制命令,从而实现控制局域网内多个正在运行的LiveConsole取证端(如上述的取证U盘),并负责多个取证端与LiveManager控制端之间的数据提取和传输,同时可以实时监控每个LiveConsole取证端中LiveConsole的取证操作。
[0056]基于该LiveConsole通信控制模块,当LiveConsole取证端中的LiveConsole在取证目标计算机上启动成功后,便可通过局域网与LiveManager控制端中的LiveConsole通信控制模块建立通信链接,进行实时报告其取证过程中的操作、任务进度、已经获取到的结果;同时,LiveManager控制端通过该LiveConsole通信控制模块可以操纵远端的LiveConsole进行手动的提取,并且可选择将数据传回控制端还是保存在相应的取证U盘里。
[0057]案件数据管理模块,其主要功能是结构化展示LiveConsole取证端传回的数据,并对案件数据做简单的处理。
[0058]对于LiveConsole提取到的文件或者数据,往往调查人员无法直观方便地查看,可以通过LiveManager中的案件数据管理模块对提取到的数据进行简单的处理并结构化地展示出来,包括按记录的方式查看提取到的信息、按文件系统树状的方式查看提取的文件及目录间的关系,最后对这些数据和文件进行统一的整理形成详细的报告。
[0059]控制模块,用于协调U盘配置模块、LiveConsole通信控制模块以及案件数据管理模块之间的工作,实现利用局域网与同一个网络内的多台对象计算机中运行的LiveConsole进行通信,以传输取证数据和控制命令,通过主从式的控制,实现I对N的分布式同时取证并提取的证据进行分析。
[0060]基于上述方案,本发明可自行定制分发U盘进行取证,可通过一台机器对多台机器进行同时取证,可对取回的数据进行深入的分析及管理,其具体实现过程如下(参见图1):
[0061](I)启动LiveManager分发多个取证U盘。
[0062]首先,LiveManager会将U盘格式化成一个可以启动的U盘;
[0063]接着,LiveManager将包含现场取证的在线和离线取证程序及其环境初始化到U盘的⑶分区和USB分区,以保证在两种取证环境下可以顺利启动LiveConsole ;
[0064]然后,通过LiveManager对取证提取选项进行预先设置,以节省现场取证时间;
[0065]最后,通过LiveManager向取证U盘中导入许可对LiveConsole后续取证进行授权。
[0066](2)将取证U盘插入目标机器运行,启动LiveConsole。
[0067](3)通过LiveConsole对多台机器进行同时取证,现场生成取证报告。
[0068]LiveManager利用局域网与同一个网络内的多台对象计算机中运行的LiveConsole进行通信,主要传输取证数据和控制命令,通过主从式的控制进行一对多的取证。
[0069]其中,LiveConsole提取的数据可以保存在U盘的数据库中或者通过网络传输到LiveManager控制端的计算机中。
[0070](4)将LiveConsole得到的证据导入LiveManager,进行深入分析,可得到分析报生口 ο
[0071]LiveManager可对LiveConsole端导入的数据文件进行深入分析,包括提取这些文件中的应用数据记录,如浏览器的历史记录,也可对某些保存在文件中的加密信息进行破解和分析,以获得更加全面和直观的证据信息。
[0072]LiveManager将分析的结果存放在内部数据库中,可以进行快速的浏览和检索,最后调查人员对有用的数据进行标记和汇总,形成详细的取证调查报告。
[0073](5)回收取证U盘,有效地管理跟踪取证U盘的情况。
[0074]LiveManager在分发U盘时向U盘中写入一个临时加密的许可文件,这个许可授权其所在的U盘可以进行取证的次数和使用时间,当U盘使用的次数或时间达到限制后,该U盘无法继续使用,需要通过LiveManager进行再次的配置和导入新的许可进行重新授权。如果U盘中的使用环境未到使用期限而遭到破坏,亦可通过LiveManager从U盘初始化开始进行回收和再次分发。
[0075]以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
【主权项】
