数据库取证方法及装置制造方法

数据库取证方法及装置制造方法
【专利摘要】本发明公开了一种数据库取证方法及装置，通过根据目标数据库的数据库结构和目标数据库所包括的各个表的表结构，建立并保存与目标数据库具有一致结构的空白的结果数据库，能够复制得到目标数据库的结构，通过对目标数据库中各个表的每条记录进行校验得到校验值，保存目标数据库中每条记录的校验值，能够对目标数据库中的记录进行封存，获取目标数据库中符合设定条件的记录，保存所获取的记录，能够仅对所需的记录内容进行复制，从而本发明实施例避免了对目标数据库的全部内容进行获取，能够简化操作流程，提高操作效率，从而能够解决现有的数据库取证方法中所存在的获取目标数据库的流程复杂、操作效率低下的问题。
【专利说明】数据库取证方法及装置

【技术领域】
[0001] 本发明涉及数据库技术，具体地涉及一种数据库取证方法及装置。

【背景技术】
[0002] 目前，数据库取证方法通常包括：将整个目标数据库进行备份导出操作，在操作人 员的计算机上安装相同的平台、相同版本的数据库软件，再对导出的数据库备份文件进行 导入操作，从而获得与目标数据库基本一致的结果数据库，操作人员基于结果数据库进行 分析和取证。
[0003] 但是，由于数据库取证过程中可能要针对不同平台的数据库进行取证，通过上述 方法对多个不同平台的数据库进行取证，要求操作人员熟悉各个平台的操作方法，这样就 导致上述数据库取证方法流程复杂、技术要求高，操作不便的问题。
[0004] 并且，由于上述数据库取证方法的复杂性，尤其是在数据库非常庞大的情况下，导 致上述方法在具体实施过程中效率低下、容易出错。
[0005] 可见，在现有的数据库取证方法中，存在获取目标数据库的流程复杂、操作效率低 下的问题。


【发明内容】

[0006] 有鉴于此，本发明实施例提供了一种数据库取证方法及装置，用以解决现有的数 据库取证方法中，存在的获取目标数据库的流程复杂、操作效率低下的问题。
[0007] 本发明实施例技术方案如下：
[0008] -种数据库取证方法，包括：根据目标数据库的数据库结构和目标数据库所包括 的各个表的表结构，建立并保存与目标数据库具有一致结构但不包含具体数据条目的空白 的结果数据库；对目标数据库中各个表的每条记录进行校验得到校验值，保存目标数据库 中每条记录的校验值；获取目标数据库中符合设定条件的记录，保存所获取的记录。
[0009] -种数据库取证装置，包括：第一保存模块，用于根据目标数据库的数据库结构和 目标数据库所包括的各个表的表结构，建立并保存与目标数据库具有一致结构的空白的结 果数据库；第二保存模块，用于对目标数据库中各个表的每条记录进行校验得到校验值，保 存目标数据库中每条记录的校验值；第三保存模块，获取目标数据库中符合设定条件的记 录，保存所获取的记录。
[0010] 本发明实施例通过根据目标数据库的数据库结构和目标数据库所包括的各个表 的表结构，建立并保存与目标数据库具有一致结构的空白的结果数据库，能够复制得到目 标数据库的结构，通过对目标数据库中各个表的每条记录进行校验得到校验值，保存目标 数据库中每条记录的校验值，能够对目标数据库中的记录进行封存，获取目标数据库中符 合设定条件的记录，保存所获取的记录，能够仅对所需的记录内容进行复制，从而本发明实 施例提供的技术方案复制目标数据库的结构、对数据记录进行封存以及仅对所需的内容进 行复制，能够获取目标数据库中用于数据库取证必要的内容，避免了对目标数据库的全部 内容进行获取，能够简化操作流程，提高操作效率，从而能够解决现有的数据库取证方法中 所存在的获取目标数据库的流程复杂、操作效率低下的问题。
[0011] 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。

【专利附图】

【附图说明】
[0012] 图1为本发明实施例提供的数据库取证方法的工作流程图；
[0013] 图2为本发明实施例提供的数据库取证方法的另一工作流程图；
