换,这样就避免了格式转换中引入错误。由于该格式的文件整体大小与原始媒介大小一致,镜像文件不能包含镜像文件的注释信息等元数据,因此我们经与镜像文件相关的一些元数据存储到数据库中,也便于直接从数据库中直接查询浏览镜像信息,而不需要对镜像文件进行任何的操作,从而避免了镜像文件被误操作。所有的镜像文件都是以只读方式在镜像服务器的磁盘存储阵列中存储的。当用户要浏览查看磁盘阵列中的文件时,镜像管理器会将指定的磁盘镜像以虚拟磁盘的形式挂载到服务器上,并将该虚拟磁盘以只读共享的形式映射到指定IP地址的主机上,用户即可以在指定IP地址的主机上浏览查看磁盘镜像上的文件,又可以确保数据不被破坏。3)证据分类提取子系统。目前流行的操作系统主要是Windows和Linux,本系统针对的数据来源也主要是这两个操作系统的。无论是何种操作系统,取证所要获得的信息主要包括正常文件、日志文件、交换文件、电子邮件、临时文件、回收站、信息文件碎片、最近打开过的文件、缓存池(打印)文件、安装程序信息、Internet上网记录、注册表、文件空闲区、隐藏文件、程序源代码、删除过的文件、加密过的文件、安装程序的数据文件等,不同操作系统的磁盘镜像上,这些数据文件的存放位置不同,需要以不同的方式来提取。当镜像文件创建完成后,镜像服务器会自动以只读虚拟磁盘的形式挂载刚刚创建的镜像文件,并将虚拟磁盘以共享形式映射到文件服务器上,文件服务器上的文件爬虫会遍历映射到本地的虚拟磁盘,根据从规则库中提取的文件抓取规则,抓取所需要的文件到本地文件服务器,并根据文件属性和分类规则分类存储到文件服务器上。4)规则库管理
规则库中的规则主要分为两类文件提取规则和文件分类规则。文件提取规则是用来说明从磁盘镜像中提取哪些可能包含潜在电子证据的数据文件的规则,默认提取的文件包括正常文件、日志文件、交换文件、电子邮件、临时文件、回收站、信息文件碎片、最近打开过的文件、安装程序信息、Internet上网记录、注册表、隐藏文件、程序源代码、删除过的文件、加密文件、安装程序文件等。在不同操作系统的磁盘镜像上,这些文件的存放位置不同,需要以不同的提取方式来提取。文件分类规则是文档存储时分类的依据,主要分为用户文档和系统文档两大类。 用户文档主要是用户的一些私人文件,又可以分为文本文件(txt、源代码、Office文档、PDF文档等),图片文件、音频文件、视频文件等。系统文档又分为系统日志文件、配置文件、应用程序的配置文件和数据文件等。在本件提取和存储的同时,将文件的一些属性信息,包括文件在原始镜像中的属性信息和文件存储到文件服务器后的一些属性信息存储到数据库中。以便于从数据库中检索和浏览需要的文件和分类信息。通过这些属性信息可以对一个证据文件进行溯源找到它在磁盘镜像和原始存储介质中的位置。5)镜像仿真子系统。当用户需要对镜像文件进行计算机仿真时,用户可以在仿真客户端选择要仿真的磁盘镜像和仿真环境(VMware、VirtualPC),仿真客户端会自动下载要仿真的磁盘镜像数据,并自将镜像文件转化为仿真虚拟机所需要的虚拟磁盘格式存储到本地。此时,用户可以利用第三方的仿真虚拟器完成磁盘镜像的仿真了。
6)权限管理
为了保证原始镜像的安全性和数据的隐私性,系统采用了权限管理机制,只有一定权限的用户才可以提取和上传镜像文件,同时,不同的用户可以浏览和使用不同的镜像和数据文件,对于其它的镜像及其文件则无权访问。有益效果这个集存储介质镜像提取、保全、证据分类提取于一体的电子证据综合管理平台,主要有以下优点
