一种电子取证设备物联化方法及系统与流程

本发明涉及取证技术领域，尤其涉及一种电子取证设备物联化方法及系统。

背景技术：

随着我国计算机以及网络技术的不断发展，目前计算机以及网络逐渐成为人们生活中不可或缺的一部分，与此同时涉及计算机、手机的案件，以及网络相关的案件也逐步增多。面对越来越多的电子数据取证鉴定案件，取证需求和种类也会越来越多。目前大部分的取证流程，没有一个统一的标准，各个取证软件之间基本上是单兵作战，部分取证装备会进行高度定制化，花费较大的开发成本方可与专业的案件管理系统对接，这也导致了取证设备管理复杂度和取证软件使用学习成本的增加。

传统的取证模式，案件检材等信息需要重复手工录入(便于取证装备与案件管理系统相对应)，校对成本高。取证装备取证分析之后生成的数据包，亦无法直接与案件管理系统进行关联，通常需要进行额外的人为拷贝，物联化程度较低。数据间缺乏关联性，数据库彼此无法兼容，形成了数据孤岛，无法形成有效的闭环。

部分取证设备和软件内置了案件管理的功能来解决这一问题，这样的方式，一方面无法与专业的案件管理系统相提并论，另一方面，也改变了取证设备的纯粹性。并且，当一个案件需要其他取证设备协同分析时，仍无法方便地实现联动。

对于专业的案件管理系统来说，若要对接取证软件，取证软件需要配合进行大量的开发。不仅要搭建和案件管理系统的通信机制，还需要进行网络连接的管理，且必须保证网络连通，无法进行离线操作。

取证软件的取证侧重点虽然各有不同，但亦有许多共通的部分，比如案件管理、录屏录像等，这时候，急需一种新的模式，来实现这些共通的功能，从而减少开发的成本，让取证软件专注于取证分析，而不必将资源浪费在案件流程和管理上。因此，如何整合取证设备和软件，汇聚所有的案件数据和信息，使系统更加智能化、物联化迫在眉睫。

技术实现要素：

为了解决上述问题，本发明提出了一种电子取证设备物联化方法及系统。

具体方案如下：

一种电子取证设备物联化方法，包括以下步骤：

s1：在取证设备上设置节点模块，节点模块与主控模块进行通信连接，节点模块采集取证设备信息和取证设备中包含的取证软件列表信息，并将取证设备信息和取证软件列表信息上传至主控模块；

s2：主控模块接收到取证设备信息和取证软件列表信息将对应的取证设备和取证软件列表注册到主控模块内；

s3：通过客户端创建案件，并查看主控模块中注册的取证软件列表，并选择取证软件列表内需要的取证软件后，发送包含选择的取证软件的对接指令至主控模块；

s4：主控模块接收到对接指令后，判断对接指令内包含的取证软件所在的节点模块后，向该节点模块发送取证指令；取证指令包含取证软件启动路径、启动参数和案件信息；

s5：节点模块接收到取证指令后，根据其内的取证软件启动路径和启动参数启动取证软件；

s6：取证软件启动后根据取证指令内的案件信息提取案件唯一标识符，并保存案件信息；

s7：取证软件进行取证操作，将生成的包含案件唯一标识符的取证结果信息发送至节点模块；

s8：节点模块将接收到的取证结果信息上传至主控模块；

s9：主控模块根据取证结果信息中的案件唯一标识符与案件进行关联。

进一步的，取证设备信息包括取证设备的硬件配置、安装的操作系统和操作系统中的软件列表及注册表信息。

进一步的，取证软件列表的采集方法为以下两种方法中的任一；第一种为：取证设备通过关键字在取证设备信息包含的软件列表中筛选出取证软件；第二种为：通过取证软件主动注册，上报其启动路径和启动参数。

进一步的，取证软件列表信息包括取证软件的软件启动路径、软件版本号、启动参数、以及自动生成的软件唯一识别id。

进一步的，取证软件在加载节点模块的动态库后，调用对应的接口将取证软件的软件启动路径、软件版本号和启动参数发送至节点模块。

一种电子取证设备物联化系统，包括客户端、主控模块和多个取证设备，所述客户端、主控模块和多个取证设备实现本发明实施例上述的方法的步骤。

本发明采用如上技术方案，制定了案件管理系统与取证设备之间联动的标准，可实现同时与多个取证设备联动，亦支持对接不同型号、不同种类的取证设备。当涉及到多种命令以及多样化的案件信息时，可快速将案件和取证数据信息进行关联。既可以查看取证软件信息，也可以查看取证设备本身的硬件和系统信息、以及取证设备的在线离线状态。大大减少了取证设备和软件的开发成本，对于取证设备，只需加载协议库，无需自行管理网络连接。与案件管理系统的交互只需通过调用api来实现。对于使用上，取证设备也无需保持实时在线状态。保证了取证设备与案件管理的松耦合，将分析与管理流程相互独立开，仅在需要时进行同步。