[0014] 图3为本发明实施例提供的数据库取证方法的另一工作流程图；
[0015] 图4为本发明实施例提供的数据库取证装置的结构框图；
[0016] 图5为本发明实施例提供的数据库取证装置的另一结构框图；
[0017] 图6a为本发明实施例提供的数据库取证装置的另一结构框图；
[0018] 图6b为本发明实施例提供的数据库取证装置的另一结构框图；
[0019] 图7a为本发明实施例提供的数据库取证装置的另一结构框图；
[0020] 图7b为本发明实施例提供的数据库取证装置的另一结构框图；
[0021] 图7c为本发明实施例提供的数据库取证装置的另一结构框图；
[0022] 图7d为本发明实施例提供的数据库取证装置的另一结构框图；
[0023] 图8a为本发明实施例提供的数据库取证装置的另一结构框图；
[0024] 图8b为本发明实施例提供的数据库取证装置的另一结构框图；
[0025] 图9a为本发明实施例提供的数据库取证装置的另一结构框图；
[0026] 图9b为本发明实施例提供的数据库取证装置的另一结构框图；
[0027] 图10a为本发明实施例提供的数据库取证装置的另一结构框图；
[0028] 图10b为本发明实施例提供的数据库取证装置的另一结构框图；
[0029] 图10c为本发明实施例提供的数据库取证装置的另一结构框图；
[0030] 图10d为本发明实施例提供的数据库取证装置的另一结构框图。

【具体实施方式】
[0031] 以下结合附图对本发明的实施例进行说明，应当理解，此处所描述的实施例仅用 于说明和解释本发明，并不用于限定本发明。
[0032] 针对现有的数据库取证方法中所存在的获取目标数据库的流程复杂、操作效率低 下的问题，本发明实施例提供了一种数据库取证方案，用于解决该问题。在本发明实施例提 供的技术方案中，仅对所需要的目标数据库中的记录内容进行复制，对目标数据库的结构 进行复制，对目标数据库中的各条记录内容进行封存，能够获取目标数据库中用于数据库 取证必要的内容，避免了对目标数据库的全部内容进行获取，能够简化操作流程，提高操作 效率，从而能够解决现有的数据库取证方法中所存在的获取目标数据库的流程复杂、操作 效率低下的问题；并且，仅对目标数据库中需要的内容进行复制，对目标数据库的全部数据 记录进行校验封存，能够保证目标数据库中数据记录的安全性，避免不需要的数据记录被 泄漏的风险。
[0033] 实施例一
[0034] 图1示出了本发明实施例提供的数据库取证方法的工作流程图，该方法包括：
[0035] 步骤101、根据目标数据库的数据库结构和目标数据库所包括的各个表的表结构， 建立并保存与目标数据库具有一致结构的空白的结果数据库；
[0036] 具体地，针对离线设备中的目标数据库，可以通过预设接口加载目标数据库中的 数据库导出文件和/或数据库备份文件和/或数据库文件，来获取目标数据库的数据库结 构和目标数据库所包括的各个表的表结构；针对网络在线的目标数据库，可以通过预设的 接口、根据目标数据库的地址信息连接至在线的目标数据库，并根据已知的认证信息或权 限信息(例如用户名和用户密码）来获取目标数据库的数据库结构和目标数据库所包括的 各个表的表结构；
[0037] 具体地，获取的目标数据库的结构包括：目标数据库的标识、目标数据库包括的表 的数量、每个表的标识、每个表包括的字段名称及字段的定义；
[0038] 所建立的结果数据库为空库，结果数据库具有与目标数据库一致的结构，即具有 相同的数据库的标识、数据库包括的表的数量、每个表的标识、每个表包括的字段名称及字 段的定义；
[0039] 步骤102、对目标数据库中各个表的每条记录进行校验得到校验值，保存目标数据 库中每条记录的校验值；
[0040] 具体地，对目标数据库中每条记录的主键和每条记录的记录内容分别进行校验， 得到每条记录的主键校验值和记录内容校验值；
[0041] 并且，保存目标数据库中每条记录的主键校验值和记录内容校验值，以及保存每 条记录的主键校验值和记录内容校验值的对应关系；
