一种分布式的电子数据取证系统及方法

一种分布式的电子数据取证系统及方法
【技术领域】
[0001]本发明涉及一种电子取证方法，特别涉及一种一对多的快速取证技术。
【背景技术】
[0002]随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子数据证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子数据证据的过程就是电子数据取证。
[0003]由于电子数据证据的特殊性，在收集电子数据证据时，首先需由提供证据单位的计算机操作人员打开电脑，查找所需收集的证据。当找到证据时，取证人员应通过显示器观察和确认该证据的形成时间。然后由操作人员打开文件，由取证人员确认该文件系所要收集的证据后，采用相应的方式予以提取固定。在查找证据过程中，如遇文件找不到或打不开等问题，应及时通知专业人员予以协助。
[0004]同时，为确保电子数据证据的原始性、真实性、合法性，在电子数据证据的收集时应采用专业的数据复制备份设备将电子数据证据文件复制备份，要求数据复制设备需具备只读设计以及自动校准等功能。
[0005]现有技术中，现场取证时往往都是通过定制的U盘对目标机进行取证，对于多台机器的取证需要耗费大量的时间，而且对于现场取到的数据也没有后续的管理分析。

【发明内容】

[0006]本发明针对现有电子取证方法中，在现场取证时通过定制的U盘对目标机进行取证所存在的耗时长且无法进行后续管理分析的问题，而提供一种分布式的取证取证系统以及基于该取证系统进行的分布式取证方法，由此能够实现通过一台机器对多台机器进行同时取证，且可对取回的数据进行深入的分析及管理。
[0007]为了达到上述目的，本发明采用如下的技术方案:
[0008]一种分布式的电子数据取证系统，该取证系统包括取证U盘，其还包括LiveManager,所述LiveManager在现场配置分发取证U盘，配置后的取证U盘利用LiveConsole对目标机进行I对I取证；所述LiveManager还利用局域网与同一个网络内运行的多个LiveConsole进行通信，传输取证数据和控制命令，对多台目标机进行I对N的同时取证。
[0009]优选的，所述取证U盘取证时，通过在目标机中启动LiveConsole进行取证。
[0010]优选的，所述取证U盘通过如下两种方式将取得的数据导入到LiveManager中:
[0011]1.由LiveConsole通过局域网与LiveManager进行通信，将提取的数据直接传输到 LiveManager 中；
[0012]2.由LiveConsole先将提取到的数据保存在相应的取证U盘上，然后在提取结束后将取证U盘接入到LiveManager所在的计算机将数据导入到LiveManager中。
[0013]优选，所述LiveManager可对导入的数据进行深入分析，包括提取数据文件中的应用数据记录、对保存在文件中的加密信息进行破解和分析。
[0014]优选的，所述LiveManager包括:
[0015]U盘配置模块，所述U盘配置模块用于将U盘配置成基于LiveConsole取证的取证U盘；
[0016]LiveConsole通信控制模块，所述LiveConsole通信控制模块用于通过局域网与同一个网络内正在运行的取证U盘内的LiveConsole通信连接，传输取证数据和控制命令；
[0017]案件数据管理模块，所述案件数据管理模块用于结构化展示取证U盘传回的数据；
[0018]控制模块，所述控制模块协调U盘配置模块、LiveConsole通信控制模块以及案件数据管理模块之间的工作。
[0019]优选的，所述U盘配置模块通过初始化取证环境、配置取证选项和维护U盘使用许可来完成取证U盘的配置。
[0020]基于上述的分布式电子数据取证系统实现的电子数据取证方法，其通过LiveManager在现场配置分发取证U盘，由取证U盘利用LiveConsole对目标机进行I对I取证；同时由LiveManager利用局域网与同一个网络内的多个运行的LiveConsole通信，进行传输取证数据和控制命令，对多台目标机进行I对N的同时取证。
[0021]优选的，所述电子数据取证方法的具体过程如下:
[0022](I)启动LiveManager配置分发多个取证U盘；
[0023](2)将取证U盘插入目标机运行，启动LiveConsole对目标机进行取证；
[0024](3)通过LiveConsole对多台机器进行同时取证；
[0025](4)将LiveConsole得到的证据导入LiveManager，进行分析，可得到分析报告。
[0026]优选的，所述步骤⑴中配置分发取证U盘的过程如下:
[0027]首先，LiveManager会将U盘格式化成一个可以启动的U盘；
