一种电子证据数据传输方法、系统和设备与流程

本发明涉及电子证据保全技术领域，特别涉及一种电子证据固化过程中的电子证据数据传输方法、系统和设备。

背景技术：

电子证据与法律上的传统证据类型在表现形式、保存方式及安全性等方面存在很大的不同。电子证据是电子技术的产物，依赖于计算机技术、网络技术、存储技术等技术存在，并可以以文本影像、图片、声音、图画等形式存在并在网络中传播。电子证据实质上是一堆按编码规则处理成的“0”和“1”，这些编码数据以声、光、电、磁等形式存在于媒体介质之上的，是无法直接观看的无形体，看不见，摸不着，只有通过特定的设备和技术才能显示为肉眼可见的有形内容。这就导致电子证据存储、传输和使用过程中，极易遭受到外来的破坏，使其被篡改的面目全非甚至消失。因此，电子证据通常比较脆弱，在作为证据使用的过程中很难被审查、认定其真实性。

基于此，电子证据保全成为电子数据时代的认定电子证据时效性、合法性和真实性的有效手段，在互联网高速发展的今天，由于相关法律的滞后性，电子数据保全还是一个新生的行业。在电子证据保全过程中，取得电子证据后如何有效的固化电子证据，使电子证据得以有效保全，在电子证据固化过程中如何保证数据的正确传输，不被增减篡改，从而保证待固化的电子证据数据传输的可靠性，使得到的待固化的电子证据数据真实、有效，从而使得电子证据在作为司法证据使用的时能够保证其真实性和实效性，则成为电子证据固化过程中亟待解决的技术问题。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种电子证据数据传输方法、系统和设备。

第一方面，本发明实施例提供一种电子证据数据传输方法，包括：

取证客户端获取电子证据文件；

取证客户端将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值；

取证客户端将每个小文件及其对应的校验值和电子证据文件的校验值发送给取证服务器，以便取证服务器根据小文件对应的校验值对小文件进行校验以及根据电子证据文件的校验值对电子证据文件进行校验。

在一些可选的实施例中，所述取证客户端获取电子证据文件，具体包括：

取证客户端根据用户的取证指令启动取证流程；

根据用户选择的取证方式，采用录屏或截屏方式获取用户请求获取的电子证据文件。

在一些可选的实施例中，所述取证客户端将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值，具体包括：

取证客户端根据设定的小文件大小，对电子证据文件进行切分，将电子证据文件切分为若干指定大小的小文件；或根据设定的切分数量，对电子证据文件进行切分，将电子证据文件切分为指定切分数量的小文件；或根据电子证据文件的类型和/或大小，选择切分规则，按照选择的切分规则将电子证据文件切分为若干小文件；

取证客户端并采用选定的哈希hash值计算方法计算每个小文件的hash值以及计算电子证据文件的hash值。

在一些可选的实施例中，上述方法，还包括：

接收取证服务器在有任一个小文件校验不通过时发送的小文件校验不通过的通知消息；根据接收到的通知消息向取证服务器重新发送校验未通过的小文件及对应的校验值，或根据接收到的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值；和/或

接收取证服务器在电子证据文件校验不通过时发送的电子证据文件校验不通过的通知消息，根据接收到的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值。