[0042] 具体地，校验操作可以是HASH校验，即对待校验的对象进行HASH计算得到该对象 的校验值即HASH值；下文中的校验操作均可以是HASH校验，相应的校验值即为HASH值；
[0043] 步骤103、获取目标数据库中符合设定条件的记录，保存所获取的记录。
[0044] 其中，可以通过关键字搜索、SQL查询或者条件过滤等方法，在目标数据库中获取 符合设定条件的记录；设定条件可以根据具体应用场景的需要而设置，例如，可以是目标数 据库的一个表的数据记录、或者是一个表中的部分数据记录，或者还可以是目标数据库的 全部数据记录。
[0045] 通过上述处理过程，在例如电子数据取证的应用场景中，在对目标数据库进行复 制时，并不是直接导出目标数据库并将导出的数据库导入到目标数据库中，而是仅获取目 标数据库的结构、建立与目标数据库具有相同结构的空白的结果数据库，能够获取并保存 目标数据库的结构特征，并对目标数据库中的每条数据记录进行校验封存，仅对所需内容 即符合设定条件的记录进行复制保存，能够仅获取实际需要的内容，相比现有技术显著地 减少了获取的内容，并且上述自动化处理过程操作简单有效，不需要技术人员的介入，能够 提高操作效率，尤其是在具有多个目标数据库的情况下，上述处理过程能够显著地简化操 作过程，提高操作效率。
[0046] 实施例二
[0047] 图2示出了本发明实施例提供的数据库取证方法的另一工作流程图，该方法包 括：
[0048] 步骤201、根据目标数据库的数据库结构和目标数据库所包括的各个表的表结构， 建立并保存与目标数据库具有一致结构的空白的结果数据库；
[0049] 与上述步骤101类似，可以通过加载目标数据库访问离线设备中的目标数据库， 或者通过预设接口访问在线的目标数据库，来获取目标数据库的结构，根据获取的目标数 据库结构建立结果数据库；
[0050] 建立并保存与目标数据库具有一致结构的结果数据库，能够获取并保存目标数据 库的结构特征；
[0051] 步骤202、对目标数据库进行校验得到目标数据库的校验值，对目标数据库所包括 的各个表进行检验得到各个表的校验值；保存目标数据库的校验值以及目标数据库的各个 表的校验值；
[0052] 在电子数据取证的应用场景中，对目标数据库整个库进行校验例如HASH校验得 到目标数据库的HASH值，能够对目标数据库整个库的存储情况进行封存，也即封存目标数 据库的整体存储特征；还能够在必要的情况下根据保存的校验值对目标数据库的变更情况 进行核对，具体的核对操作包括：在数据库取证后的某个时间对目标数据库进行HASH校验 得到校验值，对比该校验值与数据库取证过程中保存的目标数据库的校验值是否一致，在 一致的情况下表明目标数据库在取证操作后不存在变更，否则存在变更，从而作为电子数 据取证的出示、采信和质证的证据；
[0053] 步骤203、对空白的结果数据库进行校验得到结果数据库的校验值，分别对结果数 据库所包括的各个表进行检验得到各个表的校验值，保存结果数据库的校验值以及结果数 据库的各个表的校验值；
[0054] 在电子数据取证的应用场景中，对结果数据库以及结果数据库中的各个表分别进 行校验例如HASH校验，能够对空白的结果数据库的数据库结构进行封存，也即对数据库取 证过程中获取到的结果数据库的结构特征、结果数据库中各个表的结构特征进行封存；还 能够在必要的情况下根据保存的校验值对结果数据库的变更情况进行核对，以及对结果数 据库和目标数据库的一致性的对比情况进行核对，核对操作的原理如上述步骤202所述， 这里不再赘述，从而作为电子数据取证的出示、采信和质证的证据；
[0055] 步骤204、对目标数据库中每条记录的主键和每条记录的记录内容分别进行校验， 得到每条记录的主键校验值和记录内容校验值；保存目标数据库中每条记录的主键校验值 和记录内容校验值，以及保存每条记录的主键校验值和记录内容校验值的对应关系；
