数据提取方法、装置、电子设备和存储介质与流程

1.本发明涉及数据处理技术领域，尤其涉及一种数据提取方法、装置、电子设备和存储介质。


背景技术：

2.随着通信技术的快速发展，即时通信软件已得到了普及。
3.相关技术中，通常通过截图、拍照或者录像的方式对安卓模拟器中即时通信软件的每条聊天数据进行提取。
4.但若聊天数据比较庞大，通过上述方式提取聊天数据会费时费力，从而降低了数据提取效率。


技术实现要素：

5.本发明提供一种数据提取方法、装置、电子设备和存储介质，用以解决现有技术中降低数据提取效率的缺陷。
6.本发明提供一种数据提取方法，包括：
7.获取目标设备的虚拟机磁盘文件；其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据；
8.在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息；
9.在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
10.根据本发明提供的一种数据提取方法，所述获取目标设备的虚拟机磁盘文件，包括：
11.基于所述目标设备的安装目录获取所述虚拟机磁盘文件。
12.根据本发明提供的一种数据提取方法，所述在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息，包括：
13.将所述虚拟机磁盘文件加载在计算机取证分析系统中；
14.通过所述计算机取证分析系统对所述虚拟机磁盘文件进行解析，得到所述虚拟机磁盘文件的文件目录；
15.在所述虚拟机磁盘文件的文件目录中获取所述即时通信软件的所述文件夹信息；
16.输出所述文件夹信息。
17.根据本发明提供的一种数据提取方法，所述输出所述文件夹信息包括：
18.获取用户输入的文件选择指令；其中，所述文件选择指令用于指示用户选择的所述文件夹信息中的至少一个子文件夹信息；
19.响应于所述文件选择指令，输出所述至少一个子文件夹信息。
20.根据本发明提供的一种数据提取方法，所述在所述即时通信软件的文件夹信息中提取至少一条即时通信数据，包括：
21.将每个所述子文件夹信息加载在终端取证分析系统中；
22.通过所述终端取证分析系统对每个所述子文件夹信息进行解析，得到每个所述子文件夹信息中的所述至少一条即时通信数据。
23.根据本发明提供的一种数据提取方法，所述在所述即时通信软件的文件夹信息中提取至少一条即时通信数据之后，所述方法还包括：
24.输出所述至少一条即时通信数据。
25.根据本发明提供的一种数据提取方法，所述即时通信数据包括以下之一：账号信息、通讯录信息、聊天记录信息、用户动态信息、应用信息和视频号信息。
26.根据本发明提供的一种数据提取方法，所述目标设备包括模拟器。
27.本发明还提供一种数据提取装置，包括：
28.第一获取单元，用于获取目标设备的虚拟机磁盘文件；其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据；
29.第二获取单元，用于在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息；
30.提取单元，用于在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
31.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述数据提取方法的步骤。
32.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述数据提取方法的步骤。
33.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述数据提取方法的步骤。
34.本发明提供的一种数据提取方法、装置、电子设备和存储介质，首先获取目标设备的虚拟机磁盘文件，然后在虚拟机磁盘文件中获取即时通信软件的文件夹信息，最后在即时通信软件的文件夹信息中自动提取至少一条即时通信数据。这样，在即时通信数据较多时，可以一次性全部提取，从而提高了数据提取效率。
附图说明
35.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1是本发明提供的数据提取方法的流程示意图之一；
37.图2是本发明提供的数据提取方法的流程示意图之二；
38.图3是本发明提供的数据提取方法的流程示意图之三；
39.图4是本发明提供的数据提取方法的流程示意图之四；