附图说明

图1所示为本发明实施例系统的结构图。

图2所示为本发明实施例方法的流程图。

图3所示为本发明实施例中各模块的工作流程图。

具体实施方式

为进一步说明实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。

现结合附图和具体实施方式对本发明进一步说明。

本实施例提供了一种电子取证设备物联化系统，如图1所示，所述系统包括客户端、主控模块和多个取证设备。所述客户端可以为用户电脑、手机等等，所述主控模块可以为云端服务器、本地服务器等等。取证设备上设置有节点模块，节点模块与主控模块进行长连接，取证设备上包括多个取证软件。

本发明实施例还提供了一种电子取证设备物联化方法，基于上述的电子取证设备物联化系统，如图2和图3所示，所述方法包括以下步骤：

s1：在取证设备上设置节点模块，节点模块与主控模块进行通信连接，节点模块采集取证设备信息和取证设备中包含的取证软件列表信息，并将取证设备信息和取证软件列表信息上传至主控模块。

取证设备信息包括取证设备的硬件配置、安装的操作系统和操作系统中的软件列表及注册表信息。取证设备的硬件配置包括cpu、内存、硬盘以及硬盘分区信息。安装的操作系统包括操作系统安装时间、版本号和名称。软件列表中包括所有已安装软件的软件名称、所属公司、安装位置、可执行程序位置、版本号和安装时间。

取证软件列表的采集方法可以为取证设备可以自行通过关键字(软件名称或厂商信息)在取证设备信息包含的软件列表中筛选出取证软件，也可以通过取证软件主动注册，上报其启动路径和启动参数。

取证软件列表信息包括取证软件的软件启动路径、软件版本号、启动参数、以及自动生成的软件唯一识别id。

取证软件需要首先加载节点模块的动态库后，调用对应的接口将取证软件的软件启动路径、软件版本号和启动参数发送至节点模块。

s2：主控模块接收到取证设备信息和取证软件列表信息将对应的取证设备和取证软件列表注册到主控模块内。

s3：通过客户端创建案件，并查看主控模块中注册的取证软件列表，并选择取证软件列表内需要的取证软件后，发送包含选择的取证软件的对接指令至主控模块。

案件创建后生成案件信息，案件信息包括案件唯一标识符和案件相关信息。

s4：主控模块接收到对接指令后，判断对接指令内包含的取证软件所在的节点模块后，向该节点模块发送取证指令；取证指令包含取证软件启动路径、启动参数和案件信息。

s5：节点模块接收到取证指令后，根据其内的取证软件启动路径和启动参数启动取证软件。

s6：取证软件启动后根据取证指令内的案件信息提取案件唯一标识符，并保存案件信息。

需要说明的是，取证软件启动后，何时获取案件信息由取证软件自行判断，在必要时刻(通常为刚启动软件时)通过api，获取下发的案件信息。

s7：取证软件进行取证操作，将生成的包含案件唯一标识符的取证结果信息发送至节点模块。

取证结果信息中还包括取证分析结果和取证报告，其支持离线暂存，当网络不通时，取证信息会暂存在节点模块中，当网络恢复时，可自动重传或续传到主控模块。

取证软件的取证操作为其独立完成的操作，取证过程不需依附节点模块，仅在需要时连接节点模块进行取证结果信息上传。

s8：节点模块将接收到的取证结果信息上传至主控模块。

s9：主控模块根据取证结果信息中的案件唯一标识符与案件进行关联。

本发明实施例可以整合所有取证设备的案件，所有案件从主控模块发起，然后将案件信息推送到取证设备，直到收集各个取证设备的取证结果，形成一个案件从创建-取证-采集-归档的闭环。

本发明实施例可以广泛应用于电子数据取证行业中，不仅能快速有效的将不同取证装备上海量的案件信息汇总到一个系统中，而且也有很强的灵活扩展性。只要保证取证设备上部署节点模块，在外出取证离线操作的过程中，也可以记录取证信息，并在适当的时候自动上传到主控模块，实现案件的自动化管理和统筹。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。