[0056] 在电子数据取证的应用场景中，对目标数据库中的每条数据记录进行校验封存， 能够对目标数据库中的数据记录内容的存储情况进行封存，能够避免对目标数据库中无关 数据记录的内容进行获取，以减少获取目标数据库的处理中所需获取的内容，能够减少获 取内容，提高获取效率，还能够避免数据记录泄漏的风险，提高了数据安全性；
[0057] 并且，还能够根据保存的校验值对目标数据库中数据记录的变更情况进行核对， 核对操作的原理如上述步骤202所述，这里不再赘述，从而作为电子数据取证的出示、采信 和质证的证据；
[0058] 步骤205、获取目标数据库中符合设定条件的记录，保存所获取的记录；
[0059] 获取并保存符合设定条件的记录的操作如上述步骤103所示，这里不再赘述；
[0060] 在电子数据取证的应用场景中，获取并保存符合设定条件的记录，能够获取实际 需要的目标数据库中的记录，以减少获取目标数据库的处理中所需获取的内容，能够减少 获取内容，提高获取效率，还能够避免不需要的数据泄漏的风险，保证数据的安全性；
[0061] 步骤206、对获取的记录进行校验得到符合设定条件的记录的校验值，并保存所获 取的符合设定条件的记录的校验值；
[0062] 在电子数据取证的应用场景中，对获取的符合设定条件的记录进行校验例如HASH 校验，能够对所获取的记录的特征和内容进行封存，以便于在必要的情况下对目标数据库 中符合设定条件的记录的变更情况进行核对，对保存的符合设定条件的记录的变更情况进 行核对，以及对目标数据库中符合设定条件的记录和保存的符合设定条件的记录的一致性 的对比情况进行核对，核对操作的原理如上述步骤202所述，这里不再赘述，从而作为电子 数据取证的分析依据，以及作为出示、采信和质证的证据；
[0063] 步骤207、对所获取保存的内容进行分析处理；
[0064] 例如，基于已获取的内容进行搜索、比对、关联分析，将所获取和保存的内容（即建 立的结果数据库、目标数据库的校验值、目标数据库的各个表的校验值、结果数据库的校验 值、结果数据库的各个表的校验值、目标数据库的各条数据记录的校验值、所获取的符合设 定条件的数据记录及其校验值)、分析结果列入到数据库取证报告中。
[0065] 通过上述处理过程，在实施例一的基础上，还能够分别对目标数据库、结果数据 库、所获取的符合设定条件的记录进行校验、保存校验值，以便于在电子数据取证的应用场 景中，对目标数据库和结果数据库的原始属性和原始内容进行封存，能够作为对目标数据 库和所获取保存的内容进行核对的依据，以及作为电子数据取证中采信、出示和质证的证 据。
[0066] 实施例三
[0067] 本发明实施例还提供了一种数据库取证方法，该方法在实施例一或实施例二的基 础上，如图3所示，还包括如下处理过程：
[0068] 步骤301、获取并保存目标数据库的用户信息和日志信息；
[0069] 其中，日志信息包括以下之一或组合：登录日志、操作日志、SQL日志、导入导出日 志、备份日志、错误日志、报警日志，日志信息还可以包括其它种类的日志信息；
[0070] 获取并保存日志信息能够复制对目标数据库的操作情况，在例如电子数据取证的 应用场景中，能够为后续的分析处理提供参考；
[0071] 步骤302、对获取的用户信息和日志信息分别进行校验得到用户信息的校验值和 日志信息的校验值，保存用户信息的校验值和日志信息的校验值；
[0072] 对获取的用户信息和日志信息进行校验例如HASH校验，以便于在例如电子数据 取证的应用场景中，能够对目标数据库的用户信息和日志信息进行封存，不会改变目标数 据库的用户信息和日志信息的原始属性和原始内容，保证复制目标数据库的唯一性和完整 性；还能够在必要的情况下根据保存的校验值对用户信息和日志信息的变更情况进行核 对，核对操作的原理如上述步骤202所述，这里不再赘述，从而作为电子数据取证的出示、 采信和质证的证据。
[0073] 图3的处理过程与图1所示的处理过程没有先后之分，可以根据具体应用场景的 需要设置图1所示处理过程和图3所示处理过程的执行顺序，或者，在图2所示处理过程的 步骤207之前设置图3所示处理过程，并且，在步骤207中还可以根据所获取的日志信息进 行数据库取证的分析处理，并将分析结果列入到数据库取证报告中。