40.图5是本发明提供的数据提取装置的结构示意图；
41.图6是本发明提供的电子设备的实体结构示意图。
具体实施方式
42.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.下面结合图1-图4描述本发明的数据提取方法。
44.图1是本发明提供的数据提取方法的流程示意图之一，如图1所示，该数据提取方法包括以下步骤：
45.步骤101、获取目标设备的虚拟机磁盘文件。
46.其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据，目标设备的通信数据可以只包括所有的即时通信数据，也可以包括所有的即时通信数据和其他通信数据，例如通话记录等数据；目标设备包括模拟器，例如，安卓模拟器。
47.可选地，基于所述目标设备的安装目录获取所述虚拟机磁盘文件。
48.示例地，可以基于预先存储的安装目录直接获取虚拟机磁盘文件，也可以是用户在相应界面上输入目标设备的安装目录，在获取到用户输入的目标设备的安装目录时，基于该安装目录获取虚拟机磁盘文件。
49.需要说明的是，虚拟机磁盘文件的数量可以为一个，也可以为多个；虚拟机磁盘文件的格式可以为虚拟硬盘格式(vmware virtualmachine disk format，vmdk)；例如，目标设备的安装目录为\programfiles\nox\bin\bignoxvms\nox_3，基于该安装目录的路径获取到3个虚拟机磁盘文件，每个虚拟机磁盘文件中均包括目标设备运行时得到的数据信息；3个虚拟机磁盘文件分别为android_data_disk.vmdk、 android_sdcard_disk.vmdk和android_system_disk.vmdk。
50.步骤102、在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息。
51.其中，即时通信软件可以包括*信应用程序、陌*应用程序、q* 应用程序或者*博应用程序等能够实现用户之间通信的软件。
52.示例地，在获取到目标设备的虚拟机磁盘文件时，可以对虚拟机磁盘文件中的所有文件夹进行分析，得到即时通信软件的文件夹信息，该文件夹信息可以为视频文件夹信息，也可以为数据文件夹信息，也可以为视频文件夹信息和数据文件夹信息的组合。
53.步骤103、在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
54.示例地，在获取到即时通信软件的文件夹信息时，可以对文件夹信息中的每个子文件夹信息或者文件信息进行解析，提取得到即时通信软件的文件夹信息中的所有即时通信数据。
55.本发明提供的一种数据提取方法，首先获取目标设备的虚拟机磁盘文件，然后在虚拟机磁盘文件中获取即时通信软件的文件夹信息，最后在即时通信软件的文件夹信息中自动提取至少一条即时通信数据。这样，在即时通信数据较多时，可以一次性全部提取，从而提高了数据提取效率。
56.可选地，图2是本发明提供的数据提取方法的流程示意图之二，如图2所示，图1中的步骤102具体可通过以下步骤实现：
57.步骤1021、将所述虚拟机磁盘文件加载在计算机取证分析系统中。
58.其中，计算机取证分析系统可以为safeimager盘石计算机现场取证系统。
59.示例地，用户可以在计算机取证分析系统的相关界面上点击加载按钮，然后基于存储虚拟机磁盘文件的路径查找到虚拟机磁盘文件，进而将虚拟机磁盘文件加载在计算机取证分析系统中。
60.步骤1022、通过所述计算机取证分析系统对所述虚拟机磁盘文件进行解析，得到所述虚拟机磁盘文件的文件目录。
61.示例地，计算机取证分析系统在获取到虚拟机磁盘文件时，对虚拟机磁盘文件进行解析，可以得到虚拟机磁盘文件的文件目录，该文件目录可以为分区01、分区02、分区03和启动扇区，分区01、分区02、分区03和启动扇区中均包括多个文件夹信息。
62.步骤1023、在所述虚拟机磁盘文件的文件目录中获取所述即时通信软件的所述文件夹信息。
63.示例地，在获取到虚拟机磁盘文件的文件目录时，计算机取证分析系统对虚拟机磁盘文件的文件目录中的每个文件夹信息进行解析，以获取属于即时通信软件的文件夹信息。
64.具体解析方法可以为：对每个文件夹信息的名称进行解析，将每个文件夹信息的名称与即时通信软件的预设名称进行匹配，将与预设名称匹配的文件夹信息确定为即时通信软件的文件夹信息。例如，虚拟机磁盘文件的文件目录中包括4个文件夹信息，这4个文件夹信息的名称分别为drm、data、misc和ota，一个即时通信软件的预设名称为data，则将4个文件夹信息中名称为data的文件夹信息确定为该即时通信软件的文件夹信息。
