实现对远程取证目标终端进行协同取证分析的方法及系统

摘要

本发明涉及一种实现对远程取证目标终端进行协同取证分析的方法，包括：远程取证目标终端将各个取证分析脚本分解为对应的数个基本操作单元序列；终端判断所有的基本操作单元序列中是否存在重复的基本操作单元序列，如果是则合并重复的基本操作单元序列，否则将基本操作单元序列与取证分析数据对象进行关联，并根据所述的基本操作单元序列对其关联的取证分析数据对象进行相应的操作；本发明还提供一种实现对远程取证目标终端进行协同取证分析的系统，包括取证服务器和取证脚本解释器。采用本发明的方法及系统，将取证脚本解释为具体的取证行为并合理地合并优化取证行为，提高数字取证的可靠性和分析处理效率，具有更广泛的应用范围。

说明书

技术领域

本发明涉及取证分析领域，尤其涉及远程协同取证分析领域，具体是指一种实现对远程 取证目标终端进行协同取证分析的方法及系统。

背景技术

在数字取证过程中，对取证数据的分析过程往往依赖于取证人员个人经验和思考判断来 选择恰当的分析方法来实现对取证数据的检测及分析，因为取证人员对取证数据的分析往往 会涉及到多种分析方法，例如文件系统分析、日志分析及本地用户数据分析等。这种个人主 观选择取证分析方法不但不利于对取证数据的充分有效利用，还对取证效率产生了负面影响。 此外，需要进行取证鉴定的案件数量逐年激增，但是取证人员数量有限，无法及时到达现场 展开取证，且个人经验有限，难以全方面的进行取证。

综上所述，如何基于联动协同原理提出有效的、满足取证要求的数字取证分析方案在分 析过程中提高对取证数据的利用率方面和提升取证分析的精准度方面占据着重要的地位。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种通过取证脚本解释器将取证脚 本解释为具体的取证行为，并合理地合并优化取证行为，提高数字取证的可靠性和分析处理 效率的实现对远程取证目标终端进行协同取证分析的方法及系统。

为了实现上述目的，本发明的实现对远程取证目标终端进行协同取证分析的方法及系统 具有如下构成：

该实现对远程取证目标终端进行协同取证分析的方法，其主要特点是，所述的方法包括 以下步骤：

(1)远程取证目标终端接收数个取证分析脚本；

(2)所述的远程取证目标终端将各个取证分析脚本分解为对应的数个基本操作单元序 列；

(3)所述的远程取证目标终端判断所有的取证分析脚本对应的基本操作单元序列中是否 存在重复的基本操作单元序列，如果是，则继续步骤(4)，否则继续步骤(5)；

(4)所述的远程取证目标终端合并重复的基本操作单元序列，并继续步骤(5)；

(5)所述的远程取证目标终端将所述的基本操作单元序列与取证分析数据对象进行关 联；

(6)所述的远程取证目标终端根据所述的基本操作单元序列对其关联的取证分析数据对 象进行相应的操作。

进一步地，所述的分析数据对象包括原始取证镜像文件对象、基本分类结构对象和内容 详细信息对象，所述的基本操作单元序列包括原始取证镜像文件操作序列、基本分类结构操 作序列和内容详细信息操作序列，所述的远程取证目标终端将所述的基本操作单元序列与取 证分析数据对象进行关联，具体为：

所述的远程取证目标终端将原始取证镜像文件对象与原始取证镜像文件操作序列进行关 联，所述的基本分类结构对象与所述的基本分类结构操作序列进行关联，以及所述的内容详 细信息对象和所述的内容详细信息操作序列进行关联。

进一步地，所述的方法还包括取证服务器，步骤(1)之前，还包括以下步骤：

(0)所述的取证服务器将用户输入的操作转换为对应的取证分析脚本，并将所述的取证 分析脚本发送至所述的远程取证目标终端。

进一步地，所述的步骤(6)之后，还包括以下步骤：

(7)所述的远程取证目标终端得到取证分析结果数据，并将该取证分析结果数据保存至 共享数据库中。

此外，本发明还提供一种基于上述方法实现对远程取证目标终端进行多人协同取证分析 的系统，其主要特点是，所述的系统包括：

取证服务器，用以将用户输入的操作转换为对应的取证分析脚本，并将所述的取证分析 脚本发送至所述的远程取证目标终端；

取证脚本解释器，设置于所述的远程取证目标终端内，用以将各个取证分析脚本分解为 对应的数个基本操作单元序列，并将所述的基本操作单元序列与取证分析数据对象进行关联。

进一步地，所述的取证脚本解释器包括文件解析操作单元、系统删除恢复文件操作单元、 签名删除恢复操作单元、文件签名分析操作单元、音视频编解码操作单元、数据区删除恢复 操作单元、属性搜索操作单元、关键字搜索操作单元和数据库连接池操作单元。

更进一步地，所述的取证脚本解释器将所述的文件解析操作单元、所述的系统删除恢复 文件操作单元和所述的签名删除恢复操作单元与原始取证镜像文件操作序列进行关联；所述 的取证脚本解释器将所述的文件签名分析操作单元、所述的音视频编解码操作单元和所述的 数据区删除恢复操作单元与基本分类结构操作序列进行关联；所述的取证脚本解释器将所述 的属性搜索操作单元、所述的关键字搜索操作单元和所述的数据库连接池操作单元与所述的 内容详细信息操作序列进行关联。