[0074] 通过上述处理过程，在实施例一或实施例二的基础上，还能够对目标数据库的用 户信息和日志信息进行保存和校验，以便于后续对用户信息和日志信息进行分析或核对， 以及作为电子数据取证中采信、出示和质证的证据。
[0075] 实施例四
[0076] 本发明还提供一种数据库取证方法，该方法在实施例一、实施例二或者实施例三 的基础上，还包括如下处理过程：
[0077] 在具有多个目标数据库的情况下，也即要对多个目标数据库进行复制的情况下， 以预定的数据库类型、集中保存针对每个目标数据库需保存的内容；其中，需保存的内容如 上述实施例一、实施例二或实施例三中所列举的保存的内容。
[0078] 具体地，预定的数据库类型可以是根据具体应用场景需要而设定的数据库类型， 例如oracle数据库，使用设定的数据库类型保存复制多个目标数据库的内容，可以以统一 的数据库类型保存所复制获取的内容，以便在计算取证的应用场景中，对复制的数据库内 容进行关联分析比对；而在现有技术中，对于多个目标数据库复制后，以与各个目标数据库 相同的数据库类型进行存储复制的结果数据库，这样在后续的分析操作中，就必须分别在 多个系统、多个平台、多个数据库中独立进行分析操作，在分析操作中需要进行一系列的数 据转换等操作，这样的操作复杂度高、效率低下、容易出错；通过本发明实施例四的方法，能 够降低由于不同数据库类型带来的操作繁琐程度、提高操作效率；
[0079] 集中保存对多个目标数据库取证的内容，相比于现有技术中分散在多个物理实体 中保存结果数据库，并对保存的结果数据库进行关联操作，能够便于电子数据取证的分析 操作，能够提高复制操作效率，在后续的分析操作中，能够降低操作繁琐程度、提高操作效 率。
[0080] 实施例四所示的处理过程与图1、图2或图3所示的处理过程没有先后之分，可以 根据具体应用场景的需要设置图1所示处理过程和实施例四所示处理过程的执行顺序，或 者设置图2所示处理过程和实施例四所示处理过程的执行顺序，或者设置图3所示处理过 程和实施例四所示处理过程的执行顺序。
[0081] 实施例五
[0082] 基于相同的发明构思，本发明实施例还提供了一种数据库取证装置，如图4所示， 该装置包括：
[0083] 第一保存模块401，连接至目标数据库，用于根据目标数据库的数据库结构和目标 数据库所包括的各个表的表结构，建立并保存与目标数据库具有一致结构的空白的结果数 据库；
[0084] 第二保存模块402,连接至目标数据库，用于对目标数据库中各个表的每条记录进 行校验得到校验值，保存目标数据库中每条记录的校验值；
[0085] 具体地，第二保存模块402对目标数据库中的每条记录的主键和每条记录的记录 内容分别进行校验，得到每条记录的主键校验值和记录内容校验值；保存目标数据库中每 条记录的主键校验值和记录内容校验值，以及保存每条记录的主键校验值和记录内容校验 值的对应关系；
[0086] 第三保存模块403,连接至目标数据库，获取目标数据库中符合设定条件的记录， 保存所获取的记录。
[0087] 优选地，如图5所示，本发明实施例提供的数据库取证装置还包括：接口模块404， 连接至目标数据库、第一保存模块401、第二保存模块402和第三保存模块403,用于通过预 设的数据库接口访问目标数据库。
[0088] 图4或图5所示装置的工作原理如图1所示，这里不再赘述。
[0089] 通过图4或图5所示的装置，也能够显著地简化操作过程，提高操作效率。
[0090] 实施例六
[0091] 本发明实施例还提供了 一种数据库取证装置，如图6a和图6b所示，该装置在图4 或图5所示装置的基础上，该装置还包括：
[0092] 第四保存模块405,连接至第一保存模块401用于对目标数据库进行校验得到目 标数据库的校验值，对目标数据库所包括的各个表进行检验得到各个表的校验值；保存目 标数据库的校验值以及目标数据库的各个表的校验值；
