一种计算机信息取证系统的制作方法【专利摘要】本发明公开了一种计算机信息取证系统,系统包括:1)物理磁盘镜像管理子系统;2)硬盘数据分类归档子系统;3)文档信息提取子系统;4)敏感信息按需提取子系统;5)综合查询关联分析子系统。本发明支持多线程、多任务、多功能同时实现数据分析,本发明能结合分析后的最终结果,提出关联算法将计算机犯罪事实重构。【专利说明】一种计算机信息取证系统【
技术领域:
】[0001]本发明属于计算机电子数据取证【
技术领域:
】,涉及一种计算机信息取证系统。【
背景技术:
】[0002]随着社会科技的高速发展,越来越多的人能够接触到计算机,促进了计算机的广泛普及,网络技术的快速发展,计算机逐渐成为了人们身边最不可缺少的工具,人们可以利用计算机从事和处理工作于日常工作,信息数据成为了这个时代最重要最有价值的资源,已经充分的融入到我们生活中的方方面面,人们时刻能感受到计算机发展带来的快捷方便的服务与体验。与此同时,这是由于这些个人信息数据和企业单位信息数据所具有的巨大的利益价值,各种类型的计算机犯罪铺天盖地而来,给国家和人民财产安全带来了严重的威胁。这些年来,国内外计算机犯罪案件明显增多,特别是近几年,各种计算机犯罪案件逐渐让国人知晓,计算机取证这一词汇逐渐让更多的人所熟悉。[0003]电子证据的发现就是通过侦查和现场勘察搜集最原始的证据数据。电子证据的发现技术实际上属于侦查技术。一般的侦查技术与计算机技术相结合就形成了计算机取证技术。以电子证据的来源为标准,计算机取证技术可以分为:单机取证技术、网络取证技术和相关设备取证技术。而以计算机取证的过程为标准,计算机取证技术可以分为:证据发现技术、证据固定技术、证据提取技术、证据分析技术和证据表达技术。[0004]如何确保取证人员搜集到的证据没有被修改过,这是计算机取证的难点之一,也属于电子证据固定的范畴。传统的方法是通过数字签名和见证人签名来保证现场勘察和侦查得到的电子证据的真实完整性。目前,美国已经针对证据固定的软件和硬件制订了详细的标准,对使用的取证工具提出了很高的标准以及对取证人员的行业行为都制订了严格的规范。[0005]我国目前拥有将近5亿网民,位列世界第一。由于计算机在我国的普及程度如此之高,各种利用计算机犯罪的犯罪形式和犯罪手段越来越复杂,传统的取证软件和取证技术已经不能满足现代计算机犯罪调查取证的要求,如何获取准确、有效的计算机电子证据给取证人员带来了巨大的挑战。由于国内拥有自主研发专利的产品并不多见,更多的还是依靠外部引进,这对国家事务安全也构成了一定的威胁。在加上目前已存在的取证软件功能过于单一,针对性不强,对计算取证工作带来了一定的限制。因此对计算机取证技术的研究和探索工作将显得尤为重要。【
发明内容】[0006]本发明的目的是提供一种具有存储介质镜像提取、保全、证据分类提取功能的计算机信息取证系统。[0007]为实现上述目的,本发明采用以下技术方案:一种计算机信息取证系统,其特征在于,系统包括:1)物理磁盘镜像管理子系统;2)硬盘数据分类归档子系统;3)文档信息提取子系统;4)敏感信息按需提取子系统;5)综合查询关联分析子系统。[0008]所述物理磁盘镜像管理子系统是基于C/S架构的系统,服务器端部署在Linux系统环境下,客户端部署在Windows系统中。[0009]所述服务器端的主要功能包括:镜像文件的接收、存储、发送与挂载;客户端主要功能包括:镜像的提取、上传、下载和写入,镜像信息的管理和证据文件的分类存储。[0010]所述镜像文件以只读方式在镜像服务器的磁盘存储阵列中存储的,浏览查看磁盘阵列中的文件时,镜像管理器会将指定的磁盘镜像以虚拟磁盘的形式挂载到服务器上,并将虚拟磁盘以共享形式映射到指定IP地址的主机上。