I、证据保存方便安全,电子证据提取客户端与镜像服务器间通过网络互联,不受空间影响,无论在任何地点,只要能联网都可以提取镜像数据并上传到镜像服务器,即使在不能联网的地方也可以先将镜像在本地保存,在可以上网的环境下再将提取的镜像上传到镜像服务器上面。上传的镜像文件不受原始存储介质的类型、提取时间、提取空间的影响。2、所有的原始镜像文件都是在镜像服务器上以只读格式存储的,从而保证了镜像文件存储的安全性问题。并且用户对镜像和证据文件的浏览和使用是通过权限管理机制来实现的,保证了数据的安全性。3、镜像文件以最根本的DD格式存储,与原始存储介质完全对应,可以转化为多种其它格式的镜像文件,方便使用其它取证软件进行分析,同时也满足了对磁盘镜像进行仿
真的需要。4、系统自动根据提取规则和分类规则对镜像文件上具有取证价值的文件进行了分类提取,过滤掉了没有取证价值的文件,减少了电子证据分析的工作量,有效的提高了电子证据分析的效率。5、系统将从不同时间、不同镜像文件上提取的文件统一在文件服务器上分类存储,为用户进行来自多数据源的电子证据的管理分析提供了数据基础。6、系统提取的所有电子数据文件都是可溯源的,并且用户可以根据原始的镜像文件进行仿真实验。
图I是系统的物理部署图,
图2是系统功能的流程图。
具体实施例方式请参阅图1,为本发明电子证据综合管理平台的系统部署图,该平台由镜像服务器、数据库服务器、文件服务器组成,他们完成了该平台所有后台管理和存储工作,综合管理客户端将作为该平台与用户进行数据交互的接口。镜像服务器操作系统为CentOS系统,存储设备为磁盘阵列,主要负责镜像文件的存储和管理,响应来自客户端和文件服务器的请求,并向数据库中写入镜像文件的相关信息;文件服务器操作系统也是CentOS系统,主要负责从初始化文件提取和分类规则,并根据规则从镜像服务器的镜像文件中提取敏感数据文件并分类存储到本地,同时将文件的相关信息存储到数据库中;数据库服务器采用Oracle数据库,主要负责管理敏感数据文件提取规则和文件分类规则,以及镜像文件的相关信息和文件服务器上存储的敏感数据文件的相关信息的存储和管理;客户端运行环境为Windows系统,主要负责物理存储介质镜像的提取、上传、下载、镜像还原、镜像仿真,用户还可以通过客户端浏览查看镜像文件的文件系统,以及查看分析和下载文件服务器上分类存储的敏感数据文件。下面对电子证据综合管理平台的工作流程参照图2做一下阐述,证据文件提取过程如下
I)用户首先通过客户端登陆到本系统中,只有具有管理员权限的才具有上传镜像文件和更新镜像文件信息的权力,普通用户只能查看和下载与其负责的案件相关的镜像文件和数据文件。2)用户将欲提取镜像文件的存储介质通过只读接口挂载到计算机上,当客户端识别到设备时,就可以选择提取磁盘镜像文件了,用户也可以通过客户端选择上传已经提取好的镜像文件。此时,客户端会提示用户填写欲提取的镜像文件的一些关联属性,包括设备名称、关联对象(即原始存储介质的主人)、所属案件、地点、备注等,系统会自动提取和分配镜像序列号、镜像大小、镜像文件格式、镜像提取时间、哈希值、状态等信息,这些构成了镜像完整的属性信息。3)当客户端获取了镜像的属性信息后,会将信息发送给镜像服务器,镜像服务器接收到信息后会通知客户端上传镜像数据,并在镜像服务器接收镜像数据,并完成镜像文件的存储。4)上传数据过程中,客户端和镜像服务器的数据接收端会不断记录数据的上传和存储状态,当系统因为意外原因中断重启后,系统能够根据记录的状态自动续传。