[0093] 第五保存模块406,或者连接至第一保存模块401，对第一保存模块401保存的空 白的结果数据库进行校验得到结果数据库的校验值，对结果数据库所包括的各个表进行检 验得到各个表的校验值；保存目标数据库的校验值、结果数据库的校验值以及结果数据库 的各个表的校验值；
[0094] 第六保存模块407,连接至第三保存模块403,用于对第三保存模块403获取的记 录进行校验得到符合设定条件的记录的校验值，并保存所获取的符合设定条件的记录的校 验值；
[0095] 分析处理模块408,连接至第一保存模块401，第二保存模块402,第三保存模块 403,第四保存模块405,第五保存模块406和第六保存模块407,用于基于第一保存模块 401，第二保存模块402,第三保存模块403,第四保存模块405,第五保存模块406和第六保 存模块407已获取和/或保存的内容进行搜索、比对、关联分析，将所获取和/或保存的内 容、分析结果列入到数据库取证报告中。
[0096] 图6a或图6b所示装置的工作原理如图2所示，这里不再赘述。
[0097] 通过图6a或图6b所示的装置,在如图4或图5所示基础的上，还能够分别对目标 数据库、空白的结果数据库、所获取的符合设定条件的记录进行校验、保存校验值，以便于 在电子数据取证的应用场景中，对目标数据库和结果数据库的原始属性和原始内容进行封 存，能够作为对目标数据库和所获取的内容进行核对的依据，以及作为电子数据取证中采 信、出示和质证的证据。
[0098] 实施例七
[0099] 本发明实施例还提供了一种数据库取证装置，如图7a、图7b、图7c或图7d所示， 该装置在图4、图5、图6a或图6b所示装置的基础上，该装置还包括：
[0100] 第七保存模块409,连接至目标数据库和分析处理模块407,或者连接至接口模块 404和分析处理模块407,用于获取并保存目标数据库的用户信息和日志信息；并对获取的 用户信息和日志信息分别进行校验得到用户信息的校验值和日志信息的校验值，保存用户 信息的校验值和日志信息的校验值；其中，所述日志信息至少以下之一或组合：登录日志、 操作日志、SQL日志、导入导出日志、备份日志、错误日志、报警日志。贝U，分析处理模块407 还对第七保存模块408保存的内容进行分析处理。
[0101] 图7a、图7b、图7c或图7d所示装置的工作原理如图3所示，这里不再赘述。
[0102] 通过图7a、图7b、图7c或图7d所示的装置，也能够对目标数据库的用户信息和日 志信息进行保存和校验封存，还能够作为对用户信息和日志信息进行核对的依据，以便于 后续对用户信息和日志信息进行分析或核对，以及作为电子数据取证中采信、出示和质证 的证据。
[0103] 实施例八
[0104] 本发明实施例还提供了一种数据库取证装置，如图8a或图8b所示，该装置在图4 或图5所示装置的基础上，该装置还包括：
[0105] 存储控制模块410,连接至第一保存模块401、第二保存模块402和第三保存模块 403,用于在具有多个目标数据库的情况下，控制第一保存模块401、第二保存模块402和/ 第三保存模块403以预定的数据库类型、集中保存针对每个目标数据库需保存的内容。
[0106] 图8a或图8b所示装置的工作原理与实施例四中的处理过程相同，这里不再赘述。
[0107] 通过图8a或图8b所示装置，也能够降低复制多个目标数据库的操作繁琐程度、提 高操作效率。
[0108] 实施例九
[0109] 本发明实施例还提供了一种数据库取证装置，如图9a或图9b所示，在图6a或图 6b所示装置的基础上该装置还包括：
[0110] 存储控制模块410,连接至第一保存模块401、第二保存模块402、第三保存模块 403、第四保存模块405和第五保存模块406,用于在具有多个目标数据库的情况下，控制第 一保存模块401、第二保存模块402、第三保存模块403、第四保存模块405、第五保存模块 406和第六保存模块407,以预定的数据库类型、集中保存针对每个目标数据库需保存的内 容。
[0111] 图9a或图9b所示装置的工作原理与实施例四中的处理过程相同，这里不再赘述。