第二方面，本发明实施例提供一种电子证据数据传输方法，包括：

取证服务器接收取证客户端发送的获取到的电子证据文件的校验值和所述电子证据文件切分成的小文件及其对应的校验值；

取证服务器使用对应的校验值对每个小文件进行校验，当每个小文件都校验通过时，将所有小文件合成为完整的电子证据文件；

取证服务器使用接收到的电子证据文件的校验值对合成后的电子证据文件进行校验，校验通过后存储合成后的电子证据文件。

在一些可选的实施例中，所述取证服务器使用对应的校验值对每个小文件进行校验，具体包括：

计算接收到的小文件的hash值，将计算得到的hash值和接收到的该小文件对应的hash值进行匹配；如果相同，则校验通过，否则校验不通过；

在一些可选的实施例中，所述使用接收到的电子证据文件的校验值对合成后的电子证据文件进行校验，具体包括：

计算合成的电子证据文件的hash值，将计算得到的hash值和接收到的电子证据文件的hash值进行匹配；如果相同，则校验通过，否则校验不通过。

在一些可选的实施例中，上述方法，还包括：

当有任一个小文件校验不通过时，向取证客户端发送小文件校验不通过的通知消息；接收取证客户端根据接收到的通知消息发送过来的校验未通过的小文件及对应的校验值，或接收取证客户端根据接收到的通知消息发送过来的所有小文件及各自对应的校验值和电子证据文件的校验值；和/或

当电子证据文件校验不通过时，向取证客户端发送电子证据文件校验不通过的通知消息，接收取证客户端根据接收到的通知消息发送过来的所有小文件及各自对应的校验值和电子证据文件的校验值。

第三方面，本发明实施例提供一种取证客户端，包括：

证据获取模块，用于获取电子证据文件；

文件切分模块，用于将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值；

数据发送模块，用于将每个小文件及其对应的校验值和电子证据文件的校验值发送给取证服务器，以便取证服务器根据小文件对应的校验值对小文件进行校验以及根据电子证据文件的校验值对电子证据文件进行校验。

在一些可选的实施例中，所述证据获取模块，具体用于：

根据用户的取证指令启动取证流程；

根据用户选择的取证方式，采用录屏或截屏方式获取用户请求获取的电子证据文件。

在一些可选的实施例中，所述文件切分模块，具体用于：

根据设定的小文件大小，对电子证据文件进行切分，将电子证据文件切分为若干指定大小的小文件；或根据设定的切分数量，对电子证据文件进行切分，将电子证据文件切分为指定切分数量的小文件；或根据电子证据文件的类型和/或大小，选择切分规则，按照选择的切分规则将电子证据文件切分为若干小文件；

并采用选定的哈希hash值计算方法计算每个小文件的hash值以及计算电子证据文件的hash值。

在一些可选的实施例中，上述取证客户端，还包括：

异常处理模块，用于接收取证服务器在有任一个小文件校验不通过时发送的小文件校验不通过的通知消息；和/或接收取证服务器在电子证据文件校验不通过时发送的电子证据文件校验不通过的通知消息；相应的，

所述发送模块，还用于根据接收到的小文件检验不通过的通知消息向取证服务器重新发送校验未通过的小文件及对应的校验值，或根据接收到的小文件检验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值；和/或根据接收到的电子证据文件检验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值。

第四方面，本发明实施例提供一种取证服务器，包括：

接收模块，用于接收取证客户端发送的获取到的电子证据文件的校验值和所述电子证据文件切分成的若干小文件及其对应的校验值；

校验模块，用于使用对应的校验值对每个小文件进行校验；以及使用接收到的电子证据文件的校验值对所述合成模块合成后的电子证据文件进行校验；

合成模块，用于当每个小文件都校验通过时，将所有小文件合成为完整的电子证据文件；

存储模块，用于电子证据文件校验通过后存储合成后的电子证据文件。

在一些可选的实施例中，所述文件切分模块，校验模块，具体用于：

计算接收到的小文件的hash值，将计算得到的hash值和接收到的该小文件对对应的hash值进行匹配；如果相同，则校验通过，否则校验不通过；以及

计算合成的电子证据文件的hash值，将计算得到的hash值和接收到的电子证据文件的hash值进行匹配；如果相同，则校验通过，否则校验不通过。

在一些可选的实施例中，上述取证服务器，还包括：

异常通知模块，当有任一个小文件校验不通过时，向取证客户端发送小文件校验不通过的通知消息；和/或当电子证据文件校验不通过时，向取证客户端发送电子证据文件校验不通过的通知消息；相应的