5)当镜像文件创建完成后,镜像服务器会计算新创建的镜像文件的SHA-I值,并与原始存储介质的SHA-I值比较,若匹配则镜像文件创建成功,将镜像文件的关联属性信息存储到数据库中,并向客户端返回镜像文件创建成功。若不匹配,则向客户端反馈镜像文件的HASH值不匹配,用户可以选择重新上传镜像数据,并将镜像服务器上的镜像文件删掉,也可以选择忽略错误,此时镜像服务器会将镜像文件中的HASH值置为镜像文件的SHA-I值,状态为HASH与原始存储介质不匹配。6)镜像文件成功创建后,镜像服务器会自动将新创建的镜像文件挂载为虚拟磁盘,并同时文件服务器完成虚拟磁盘的映射和文件的提取与分类存储。7)文件服务器接收到消息后将虚拟磁盘路径映射到本地,根据磁盘文件的类型,是Windows系统镜像、Linux系统镜像还是普通存储介质镜像来通过提取规则库加载相应 的提取规则和同分类规则库加载相应分类规则。8)文件服务器的提取规则和分类规则初始化后,开始从映射到本地的虚拟磁盘路径中遍历磁盘的文件系统,根据提取规则提取需要的敏感数据文件,然后再根据分类规则将文件分类存储到本地。同时将文件在原始镜像文件中的属性信息存储到数据库中,方便以后溯源的需要。镜像还原过程如下
9)用户通过客户端选择要还原的镜像文件和要被写入的物理存储设备,然后客户端会计算镜像文件和物理存储设备的大小,当物理存储设备大于等于镜像文件大小时,客户端会下载镜像文件,并将镜像文件数据写到物理存储介质中去。10)当镜像文件数据完全写入到物理存储介质中去后,客户单会计算物理存储介质上写入镜像文件数据部分的HASH值,并与原镜像文件的HASH值比对,若相等则返回成功,否则返回失败。镜像文件系统浏览过程如下
11)用户通过客户端选择要查看的磁盘镜像后,镜像服务器会将选择的磁盘挂载为虚拟磁盘,并以只读模式映射到客户机上。12)用户通过客户端可以浏览、查看、下载镜像文件中的数据。敏感数据文件分类浏览过程如下
11)用户通过客户端连接到文件服务器上,可以看到敏感文件的分类信息,通过分类信息,用户可以选择查看不同分类的数据文件,也可以查看它们的内容或者将它们下载到本地做进一步的分析。12)当用户对某一个文件感兴趣的时候,还可以通过客户端根据数据库中存储的文件的相关信息对文件进行溯源找到文件所在的磁盘镜像和其中的路径。镜像文件仿真的过程如下
13)用户可以选择自己感兴趣的磁盘镜像,和仿真虚拟机的类型,客户端会自动将选择的磁盘镜像下载到本地,并自动转换为虚拟机可以挂载的虚拟磁盘格式,下载和转换完毕后,调用第三方虚拟机加载磁盘镜像文件。系统磁盘镜像文件转换来的虚拟磁盘,虚拟机可以加载并运行,普通存储介质转换而来的虚拟磁盘只能够被虚拟机加载。规则管理的过程如下14)提取规则,系统会初始化一些默认的提取规则,针对不同的镜像文件类型会有不同的提取规则。对于Windows系统根据文件名和路径提取系统的应用程序日志、安全日志、系统日志等三类系统日志,和windows上安装的应用程序的数据文件,有Outlook、Foxmail>Skype、MSN、QQ、Fetion、IE、Firefox、Chrome等软件的配置文件和数据文件,针对Linux我们会提取连接时间日志、进程监控日志、系统和服务日志等系统日志,以及Firefox、Chrome等软件的配置文件和数据文件,提取的通用的文档包括日常文件、日志文件、交换文件、电子邮件、临时文件、回收站、信息文件碎片、最近打开过的文件、安装程序信息、Internet上网记录、注册表、隐藏文件、程序源代码、删除过的文件、加密文件、安装程序文件等。15)分类规则,默认的文件分类规则有两种,一种是根据文档类型分类,分为程序源码文件、日志文件、安装程序文件、常用文档(txt、pdf、doc、excel、ppt等等)、加密文件、邮件文件等;另一种是根据文档所在位置分类;分为系统文件、程序文件、临时文件、回收站文件、已删除文件、隐藏文件、最近打开过的文件、普通文件等。16)规则管理,上述规则只是系统的默认规则,用户可以根据自己的需要增加、编 辑和删除规则,且系统也采用插件思想,对特殊规则可以增加插件对文档类型进行识别。