[0011]所述硬盘数据分类归档子系统接收从镜像服务器传递过来的磁盘参数,根据参数和分类规则读取远程映射路径下的文件,并将其分类存储到本地文件服务器上。[0012]所述文档信息提取子系统包括索引与搜索模块,磁盘文件索引的任务从tasklist中获取,人工导入文件索引任务从filesys中直接获取。[0013]所述敏感信息按需提取子系统包括邮件解析模块、IM类解析模块和网址解析模块三大模块,通过扫描filesys中的property字段,判断type字段来实现信息提取。[0014]所述综合查询关联分析子系统包括样式布局控制模块、权限管理模块、搜索模块和Ajax交互模块。[0015]所述样式布局控制模块中用户界面使用jquery-ui的插件,管理员界面采用了easy-ui的布局及部分插件,表格采用jquery插件jqGrid展示,文件上传使用的是flash插件,整个界面的动态采用jquery实现。[0016]本发明的有益效果是:(1)证据保存方便,证据提取客户端与镜像服务器间通过网络互联,不受空间影响,上传的镜像文件不受原始存储介质的类型、提取时间、提取空间的影响;(2)所有的原始镜像文件都是在镜像服务器上以只读格式存储的,从而保证了镜像文件存储的安全性问题,而且用户对镜像和证据文件的浏览和使用是通过权限管理机制来实现的,保证了数据的安全性;(3)镜像文件以DD格式存储,与原始存储介质完全对应,可以转化为多种其它格式的镜像文件,方便使用其它取证软件进行分析;(4)系统自动根据提取规则和分类规则对镜像文件上的具有取证价值的文件进行了提取,过滤掉了没有取证价值的文件,减少了电子证据分析的工作量,有效的提高了电子证据分析的效率;(5)系统将从不同时间、不同镜像文件上提取的文件统一在文件服务器上分类存储,为用户进行来自多数据源的电子证据的管理分析提供了数据基础,且系统提取的所有电子数据文件都是可溯源的。[0017]【专利附图】【附图说明】[0018]图1是本发明系统结构示意图。[0019]图2是本发明敏感信息按需提取子系统工作原理图。[0020]下面将结合【具体实施方式】进一步说明本发明,但本发明要求保护的范围并不局限于下列实施方式。【具体实施方式】[0021]实施例1:1、物理磁盘镜像管理:1)备份文件格式的选择:对硬盘做镜像时,有按位与按文件两种。[0022]备份工作的按位(实际上是按扇区)转存意味着与文件系统无关。数据源是什么样子、有多大,目标就是什么样子,就有多大。即使没有分区、或者无法识别的分区,或者分区逻辑结构有错误,都可以完整的(包括逻辑错误)一起备份到目标设备上。按文件转存是要对文件系统解释后,只按文件的方式提取到目标设备上。这个转存程序必须可以解释对应的文件系统,同时不会提取非文件数据。数据量也取决于源设备文件总和,文件越多,需要转移的数据就越多。另外,以文件转存的方式在源与目标的物理位置上并不一一对应,就像从源盘把所有文件拷贝进目标设备一样,源盘的文件组织方式、物理排序、空间占用上也不必与目标设备相同。这种转存也不会把磁盘里的自由空间转移过去。[0023]按位转存适合最完整的备份,比如数据恢复前的备份、非WINDOWS系统的备份,或者有特殊结构的备份,但要求空间较大。按文件转存适合对已知文件系统的批量文件备份。[0024]通过对U盘的备份生成结果分析,DD格式的镜像是跳过startsectors和unpartitionablespace来完成的对已格式化磁盘分区的完全备份。通过WINHEX打开已有磁盘分析发现,现有的分区都是在磁盘上的连续的磁道划分出来形成的分区。也就是说DD格式的镜像产生了一个已有分区从startsector到endsector的一个完整的数据备份。