所述接收模块，还用于：接收取证客户端根据接收到的小文件验证不通过的通知消息发送过来的校验未通过的小文件及对应的校验值，或接收取证客户端根据接收到的小文件验证不通过的通知消息发送过来的所有小文件及各自对应的校验值和电子证据文件的校验值；和/或接收取证客户端根据接收到的电子证据文件验证不通过的通知消息发送过来的所有小文件及各自对应的校验值和电子证据文件的校验值。

本发明实施例还提供一种电子证据数据传输系统，包括：上述取证客户端和上述取证服务器。

本发明实施例提供的上述技术方案的有益效果至少包括：

取证客户端获取到电子证据文件后，将电子证据文件切分为若干小文件，从而更方便大文件的传输，避免因文件过大而传输失败，大大降低了大文件上传失败的可能性；通过为每个小文件设置检验值，取证服务器接收到这些小文件后，根据校验值校验每一个小文件，保证每一个小文件的正确传输，不被篡改，提高文件传输的准确性和可靠性；在所有小文件都校验通过的情况下，将小文件重新整合并合成完整的电子证据文件，对合成的电子证据文件再次进行校验，保证合成的电子证据文件的正确性，从而更有效的保证了获取的电子证据文件的正确上传，内容不会被篡改，提高电子证据固化过程中数据传输正确、可靠性，保证了固化的电子证据数据真实、有效。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例一中电子证据数据传输方法的流程图；

图2为本发明实施例一中取证客户端的工作流程图；

图3为本发明实施例一中取证服务器的工作流程图；

图4为本发明实施例二中电子证据数据传输方法的具体实现流程图；

图5为本发明实施例中电子证据数据传输系统的结构示意图；

图6为本发明实施例中取证客户端的结构示意图；

图7为本发明实施例中取证服务器的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为了解决现有技术中存在的电子证据固化过程中极易被增减篡改，从而难以保证电子证据的真实性和有效性的问题，本发明实施例提供一种电子证据数据传输方法，能够保证电子证据数据的正确传输，保证电子证据不会被篡改，提高传输的数据的可靠性。

实施例一

本发明实施例一提供一种电子证据数据传输方法，其流程如图1所示，包括如下步骤：

步骤s101：取证客户端获取电子证据文件。

取证客户端根据用户的取证指令启动取证流程；根据用户选择的取证方式，采用录屏或截屏方式获取用户请求获取的电子证据文件。

文档、图片、音视频、数字证书、计算机程序等电子文件，网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息，用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息，以及手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息，等等，都可以作为电子证据数据。用户有电子证据数据需要保全时，向取证客户端发送取证指令，并根据需要选择录屏方式或者截屏方式。取证客户端接收到用户的取证指令后启动取证流程，根据用户选择的录屏或截屏取证方式收集电子数据及产生电子数据的主体信息、环境信息、过程信息等，获取电子证据文件。

步骤s102：取证客户端将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值。

取证客户端将获取的电子证据文件切分为若干小文件，具体可以选用下列方式中的一种来实现。

方式一：取证客户端根据系统的运行需求提前设定好小文件的大小，例如每个文件的大小定为1m，根据设定的小文件大小，对电子证据文件进行切分，将电子证据文件切分为若干指定大小的小文件。

方式二：取证客户端根据系统的运行需求提前设定好小文件的切分数量，例如设定为每个电子证据文件切分成100个小文件，根据设定的切分数量，对电子证据文件进行切分，将电子证据文件切分为指定切分数量的小文件。

方式三：根据电子证据文件的类型和/或大小，选择切分规则，按照选择的切分规则将电子证据文件切分为若干小文件。比如：对于视频文件，根据设定的小文件大小，对电子证据文件进行切分；对于截屏的图片文件，按照图片数量进行切分；又比如，对于较大的文件，根据设定的小文件大小，对电子证据文件进行切分；对于较小的文件，可以不进行切分，等等。

