一种计算机取证装置及取证方法
【技术领域】
[0001]本发明涉及一种取证系统,尤其涉及一种计算机取证装置及取证方法。
【背景技术】
[0002]现阶段实时计算机取证的手段主要包括两种,第一种是通过硬盘拷贝进行取证,主要的产品有Logicube公司的计算机取证产品Dossier、Quest_2,达思万能数据恢复系统(DST Almighty Data Recovery System,简称D-ARS)等;第二种是采用入侵植入软件的方式进行取证,类似于病毒对计算机的运行痕迹进行保存。硬盘拷贝取证系统需要被取证对象的配合,能动性不强,软件取证方式会影响计算机进程,容易被检测查杀。
[0003]因此,现有技术存在缺陷。
【发明内容】
[0004]本发明的目的在于克服现有技术的不足,本发明提供一种计算机取证装置及取证方法,能主动、实时的实现对计算机内存实现取证,解决现有技术中取证存在的问题。
[0005]为实现上述目的,本发明提供的技术方案是:一种计算机取证装置,包括:读写模块:用于读写计算机的内存数据;处理模块:用于对读写到的数据进行相关处理;比对模块:用于对处理过的数据进行比对判断;修改模块:用于对经过判断的数据进行修改。
[0006]依照本发明的一个方面,所述处理模块包括格式转换部,用于将读取到的内存数据进行格式转换,以便于其他模块对其进行比对修改。
[0007]依照本发明的一个方面,所述计算机取证系统还包括用于传输相关指令和数据的传输模块以及用于发送指令的指令模块。
[0008]依照本发明的一个方面,所述读写模块、传输模块设置为1394接口。
[0009]依照本发明的一个方面,所述1394接口通过PCI或PC1-E接口与计算机相连接。
[0010]依照本发明的一个方面,所述处理模块、比对模块、修改模块以及指令模块设置为FPGA主控芯片。
[0011]依照本发明的一个方面,一种计算机取证方法,所述取证方法包括以下步骤:
[0012]读取计算机内存数据;
[0013]对内存数据进行分析和比对;
[0014]判断读取到的内存数据是否为关键数据;
[0015]判断是关键数据,修改关键位并启动1394接口,将修改后数据写入计算机内存,完成内存的修改,实现硬件取证代码的植入。
[0016]依照本发明的一个方面,所述1394接口通过PCI或PC1-E接口实现对计算机内存数据的读取。
[0017]依照本发明的一个方面,所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。
[0018]依照本发明的一个方面,所述FPGA对内存的实时分析的结果,能及时通过FPGA产生相应的内存修改数据,对一些计算机的非法操作进行禁止或中断。
[0019]本发明的有益效果是:
[0020]不需要被取证对象的配合,能够自动取证。能够保存历史数据,防止被取证对象对证据的删除等处理。实时性高,能够在计算机运行的时候实时取证,而不是事后取证。
【附图说明】
[0021]图1是本发明一种计算机取证装置及取证方法中取证过程的流程图;
[0022]图2是本发明中一种计算机取证装置及取证方法中1394接口的工作流程图。
【具体实施方式】
[0023]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0024]一种计算机取证装置,包括:读写模块:用于读写计算机的内存数据;处理模块:用于对读写到的数据进行相关处理;比对模块:用于对处理过的数据进行比对判断;修改模块:用于对经过判断的数据进行修改。所述处理模块包括格式转换部,用于将读取到的内存数据进行格式转换,以便于其他模块对其进行比对修改。所述计算机取证系统包括用于传输相关指令和数据的传输模块,所述计算机取证系统还包括指令模块,该模块将相应的读写指令发送给读写模块,将相应的传输指令发送给传输模块。
[0025]所述读写模块、传输模块设置为1394接口,所述1394接口通过PCI或PC1-E接口与计算机相连接。由于1394总线的高速性和其独立于主机的操作能力,较之USB、RS232、RS485等总线有明显优势,所以本系统采用1394总线方式作为硬件入侵的总线方式。1394接口不需要电脑控制,也不需要HUB,仅利用网桥即可实现互联,并且理论上可以达到无限级联;其传输速率最高可达lGb/s以上。由于计算机特别是台式机一般没有1394接口,所以将1394接口通过PCI接口与计算机相连接。通过1394接口读取计算机的内存,并对内存进行分析、比对,找到需要修改的关键信息,修改后写入内存中,从而实现硬件取证。
[0026]所述处理模块、比对模块、修改模块以及指令模块设置为FPGA主控芯片。可编程逻辑阵列FPGA器件对读取的内存数据进行实时的分析,能够实时发现和取证计算机的内存数据;FPGA器件具有速度快、并行处理能力强、分析能力强、可靠性高的优点,在对1394协议进行控制的同时,能够快速、实时实现所读取的内存数据的分析。
[0027]一种计算机取证方法,所述取证方法包括以下过程:
[0028]步骤S1:读取计算机内存数据;
[0029]所述1394接口通过PCI或PC1-E接口实现对计算机内存数据的读取。由于计算机特别是台式机一般没有1394接口,所以将1394接口通过PCI接口与计算机相连接。
[0030]步骤S2:对内存数据进行分析和比对;
[0031]所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。采用现场可编程逻辑阵列FPGA器件对读取的内存数据进行实时的分析,能够实时发现和取证计算机的内存数据;FPGA器件具有速度快、并行处理能力强、分析能力强、可靠性高的优点,在对1394协议进行控制的同时,能够快速、实时实现所读取的内存数据的分析。
[0032]步骤S3:判断读取到的内存数据是否为关键数据;
[0033]所述对内存数据进行分析和比对是通过FPGA实现的,其对数据的分析是实时的。能够通过