[0025]2)磁盘读取通过MS的API获得磁盘具体信息,核心是DeviceloControl。[0026]3)通信方式系统内部的通信主要通过两种方式:S〇Cket通信和数据库中转通信。Socket通信通过自定义的通信协议,来进行程序间的数据通信。第二种方式是通过查询数据库的方式进行信息交互,这种通信实时性比较差,但是具有可用性和较强的容错性。所以在任务进度管理中,任务的管理是使用这种方式进行通信的。即使在任务执行过程中,由于特殊情况导致任务中断,也可以在重启进程后,重新检索任务进度数据,并恢复任务到最新的状态。[0027]2、硬盘数据分类归档:1)常见媒体类型列表IANA维护着一个媒体类型和字符编码的记录列表。他们的列表通过互联网向公众开放。[0028]2)数据库连接池本系统中使用Java语言通过JDBC技术访问数据库。JDBC是一种"开放"的方案,它为数据库应用开发人员、数据库前台工具开发人员提供了一种标准的应用程序设计接口,使开发人员可以用纯Java语言编写完整的数据库应用程序。[0029]Java应用程序访问数据库的过程是:①装载数据库驱动程序;②通过JDBC建立数据库连接;③访问数据库,执行SQL语句;④断开数据库连接。[0030]通过建立一个数据库连接池以及一套连接使用管理策略,形成连接的复用,这样使得一个数据库连接可以得到高效、安全的复用,数据库连接频繁建立、关闭的开销从而可以有效的避免了。[0031]资源池,解决了资源频繁分配、释放所造成的问题。把该模式应用到数据库连接管理领域,就是建立一个数据库连接池,提供一套高效的连接分配、使用策略,最终目标是实现连接的高效、安全的复用。数据库连接池在初始化时将创建一定数量的数据库连接放到连接池中,这些数据库连接的数量是由最小数据库连接数来设定的。无论这些数据库连接是否被使用,连接池都将一直保证至少拥有这么多的连接数量。连接池的最大数据库连接数量限定了这个连接池能占有的最大连接数,当应用程序向连接池请求的连接数超过最大连接数量时,这些请求将被加入到等待队列中。数据库连接池的最小连接数和最大连接数的设置要考虑到下列几个因素:①最小连接数是连接池一直保持的数据库连接,所以如果应用程序对数据库连接的使用量不大,将会有大量的数据库连接资源被浪费;②最大连接数是连接池能申请的最大连接数,如果数据库连接请求超过此数,后面的数据库连接请求将被加入到等待队列中,这会影响之后的数据库操作;③如果最小连接数与最大连接数相差太大那么最先的连接请求将会获利,之后超过最小连接数量的连接请求等价于建立一个新的数据库连接。不过,大于最小连接数的数据库连接在使用完不会马上被释放,它将被放到连接池中等待重复使用或是空闲超时后被释放。[0032]3、文档信息提取模块:1)使用开源工具Lucene实现文件的索引和查询功能,使用第三方开源工具pdfbox、P〇i等实现文件内容的提取。[0033]2)数据库连接池同硬盘数据分类归档模块。[0034]4、敏感/[目息按需提取:1)连接数据库接口数据库信息事先存储在ini文件中,通过GetPrivateProfileSectionNames()与GetPrivateProfileStringO函数来提取ini文件中保存的数据库账号密码与连接字串信肩、。[0035]2)查询数据库表filesys如图2所示,Filesys表中property字段为1,代表filesys表此项记录为信息抽取所需要,从中提取出各个字段的值,为接下来的敏感信息文件解析工作做准备。[0036]3)查询parsetable表Parsetable数据表是用来在数据展示部分查看后台进度用的,为控制端做准备。