[0028]接着，LiveManager将包含现场取证的在线和离线取证程序及其环境初始化到U盘的CD分区和USB分区；
[0029]然后，通过LiveManager对取证提取选项进行预先设置；
[0030]最后，通过LiveManager向取证U盘中导入许可对LiveConsole后续取证进行授权。
[0031]优选的，所述步骤(2)中LiveConsole提取的证据数据可以保存在对应的取证U盘的数据库中或者通过网络传输到LiveManager中。
[0032]优选的，所述步骤(3)中由LiveManager利用局域网与同一个网络内的多台对象计算机中运行的LiveConsoIe通信，进行传输取证数据和控制命令，进行一对多的取证。
[0033]优选的，所述步骤⑷中利用LiveManager对导入的数据文件进行分析；并由LiveManager将分析的结果存放在内部数据库中，最后对有用的数据进行标记和汇总，形成详细的取证调查报告。
[0034]优选的，所述电子数据取证方法中还包括回收取证U盘步骤。
[0035]本发明提供的取证方法通过现场分发U盘的形式，在复杂的现场增加了取证弹性，通过I对N的取证方式提高了取证效率和现场保护的力度，通过对证据的深入分析可以获取更多的有用的信息。
【附图说明】
[0036]以下结合附图和【具体实施方式】来进一步说明本发明。
[0037]图1为本发明实施的流程图。
【具体实施方式】
[0038]为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
[0039]本发明通过LiveManager在现场配置分发取证U盘，再由取证U盘利用LiveConsole对目标机进行I对I取证。
[0040]根据需要LiveManager再利用局域网与同一个网络内的多台对象计算机中运行的LiveConsole进行通信，进行传输取证数据和控制命令，通过主从式的控制对多台目标机进行I对N的同时取证。
[0041]对于现场取到的证据，可导入LiveManager进行深入分析及相应的案件管理。
[0042]该LiveManager可对导入的数据文件进行深入分析，包括提取这些文件中的应用数据记录，如浏览器的历史记录，也可对某些保存在文件中的加密信息进行破解和分析，以获得更加全面和直观的证据信息。在对数据进行深入处理的同时，LiveManager将分析的结果存放在内部数据库中，可以进行快速的浏览和检索，最后调查人员对有用的数据进行标记和汇总，形成详细的取证调查报告。
[0043]在具体实现时，该LiveManager主要有U盘配置模块、LiveConsole通信控制模块、案件数据管理模块、控制模块四个模块。
[0044]U盘配置模块主要功能是将U盘配置成LiveConsole取证端(即取证U盘)。
[0045]该U盘配置模块通过初始化取证环境、配置取证选项和维护U盘使用许可等程序来完成取证U盘的配置。其整个配置过程如下:
[0046]首先LiveManager通过U盘配置模块将包含现场取证的在线和离线取证程序及其环境初始化到U盘的CD分区和USB分区，以保证在两种取证环境下可以顺利启动LiveConsole ；
[0047]然后通过对取证提取选项进行预先设置以节省现场取证时间；
[0048]最后向取证U盘中导入临时许可对LiveConsole后续取证进行授权。
[0049]由此配置而成的取证U盘(LiveConsole取证端)在与目标机连接时，将通过启动其内的LiveConsole，利用LiveConsole对目标机进行直接取证。
[0050]这里的LiveConsole主要功能是证据的提取和固定，主要包括对象机器中的各种应用软件的数据文件和数据记录、对象计算机的基本系统信息、文件系统中的部分特殊文件以及存储设备的数据镜像。
[0051]再者，LiveConsole提取的数据可以保存在U盘的数据库中或者通过网络传输到LiveManager控制端的计算机中。
[0052]由此，取证U盘(LiveConsole取证端)可通过两种方式将取得的数据导入到LiveManager 中:
[0053]第一种方式:由LiveConsole通过局域网与控制端LiveManager进行通信，继而将提取的数据直接传输到LiveManager控制端中；
[0054]第二种方式:由LiveConsole先将提取到的数据保存在相应的取证U盘上，然后在提取结束后将取证U盘接入到LiveManager所在的计算机将数据导入到LiveManager控制端中。
[0055]LiveConsole通信控制模块，用于通过局域网与局域网内正在运行的取证U盘(LiveConsole取证端)内的LiveConsole通信连接，传输取证数据和控