取证客户端采用选定的哈希(hash)值计算方法计算每个小文件的hash值，作为对应小文件的校验值；计算电子证据文件的hash值，作为电子证据文件的校验值。

步骤s103：取证客户端将每个小文件及其对应的校验值和电子证据文件的校验值发送给取证服务器。

取证客户端将每个小文件及其对应的校验值、电子证据文件的校验值发送给取证服务器，以便取证服务器根据小文件对应的校验值对小文件进行校验以及根据电子证据文件的校验值对电子证据文件进行校验。

步骤s104：取证服务器接收取证客户端发送的获取到的电子证据文件的校验值、电子证据文件切分成的小文件及其对应的校验值。

取证服务器接收取证客户端发送数据信息，从接收到的数据信息中获取电子证据文件的校验值、所述电子证据文件切分成的小文件及其对应的校验值。

步骤s105：取证服务器根据小文件对应的校验值对小文件进行校验。

取证服务器采用选定的哈希hash值计算方法计算接收到的每个小文件的hash值，将计算得到的hash值和接收到的该小文件对应的hash值进行匹配，如果相同，则校验通过，继续校验下一个小文件；否则，校验不通过，记录校验不通过的小文件及其校验值，继续校验下一个小文件，直至校验完所有接收到的小文件。

如果全部小文件都校验通过的话，继续步骤s106。

相应的，如果有任一小文件校验不通过的话，取证服务器向取证客户端发送校验不通过的通知消息，取证客户端接收取证服务器在电子证据文件校验不通过时发送的电子证据文件校验不通过的通知消息。

可选的，取证客户端根据接收到的小文件校验不通过的通知消息向取证服务器重新发送校验未通过的小文件及对应的校验值，取证服务器根据接收到的校验未通过的小文件及对应的校验值按上述方法重新校验，直至校验通过或重新发送次数超过设定的次数阈值。

可选的，取证客户端根据接收到的小文件校验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值，取证服务器根据新接收到的所有小文件及各自对应的校验值和电子证据文件的校验值按上述方法重新校验，直至校验通过或重新发送次数超过设定的次数阈值。

步骤s106：取证服务器将所有小文件合成为完整的电子证据文件。

全部小文件都校验通过后，取证服务器将所有小文件合成为完整的电子证据文件。可选的，根据切分的方式可以采用相应的合成方式进行合成。

步骤s107：取证服务器根据电子证据文件的校验值对合成后的电子证据文件进行校验。

取证服务器采用选定的哈希hash值计算方法计算合成后的电子证据文件的hash值，将计算得到的hash值和接收到的该电子证据文件对应的hash值进行匹配，如果相同，则校验通过，继续步骤s108；否则，校验不通过。

校验不通过时，取证服务器向取证客户端发送电子证据文件校验不通过的通知消息，取证客户端接收取证服务器在电子证据文件校验不通过时发送的电子证据文件校验不通过的通知消息，根据接收到的电子证据文件校验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值，继续步骤s104-步骤s107。

步骤s108：取证服务器存储合成后的电子证据文件。

取证服务器对合成后的电子证据文件校验通过后，保存合成后的电子证据文件，电子证据文件获取、固化上传过程结束。

本发明实施例一提供的上述电子证据数据传输方法中，通过将获取的电子证据文件切分为若干小文件并对小文件和原始电子证据文件双重校验，保证了电子数据固化上传过程中的有效传输，不被增减篡改，实现了其真实性和可靠性。

上述电子证据文件的获取及其固化上传，是通过取证客户端和取证服务器的交互工作来实现的，其各自的工作流程如下所示。

图2为电子证据数据传输过程中取证客户端的工作流程图。

步骤s201：启动取证流程。

用户有电子证据数据需要保全时，向取证客户端发送取证指令，并根据需要选择录屏方式或者截屏方式。取证客户端接收到用户的取证指令后启动取证流程。

步骤s202：获取电子证据文件。

根据用户选择的录屏或截屏取证方式收集电子数据及产生电子数据的主体信息、环境信息、过程信息等，获取电子证据文件。

步骤s203：将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值。

取证客户端将获取的电子证据文件按设定小文件大小、设定小文件数量的规则，或根据电子证据文件的类型和/或大小选择切分规则，按照选择的切分规则将电子证据文件切分为若干小文件。