[0112] 通过图9a或图9b所示装置，也能够降低复制多个目标数据库的操作繁琐程度、提 高操作效率。
[0113] 实施例十
[0114] 本发明实施例还提供了一种数据库取证装置，如图10a、图10b、图10c或图10d所 示，在图7a、图7b、图7c或图7d所示装置的基础上该装置还包括：
[0115] 存储控制模块410,连接至第一保存模块401、第二保存模块402、第三保存模块 403、第四保存模块405、第五保存模块406、第六保存模块407和第七保存模块408,用于在 具有多个目标数据库的情况下，控制第一保存模块401、第二保存模块402、第三保存模块 403、第四保存模块405、第五保存模块406、第六保存模块407和第七保存模块408以预定 的数据库类型、集中保存针对每个目标数据库需保存的内容。
[0116] 10a、图10b、图10c或图10d所示装置的工作原理与实施例四中的处理过程相同， 这里不再赘述。
[0117] 通过10a、图10b、图10c或图10d所示装置，也能够降低复制多个目标数据库的操 作繁琐程度、提高操作效率。
[0118] 本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可 以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中， 该程序在执行时，包括方法实施例的步骤之一或其组合。
[0119] 另外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以 是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模 块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如 果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机 可读取存储介质中。
[0120] 本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序 产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质(包括但不限于磁盘存储器和光学存储器等）上实施的计算机程序产品的形 式。
[0121] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算 机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理 器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生 用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能 的装置。
[0122] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特 定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0123] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中指定的功能的步骤。
[0124] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1. 一种数据库取证方法，其特征在于，包括： 根据目标数据库的数据库结构和目标数据库所包括的各个表的表结构，建立并保存与 目标数据库具有一致结构但不包含具体数据条目的空白的结果数据库； 对目标数据库中各个表的每条记录进行校验得到校验值，保存目标数据库中每条记录 的校验值； 获取目标数据库中符合设定条件的记录，保存所获取的记录。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括： 对目标数据库进行校验得到目标数据库的校验值，对目标数据库所包括的各个表进行 检验得到各个表的校验值；保存目标数据库的校验值以及目标数据库的各个表的校验值； 对空白的结果数据库进行校验得到结果数据库的校验值，分别对结果数据库所包括的 各个表进行检验得到各个表的校验值；保存结果数据库的校验值以及结果数据库的各个表 的校验值。