1.一种分布式的电子数据取证系统,该取证系统包括取证U盘,其特征在于,所述取证系统还包括LiveManager,所述LiveManager在现场配置分发取证U盘,配置后的取证U盘利用LiveConsole对目标机进行I对I取证;所述LiveManager还利用局域网与同一个网络内运行的多个LiveConsole进行通信,传输取证数据和控制命令,对多台目标机进行I对N的同时取证。2.根据权利要求1所述的一种分布式的电子数据取证系统,其特征在于,所述取证U盘取证时,通过在目标机中启动LiveConsole进行取证。3.根据权利要求1或2所述的一种分布式的电子数据取证系统,其特征在于,所述取证U盘通过如下两种方式将取得的数据导入到LiveManager中: 1.由LiveConsole通过局域网与LiveManager进行通信,将提取的数据直接传输到LiveManager 中; 2.由LiveConsole先将提取到的数据保存在相应的取证U盘上,然后在提取结束后将取证U盘接入到LiveManager所在的计算机将数据导入到LiveManager中。4.根据权利要求3所述的一种分布式的电子数据取证系统,其特征在于,所述LiveManager对导入的数据进行深入分析,包括提取数据文件中的应用数据记录、对保存在文件中的加密信息进行破解和分析。5.根据权利要求1所述的一种分布式的电子数据取证系统,其特征在于,所述LiveManager 包括: U盘配置模块,所述U盘配置模块用于将U盘配置成基于LiveConsole取证的取证U盘; LiveConsole通信控制模块,所述LiveConsole通信控制模块用于通过局域网与同一个网络内正在运行的取证U盘内的LiveConsole通信连接,传输取证数据和控制命令; 案件数据管理模块,所述案件数据管理模块用于结构化展示取证U盘传回的数据; 控制模块,所述控制模块协调U盘配置模块、LiveConsole通信控制模块以及案件数据管理模块之间的工作。6.根据权利要求5所述的一种分布式的电子数据取证系统,其特征在于,所述U盘配置模块通过初始化取证环境、配置取证选项和维护U盘使用许可来完成取证U盘的配置。7.一种分布式的电子数据取证方法,其特征在于,所述取证方法通过LiveManager在现场配置分发取证U盘,由取证U盘利用LiveConsole对目标机进行I对I取证;同时由LiveManager利用局域网与同一个网络内的多个运行的LiveConsole通信,进行传输取证数据和控制命令,对多台目标机进行I对N的同时取证。8.根据权利要求7所述的一种分布式的电子数据取证方法,其特征在于,所述电子数据取证方法的具体过程如下: (1)启动LiveManager配置分发多个取证U盘; (2)将取证U盘插入目标机运行,启动LiveConsole对目标机进行取证; (3)通过LiveConsole对多台机器进行同时取证; (4)将LiveConsole得到的证据导入LiveManager,进行分析,可得到分析报告。9.根据权利要求8所述的一种分布式的电子数据取证方法,其特征在于,所述步骤(I)中配置分发取证U盘的过程如下: 首先,LiveManager会将U盘格式化成一个可以启动的U盘; 接着,LiveManager将包含现场取证的在线和离线取证程序及其环境初始化到U盘的⑶分区和USB分区; 然后,通过LiveManager对取证提取选项进行预先设置; 最后,通过LiveManager向取证U盘中导入许可对LiveConsole后续取证进行授权。10.根据权利要求8所述的一种分布式的电子数据取证方法,其特征在于,所述步骤(3)中由LiveManager利用局域网与同一个网络内的多台目标机中运行的LiveConsole通信,进行传输取证数据和控制命令,对多台目标机进行一对多的同时取证。11.根据权利要求8所述的一种分布式的电子数据取证方法,其特征在于,所述步骤(4)中利用LiveManager对导入的数据文件进行分析;并由LiveManager将分析的结果存放在内部数据库中,最后对有用的数据进行标记和汇总,形成详细的取证调查报告。12.根据权利要求8-11中任一项所述的一种分布式的电子数据取证方法,其特征在于,所述电子数据取证方法中还包括回收取证U盘步骤。
【专利摘要】本发明公开了一种分布式的电子数据取证系统及方法,本方案通过LiveManager在现场配置分发取证U盘,由取证U盘利用LiveConsole对目标机进行1对1取证;同时由LiveManager利用局域网与同一个网络内的多个运行的LiveConsole通信,进行传输取证数据和控制命令,对多台目标机进行1对N的同时取证。本发明可自行定制分发U盘进行取证,可通过一台机器对多台机器进行同时取证,可对取回的数据进行深入的分析及管理。
【IPC分类】G06Q50/26, G06F21/79
【公开号】CN105139322
【申请号】CN201510387930
【发明人】丁显鹏
【申请人】盘石软件(上海)有限公司
【公开日】2015年12月9日
【申请日】2015年7月2日