采用选定的哈希hash值计算方法计算每个小文件的hash值，作为对应小文件的校验值；计算电子证据文件的hash值，作为电子证据文件的校验值。

步骤s204：将每个小文件及其对应的校验值和电子证据文件的校验值发送给取证服务器，以便取证服务器根据小文件对应的校验值对小文件进行校验以及根据电子证据文件的校验值对电子证据文件进行校验。

步骤s205：根据接收到的校验不通过的通知消息向取证服务器重新发送相应的信息。

根据接收到的小文件校验不通过的通知消息向取证服务器重新发送校验未通过的小文件及对应的校验值。

可选的，根据接收到的小文件校验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值。和/或

根据接收到的电子证据文件校验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值。

图3为电子证据数据传输过程中取证服务器的工作流程图。

步骤s301：接收取证客户端发送的每个小文件及其对应的校验值和电子证据文件的校验值。

步骤s302：根据小文件对应的校验值对小文件进行校验。

采用选定的哈希hash值计算方法计算接收到的每个小文件的hash值，将计算得到的hash值和接收到的该小文件对应的hash值进行匹配，如果相同，则校验通过。

步骤s303：将所有小文件合成为完整的电子证据文件。

如果全部小文件都校验通过的话，将所有小文件合成为完整的电子证据文件。

步骤s304：根据电子证据文件的校验值对合成后的电子证据文件进行校验。

采用选定的哈希hash值计算方法计算合成后的电子证据文件的hash值，将计算得到的hash值和接收到的该电子证据文件对应的hash值进行匹配，如果相同，则校验通过。

步骤s305：存储合成后的电子证据文件。

对合成后的电子证据文件校验通过后，存储合成后的电子证据文件。

上述方法中，若任一小文件或电子证据文件验证不通过，则发送校验不通过的通知消息，根据取证客户端重新发送的信息重新验证。

实施例二

本发明实施例二提供电子证据数据传输方法的一种具体实现过程，其流程如图4所示，包括如下步骤：

步骤s401：启动取证流程。

取证客户端接收到用户的取证指令后启动取证流程。

步骤s402：获取电子证据文件。

取证客户端根据用户选择的录屏或截屏取证方式收集电子数据，同时收集产生电子数据的主体信息、环境信息、过程信息等，实现电子数据的完整性，保证电子数据产生环境和过程的可还原与可追溯，获取电子证据文件。

步骤s403：切分为若干小文件。

取证客户端将获取的电子证据文件按选定的规则切分为若干小文件。

步骤s404：确定每个小文件对应的hash值。

取证客户端采用选定的哈希计算方法计算每个小文件的hash值，作为对应小文件的校验值。其中，hash值计算方法可以选择安全哈希算法(securehashalgorithm，sha1)算法，可以选择消息摘要算法第五版(messagedigestalgorithm，md5)算法，也可以选择其他算法。

步骤s405：确定电子证据文件的hash值。

取证客户端采用选定的哈希hash值计算方法计算电子证据文件的hash值，作为其校验值。

步骤s406：发送每个小文件及其对应的hash值和电子证据文件的hash值。

步骤s407：对接收到的小文件进行校验。

取证服务器对接收到的小文件进行校验，若检验通过，执行步骤s410；若校验不通过，执行步骤s408。

取证服务器选择与取证客户端一样的hash值计算方法计算接收到的小文件的hash值，比如：可以选择sha1算法，可以选择md5算法，也可以选择其他算法。

比较计算的到的hash值与接收到的该小文件的hash值是否相同，相同，则校验通过，否则校验不通过。

步骤s408：发送校验不通过的通知消息。

若小文件校验不通过，和/或合成后的电子证据文件校验不通过，取证服务器向取证客户端发送校验不通过的通知消息。

步骤s409：根据接收到的校验不通过的通知消息重新发送相应信息。

取证客户端根据接收到的小文件校验不通过的通知消息向取证服务器重新发送校验未通过的小文件及对应的hash值；或根据接收到的小文件校验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的hash值和电子证据文件的hash值。