3. 根据权利要求1所述的方法，其特征在于，对目标数据库中各个表的每条记录进行 校验得到校验值，保存目标数据库中每条记录的校验值具体包括： 对目标数据库中每条记录的主键和每条记录的记录内容分别进行校验，得到每条记录 的主键校验值和记录内容校验值； 保存目标数据库中每条记录的主键校验值和记录内容校验值，以及保存每条记录的主 键校验值和记录内容校验值的对应关系。
4. 根据权利要求1所述的方法，其特征在于，获取目标数据库中符合设定条件的记录 后，所述方法还包括： 对获取的记录进行校验得到符合设定条件的记录的校验值，并保存所获取的符合设定 条件的记录的校验值。
5. 根据权利要求1所述的方法，其特征在于，所述方法还包括： 获取并保存目标数据库的用户信息和日志信息；其中，所述日志信息至少以下之一或 组合：登录日志、操作日志、SQL日志、导入导出日志、备份日志、错误日志、报警日志； 对获取的用户信息和日志信息分别进行校验得到用户信息的校验值和日志信息的校 验值，保存用户信息的校验值和日志信息的校验值。
6. 根据权利要求1至5中任一项所述的方法，其特征在于，所述方法还包括： 在具有多个目标数据库的情况下，以预定的数据库类型、集中保存针对每个目标数据 库需保存的内容。
7. -种数据库取证装置，其特征在于，包括： 第一保存模块，用于根据目标数据库的数据库结构和目标数据库所包括的各个表的表 结构，建立并保存与目标数据库具有一致结构的空白的结果数据库； 第二保存模块，用于对目标数据库中各个表的每条记录进行校验得到校验值，保存目 标数据库中每条记录的校验值； 第三保存模块，获取目标数据库中符合设定条件的记录，保存所获取的记录。
8. 根据权利要求7所述的装置，其特征在于，所述装置还包括： 第四保存模块，用于对目标数据库进行校验得到目标数据库的校验值，对目标数据库 所包括的各个表进行检验得到各个表的校验值；保存目标数据库的校验值以及目标数据库 的各个表的校验值； 第五保存模块，用于对结果数据库进行校验得到结果数据库的校验值，对空白的结果 数据库所包括的各个表进行检验得到各个表的校验值；保存结果数据库的校验值以及结果 数据库的各个表的校验值。
9. 根据权利要求7所述的装置，其特征在于，所述第二保存模块，具体用于： 对目标数据库中的每条记录的主键和每条记录的记录内容分别进行校验，得到每条记 录的主键校验值和记录内容校验值； 保存目标数据库中每条记录的主键校验值和记录内容校验值，以及保存每条记录的主 键校验值和记录内容校验值的对应关系。
10. 根据权利要求7所述的装置，其特征在于，所述装置还包括： 第六保存模块，用于对所述第三保存模块获取的记录进行校验得到符合设定条件的记 录的校验值，并保存所获取的符合设定条件的记录的校验值； 第七保存模块，用于获取并保存目标数据库的用户信息和日志信息；其中，所述日志信 息至少以下之一或组合：登录日志、操作日志、SQL日志、导入导出日志、备份日志、错误日 志、报警日志；对获取的用户信息和日志信息分别进行校验得到用户信息的校验值和日志 信息的校验值，保存用户信息的校验值和日志信息的校验值； 存储控制模块，用于在具有多个目标数据库的情况下，控制所述第一保存模块、所述第 二保存模块和所述第三保存模块以预定的数据库类型、集中保存针对每个目标数据库需保 存的内容。
【文档编号】G06F17/30GK104216917SQ201310219119
【公开日】2014年12月17日 申请日期:2013年6月4日 优先权日:2013年6月4日
【发明者】韩晟, 王盈 申请人:安世盾信息技术（北京）有限公司