权利要求
1.一种电子证据的综合管理方法,其特征在于由管理客户端、镜像存储管理模块、潜在证据文件提取与分类存储模块、数据库管理模块四部分连接组合而成;管理客户端运行于用户电脑,完成证据镜像文件的提取、还原、上传,以及潜在证据文件的查看和下载;镜像存储管理模块位于镜像服务器,具有存储介质的上传、存储、管理、挂载的功能;潜在证据文件提取与分类存储模块运行于文件服务器上,具有远程文件系统遍历、规则初始化、文件提取和分类存储功能;数据库管理模块运行于数据库服务器上,负责文件提取规则、分类规则的存储管理,以及镜像和文件相关属性信息的存储和管理,这三个服务器相互连接在一起后再与运行在用户电脑上的管理客户端相连。
2.如权利要求I所述的电子证据的综合管理方法,其特征在于,管理客户端将具有取证分析价值的存储介质中的数据制作成镜像文件,然后将镜像文件上传的镜像服务器上进行保存,并将镜像文件的相关属性信息存储到数据库中,然后将镜像文件挂载到镜像服务器上。
3.如权利要求2所述的电子证据的综合管理方法,其特征在于,运行于文件服务器上的潜在证据文件提取与分类存储模块,遍历挂载到镜像服务器上的镜像文件的文件系统,根据提取规则,提取其中具有取证价值的数据文件作为证据文件,按照文件分类存储的规则保存到文件服务器上,并将文件的属性信息存储在数据库中。
4.如权利要求I所述的电子证据的综合管理方法,其特征在于,管理客户端实时的将存储介质上的数据上传到镜像服务器上交由镜像管理存储模块存储管理。
5.如权利要求2所述的电子证据的综合管理方法,其特征在于,管理客户端随时浏览和下载镜像服务器上已经存在的镜像文件及上面的内容,并指定要下载的镜像格式。
6.如权利要求3所述的电子证据的综合管理方法,其特征在于,管理客户端实时的分类查看系统提取取来的所有具有取证价值的文件,或将所需要的文件下载到本地做进一步的取证分析。
7.如权利要求3所述的电子证据的综合管理方法,其特征在于,运行于文件服务器上的潜在证据文件提取与分类存储模块根据提取出的证据文件溯源到该文件所在的磁盘镜像文件。
全文摘要
本发明是一种电子证据的综合管理方法。通过该平台,用户可以随时将得到的存储介质上面的数据以镜像文件的方式上传的镜像服务器上集中保存,并将上面的具有取证价值的数据文件提取出来分类存储到文件服务器上,并将文件的属性信息存储到数据库中。克服了目前取证软件只能对单个存储介质取证分析,且难以关联分析的弱点。通过该平台,用户可以随时浏览、查看和分析存储在本平台上的所有的镜像数据和敏感文件,并且用户还可以选择分类查看或下载文件进行分析,对于用户发现的可疑文件可以溯源到原始镜像文件,并对镜像进行仿真和进一步分析。提高了取证分析的效率和取证分析的范围,也保证了证据源的安全。
文档编号G06F17/30GK102708152SQ20121011377
公开日2012年10月3日 申请日期2012年4月18日 优先权日2012年4月18日
发明者孙国梓, 朱小龙, 杨一涛, 王瑞, 薛磊 申请人:南京邮电大学