取证客户端根据接收到的电子证据文件校验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的hash值和电子证据文件的hash值

步骤s410：将所有小文件合成为完整的电子证据文件。

如果全部小文件都校验通过的话，取证服务器将所有小文件合成为完整的电子证据文件。

步骤s411：取证服务器确定合成后的电子证据文件的hash值。

步骤s412：取证服务器对合成后的电子证据文件进行校验。

若检验通过，执行步骤s413；若校验不通过，执行步骤s408。

步骤s413：存储合成后的电子证据文件。

合成后的电子证据文件校验通过后，取证服务器存储合成后的电子证据文件。

基于同一发明构思，本发明实施例还提供一种电子证据数据传输系统。该系统的结构如图5所示，包括：取证客户端501和取证服务器502。

取证客户端501，用于获取电子证据文件；将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值；将每个小文件及其对应的校验值和电子证据文件的校验值发送给取证服务器，以便取证服务器根据小文件对应的校验值对小文件进行校验以及根据电子证据文件的校验值对电子证据文件进行校验。

取证服务器502，用于接收取证客户端发送的获取到的电子证据文件的校验值和电子证据文件切分成的小文件及其对应的校验值；使用对应的校验值对每个小文件进行校验，当每个小文件都校验通过时，将所有小文件合成为完整的电子证据文件；使用接收到的电子证据文件的校验值对合成后的电子证据文件进行校验，校验通过后存储合成后的电子证据文件。

可选的，取证客户端501还用于接收取证服务器发送的校验不通过的通知消息；根据接收到的取证服务器校验不通过的通知消息向取证服务器重新发送校相应的信息。

可选的，取证服务器502还用于校验不通过时发送校验不通过的通知消息，根据取证客户端发送的新的信息重新校验。

上述取证客户端501的结构如图6所示，包括：证据获取模块601、文件切分模块602和数据发送模块603。

证据获取模块601，用于获取电子证据文件。

文件切分模块602，用于将获取的电子证据文件切分为若干小文件，确定每个小文件对应的校验值和电子证据文件的校验值。

数据发送模块603，用于将每个小文件及其对应的校验值和电子证据文件的校验值发送给取证服务器，以便取证服务器根据小文件对应的校验值对小文件进行校验以及根据电子证据文件的校验值对电子证据文件进行校验。

可选的，上述取证客户端还包括：异常处理模块604，用于接收取证服务器在有任一个小文件校验不通过时发送的小文件校验不通过的通知消息；和/或接收取证服务器在电子证据文件校验不通过时发送的电子证据文件校验不通过的通知消息。

相应的，所述数据发送模块603，具体还用于根据接收到的小文件检验不通过的通知消息向取证服务器重新发送校验未通过的小文件及对应的校验值，或根据接收到的小文件检验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值；和/或根据接收到的电子证据文件检验不通过的通知消息向取证服务器重新发送所有小文件及各自对应的校验值和电子证据文件的校验值。

优选的，上述证据获取模块601，具体用于根据用户的取证指令启动取证流程；根据用户选择的取证方式，采用录屏或截屏方式获取用户请求获取的电子证据文件。

优选的，上述文件切分模块602，具体用于根据设定的小文件大小，对电子证据文件进行切分，将电子证据文件切分为若干指定大小的小文件；或根据设定的切分数量，对电子证据文件进行切分，将电子证据文件切分为指定切分数量的小文件；或根据电子证据文件的类型和/或大小，选择切分规则，按照选择的切分规则将电子证据文件切分为若干小文件；并采用选定的哈希hash值计算方法计算每个小文件的hash值以及计算电子证据文件的hash值。