65.步骤1024、输出所述文件夹信息。
66.示例地，在获取到即时通信软件的文件夹信息，将即时通信软件的文件夹信息导出至指定位置。
67.需要说明的是，还可以为通过ftk imager磁盘镜像工具，对虚拟机磁盘文件进行分析，得到即时通信软件的文件夹信息，本发明对此不作限定。
68.本发明提供的数据提取方法，基于计算机取证分析系统对虚拟机磁盘文件进行解析，得到即时通信软件的文件夹信息，无需人工一一查找即时通信软件的文件夹信息。
69.可选地，图2中的步骤1024具体可通过以下步骤实现：
70.获取用户输入的文件选择指令，响应于所述文件选择指令，输出所述至少一个子文件夹信息。
71.其中，所述文件选择指令用于指示用户选择的所述文件夹信息中的至少一个子文件夹信息。
72.示例地，计算机取证分析系统在获取到即时通信软件的文件夹信息时，可以显示即时通信软件的文件夹信息中的每个子文件夹信息，用户可选择显示的每个子文件夹信息，具体选择方式可以为勾选每个子文件夹信息左边设置的输入框，在获取到用户选择的每个子文件夹信息时，将每个子文件夹信息导出至指定位置。
73.可选地，图3是本发明提供的数据提取方法的流程示意图之三，如图3所示，图1中的步骤103具体可通过以下步骤实现：
74.步骤1031、将每个所述子文件夹信息加载在终端取证分析系统中。
75.其中，终端取证分析系统可以为盘古石手机取证分析系统，还可以为其他取证分
析系统。
76.示例地，在获取到即时通信软件的每个子文件夹信息时，可以在终端取证分析系统的相关界面上点击加载按钮，然后基于子文件夹信息的路径查找到子文件夹信息，进而将子文件夹信息加载在终端取证分析系统中。
77.步骤1032、通过所述终端取证分析系统对每个所述子文件夹信息进行解析，得到每个所述子文件夹信息中的所述至少一条即时通信数据。
78.示例地，终端取证分析系统在获取到每个子文件夹信息时，对每个子文件夹信息进行解析，提取每个子文件夹信息中包含的每条即时通信数据，并将提取到的所有即时通信数据进行统计后导出。具体可以为：将所有即时通信数据按照数据长度进行排列，导出排列后的所有即时通信数据；或者将所有即时通信数据按照数据格式类型进行分类后导出；例如，将视频格式的即时通信数据一起导出，将文字格式的即时通信数据一起导出，将图片格式的即时通信数据一起导出等。
79.本发明提供的数据提取方法，基于终端取证分析系统对即时通信软件的文件夹信息进行解析，得到即时通信软件的文件夹信息中的所有即时通信数据，无需人工一一查找即时通信数据，从而提高了数据提取效率。
80.可选地，图4是本发明提供的数据提取方法的流程示意图之四，如图4所示，在图1中的步骤103之后，该数据提取方法还包括以下步骤：
81.步骤104、输出所述至少一条即时通信数据。
82.示例地，在获取到所有即时通信数据时，直接显示所有即时通信数据，或者，将所有即时通信数据发送至取证人员的终端设备。
83.本发明提供的数据提取方法，在提到到即时通信软件的所有即时通信数据时，将所有即时通信数据输出，便于取证人员查看即时通信数据，并根据即时通信数据找出证据。
84.可选地，所述即时通信数据包括以下之一：账号信息、通讯录信息、聊天记录信息、用户动态信息、应用信息和视频号信息。
85.其中，用户动态信息可以为朋友圈信息，应用信息可以为小程序信息，视频号信息可以为录制的视频信息。
86.示例地，终端取证分析系统输出的即时通信数据可以包括账号信息、通讯录信息、聊天记录信息、用户动态信息、应用信息和视频号信息；例如，终端取证分析系统输出的即时通信数据包括100条，其中有1条账号信息、5条通信录信息、60条聊天记录信息、8条用户动态信息、2条应用信息和24条视频号信息，用户可以点击任一条即时通信数据来查看具体内容。
87.需要说明的是，即时通信数据还可以包括即时通信软件的文件夹信息中的其他数据信息，具体数据信息需要基于即时通信软件的文件夹信息中的具体内容确定，本发明对此不作限定。
88.本发明提供的数据提取方法，能够获取到多种类型的即时通信数据，体现了数据提取的多样化。
89.下面对本发明提供的数据提取装置进行描述，下文描述的数据提取装置与上文描述的数据提取方法可相互对应参照。
90.图5是本发明提供的数据提取装置的结构示意图，如图5所示，该数据提取装置包
括第一获取单元501、第二获取单元502和提取单元503；其中：
91.第一获取单元501，用于获取目标设备的虚拟机磁盘文件；其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据；