[0037]4)动态加载模块Dll.ini配置文件中包含全部可以支持的dll功能插件,将filesys表中满足敏感信息条件的记录的type字段进行匹配,加载不同的dll插件。[0038]5)日志接口利用l〇g4cplUS开源项目中的日志模块来记录当前程序中的流程、异常日志。[0039]6)信息提取对即时聊天软件、邮件客户端、浏览器、eml文件相关信息的提取技术。[0040]5、综合查询关联分析:1)样式布局控制模块:普通用户界面使用了普通的jquery-ui的插件,布局是自己实现的,管理员用户界面采用了easy-ui的布局及部分插件,表格的展示统一采用了jquery第三方插件jqGrid,文件上传使用的是一款flash插件,整个界面的动态采用jquery实现。[0041]2)权限管理模块:只有一定权限的用户才可以提取和上传镜像文件,同时,不同的用户可以浏览和使用不同的镜像和数据文件,对于其它的镜像及其文件则无权访问。[0042]3)前端搜索模块:ajax提交搜索数据与jquery处理返回结果的展示,分页采用jquery的第三方插件。[0043]4)Ajax交互模块:jquery-ajax构建数据表采用jqgrid插件。[0044]后台采用javaweb开发技术,hibernate数据库技术。【权利要求】1.一种计算机信息取证系统,其特征在于,系统包括:1)物理磁盘镜像管理子系统;2)硬盘数据分类归档子系统;3)文档信息提取子系统;4)敏感信息按需提取子系统;5)综合查询关联分析子系统。2.如权利要求1所述的一种计算机信息取证系统,其特征在于,所述物理磁盘镜像管理子系统基于C/S架构,服务器端部署在Linux系统环境下,客户端部署在Windows系统中。3.如权利要求2所述的一种计算机信息取证系统,其特征在于,所述服务器端的主要功能包括:镜像文件的接收、存储、发送与挂载;客户端主要功能包括:镜像的提取、上传、下载和写入,镜像信息的管理和证据文件的分类存储。4.如权利要求3所述的一种计算机信息取证系统,其特征在于,所述镜像文件以只读方式在镜像服务器的磁盘存储阵列中存储,浏览查看磁盘阵列中的文件时,镜像管理器会将指定的磁盘镜像以虚拟磁盘的形式挂载到服务器上,并将虚拟磁盘以共享形式映射到指定IP地址的主机上。5.如权利要求1所述的一种计算机信息取证系统,其特征在于,所述硬盘数据分类归档子系统接收从镜像服务器传递过来的磁盘参数,根据参数和分类规则读取远程映射路径下的文件,并将其分类存储到本地文件服务器上。6.如权利要求1所述的一种计算机信息取证系统,其特征在于,所述文档信息提取子系统包括索引与搜索模块,磁盘文件索引的任务从tasklist中获取,人工导入文件索引任务从filesys中直接获取。7.如权利要求1所述的一种计算机信息取证系统,其特征在于,所述敏感信息按需提取子系统包括邮件解析模块、頂类解析模块和网址解析模块三大模块,通过扫描filesys中的property字段,判断type字段来实现信息提取。8.如权利要求1所述的一种计算机信息取证系统,其特征在于,所述综合查询关联分析子系统包括样式布局控制模块、权限管理模块、搜索模块和Ajax交互模块。9.如权利要求8所述的一种计算机信息取证系统,其特征在于,所述样式布局控制模块中用户界面使用jquery-ui的插件,管理员界面采用了easy-ui的布局及部分插件,表格采用jquery插件jqGrid展示,文件上传使用的是flash插件,整个界面的动态采用jquery实现。【文档编号】G06F21/00GK104156669SQ201410390529【公开日】2014年11月19日申请日期:2014年8月11日优先权日:2014年8月11日【发明者】夏其清申请人:南京龙联信息技术有限公司