上述取证服务器502的结构如图7所示，包括：接收模块701、校验模块702、合成模块703和存储模块704。

接收模块701，用于接收取证客户端发送的获取到的电子证据文件的校验值和所述电子证据文件切分成的若干小文件及其对应的校验值。

校验模块702，用于使用对应的校验值对每个小文件进行校验；以及使用接收到的电子证据文件的校验值对所述合成模块合成后的电子证据文件进行校验。

合成模块703，用于当每个小文件都校验通过时，将所有小文件合成为完整的电子证据文件。

存储模块704，用于电子证据文件校验通过后存储合成后的电子证据文件。

可选的，上述取证服务器还包括：

异常通知模块705，用于当有任一个小文件校验不通过时，向取证客户端发送小文件校验不通过的通知消息；和/或当电子证据文件校验不通过时，向取证客户端发送电子证据文件校验不通过的通知消息。

相应的，所述接收模块701，具体还用于：接收取证客户端根据接收到的小文件验证不通过的通知消息发送过来的校验未通过的小文件及对应的校验值，或接收取证客户端根据接收到的小文件验证不通过的通知消息发送过来的所有小文件及各自对应的校验值和电子证据文件的校验值；和/或接收取证客户端根据接收到的电子证据文件验证不通过的通知消息发送过来的所有小文件及各自对应的校验值和电子证据文件的校验值。

优选的，所述校验模块702，具体用于计算接收到的小文件的hash值，将计算得到的hash值和接收到的该小文件对对应的hash值进行匹配；如果相同，则校验通过，否则校验不通过；以及计算合成的电子证据文件的hash值，将计算得到的hash值和接收到的电子证据文件的hash值进行匹配；如果相同，则校验通过，否则校验不通过。

关于上述实施例中的取证客户端和取证服务器，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本发明实施例的上述方法、系统和设备，取证客户端将获取的电子证据文件按选定切分规则切分为若干小文件，从而更方便大文件的传输，避免因文件过大而传输失败，大大降低了大文件上传失败的可能性；通过为每个小文件设置检验值，取证服务器接收到这些小文件后，根据校验值校验每一个小文件，保证每一个小文件的正确传输，不被篡改，提高文件传输的准确性和可靠性；在所有小文件都校验通过的情况下，将小文件按照切分时的规则重新整合并合成完整的电子证据文件，对合成的电子证据文件再次进行校验，保证合成的电子证据文件的正确性，从而更有效的保证了获取的电子证据文件的正确上传，内容不会被篡改，提高电子证据固化过程中数据传输正确、可靠性，保证了固化的电子证据数据真实、有效。

除非另外具体陈述，术语比如处理、计算、运算、确定、显示等等可以指一个或更多个处理或者计算系统、或类似设备的动作和/或过程，所述动作和/或过程将表示为处理系统的寄存器或存储器内的物理(如电子)量的数据操作和转换成为类似地表示为处理系统的存储器、寄存器或者其他此类信息存储、发射或者显示设备内的物理量的其他数据。信息和信号可以使用多种不同的技术和方法中的任何一种来表示。例如，在贯穿上面的描述中提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

本领域技术人员还应当理解，结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性，上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件，取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用，以变通的方式实现所描述的功能，但是，这种实现决策不应解释为背离本公开的保护范围。

结合本文的实施例所描述的方法或者算法的步骤可直接体现为硬件、由处理器执行的软件模块或其组合。软件模块可以位于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、移动磁盘、cd-rom或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质连接至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于asic中。该asic可以位于用户终端中。当然，处理器和存储介质也可以作为分立组件存在于用户终端中。

对于软件实现，本申请中描述的技术可用执行本申请所述功能的模块(例如，过程、函数等)来实现。这些软件代码可以存储在存储器单元并由处理器执行。存储器单元可以实现在处理器内，也可以实现在处理器外，在后一种情况下，它经由各种手段以通信方式耦合到处理器，这些都是本领域中所公知的。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括，”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。