92.第二获取单元502，用于在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息；
93.提取单元503，用于在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
94.本发明提供的一种数据提取装置，首先获取目标设备的虚拟机磁盘文件，然后在虚拟机磁盘文件中获取即时通信软件的文件夹信息，最后在即时通信软件的文件夹信息中自动提取至少一条即时通信数据。这样，在即时通信数据较多时，可以一次性全部提取，从而提高了数据提取效率。
95.基于上述任一实施例，所述第一获取单元501具体用于：
96.基于所述目标设备的安装目录获取所述虚拟机磁盘文件。
97.基于上述任一实施例，所述第二获取单元502具体用于：
98.将所述虚拟机磁盘文件加载在计算机取证分析系统中；
99.通过所述计算机取证分析系统对所述虚拟机磁盘文件进行解析，得到所述虚拟机磁盘文件的文件目录；
100.在所述虚拟机磁盘文件的文件目录中获取所述即时通信软件的所述文件夹信息；
101.输出所述文件夹信息。
102.基于上述任一实施例，所述第二获取单元502还具体用于：
103.获取用户输入的文件选择指令；其中，所述文件选择指令用于指示用户选择的所述文件夹信息中的至少一个子文件夹信息；
104.响应于所述文件选择指令，输出所述至少一个子文件夹信息。
105.基于上述任一实施例，所述提取单元503具体用于：
106.将每个所述子文件夹信息加载在终端取证分析系统中；
107.通过所述终端取证分析系统对每个所述子文件夹信息进行解析，得到每个所述子文件夹信息中的所述至少一条即时通信数据。
108.基于上述任一实施例，该装置还包括输出单元；
109.所述输出单元，用于输出所述至少一条即时通信数据。
110.基于上述任一实施例，所述即时通信数据包括以下之一：账号信息、通讯录信息、聊天记录信息、用户动态信息、应用信息和视频号信息。
111.基于上述任一实施例，所述目标设备包括模拟器。
112.图6是本发明提供的电子设备的实体结构示意图，如图6所示，该电子设备可以包括：处理器(processor)610、通信接口 (communications interface)620、存储器(memory)630和通信总线640，其中，处理器610，通信接口620，存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令，以执行数据提取方法，该方法包括：获取目标设备的虚拟机磁盘文件；其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据；
113.在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息；
114.在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
115.此外，上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
116.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的数据提取方法，该方法包括：获取目标设备的虚拟机磁盘文件；其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据；
117.在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息；
118.在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
119.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的数据提取方法，该方法包括：获取目标设备的虚拟机磁盘文件；其中，所述虚拟机磁盘文件中存储有所述目标设备的通信数据；
120.在所述虚拟机磁盘文件中获取即时通信软件的文件夹信息；
121.在所述即时通信软件的文件夹信息中提取至少一条即时通信数据。
122.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
123.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
124.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。