进一步地，所述的取证分析数据对象包括原始取证镜像文件对象、基本分类结构对象和 内容详细信息对象。

更进一步地，所述的原始取证镜像文件对象为所述的远程取证目标终端提取的原始取证 数据；所述的基本分类结构对象包括图片对象、音频对象、视频对象、数据库文件对象、注 册表文件对象和HTML文件对象；所述的内容详细信息对象包括文件属性索引、文件内容关 键字索引、已解析注册表树形结构对象和已解析结构化文件对象。

采用了本发明的实现对远程取证目标终端进行协同取证分析的方法及系统，通过取证脚 本解释器自动将取证脚本解释为具体的取证行为，降低网络开销，并加快远程取证过程中实 时响应的速度，由于取证脚本解释器具备取证行为和流程优化的能力，当同时存在多名取证 专家进行远程的取证会诊时，取证脚本解释器将多名远程取证专家的取证脚本进行合并优化 之后，形成合理的基本操作单元序列，以解决远程协同取证过程中的冲突以及效率低下的问 题，提高数字取证的分析可靠性和分析效率，结构简单，便与扩展，具有更广泛的应用范围。

附图说明

图1为本发明的实现对远程取证目标终端进行协同取证分析的方法的流程图。

图2为本发明的多人协同取证的结构示意图。

图3为本发明的优化合并基本操作单元序列的流程图。

图4为本发明的取证分析数据对象和基本操作单元的结构示意图。

图5为本发明的取证分析数据对象和基本操作单元之间进行关联的结构示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

如图1所示，在一种实施方式中，本发明的实现对远程取证目标终端进行协同取证分析 的方法包括以下步骤：

(1)远程取证目标终端接收数个取证分析脚本；

(2)所述的远程取证目标终端将各个取证分析脚本分解为对应的数个基本操作单元序 列；

(3)所述的远程取证目标终端判断所有的取证分析脚本对应的基本操作单元序列中是否 存在重复的基本操作单元序列，如果是，则继续步骤(4)，否则继续步骤(5)；

(4)所述的远程取证目标终端合并重复的基本操作单元序列，并继续步骤(5)；

(5)所述的远程取证目标终端将所述的基本操作单元序列与取证分析数据对象进行关 联；

(6)所述的远程取证目标终端根据所述的基本操作单元序列对其关联的取证分析数据对 象进行相应的操作。

在一种优选的实施方式中，所述的分析数据对象包括原始取证镜像文件对象、基本分类 结构对象和内容详细信息对象，所述的基本操作单元序列包括原始取证镜像文件操作序列、 基本分类结构操作序列和内容详细信息操作序列，所述的远程取证目标终端将所述的基本操 作单元序列与取证分析数据对象进行关联，具体为：

所述的远程取证目标终端将原始取证镜像文件对象与原始取证镜像文件操作序列进行关 联，所述的基本分类结构对象与所述的基本分类结构操作序列进行关联，以及所述的内容详 细信息对象和所述的内容详细信息操作序列进行关联。

在一种优选的实施方式中，所述的方法还包括取证服务器，步骤(1)之前，还包括以下 步骤：

(0)所述的取证服务器将用户输入的操作转换为对应的取证分析脚本，并将所述的取证 分析脚本发送至所述的远程取证目标终端。

在一种优选的实施方式中，所述的步骤(6)之后，还包括以下步骤：

(7)所述的远程取证目标终端得到取证分析结果数据，并将该取证分析结果数据保存至 共享数据库中。

此外，本发明还提供一种基于上述方法实现对远程取证目标终端进行多人协同取证分析 的系统，其主要特点是，所述的系统包括：

取证服务器，用以将用户输入的操作转换为对应的取证分析脚本，并将所述的取证分析 脚本发送至所述的远程取证目标终端；

取证脚本解释器，设置于所述的远程取证目标终端内，用以将各个取证分析脚本分解为 对应的数个基本操作单元序列，并将所述的基本操作单元序列与取证分析数据对象进行关联。

在一种优选的实施方式中，所述的取证脚本解释器包括文件解析操作单元、系统删除恢 复文件操作单元、签名删除恢复操作单元、文件签名分析操作单元、音视频编解码操作单元、 数据区删除恢复操作单元、属性搜索操作单元、关键字搜索操作单元和数据库连接池操作单 元。

在一种更优选的实施方式中，所述的取证脚本解释器将所述的文件解析操作单元、所述 的系统删除恢复文件操作单元和所述的签名删除恢复操作单元与原始取证镜像文件操作序列 进行关联；所述的取证脚本解释器将所述的文件签名分析操作单元、所述的音视频编解码操 作单元和所述的数据区删除恢复操作单元与基本分类结构操作序列进行关联；所述的取证脚 本解释器将所述的属性搜索操作单元、所述的关键字搜索操作单元和所述的数据库连接池操 作单元与所述的内容详细信息操作序列进行关联。

在一种优选的实施方式中，所述的取证分析数据对象包括原始取证镜像文件对象、基本 分类结构对象和内容详细信息对象。

在一种更优选的实施方式中，所述的原始取证镜像文件对象为所述的远程取证目标终端 提取的原始取证数据；所述的基本分类结构对象包括图片对象、音频对象、视频对象、数据 库文件对象、注册表文件对象和HTML文件对象；所述的内容详细信息对象包括文件属性索 引、文件内容关键字索引、已解析注册表树形结构对象和已解析结构化文件对象。

在实际应用中，远程取证系统包括取证目标终端(包含终端取证插件，终端取证插件包 含取证脚本解释器和取证服务器)。相比于传统取证方法，增加了取证脚本解释器，支持用户 远程执行取证脚本，发送取证操作命令，接收取证结果。

终端取证插件以动态链接库的方式进行封装，开放调用api接口，开发者只需要编写少 量代码，就可以将终端取证插件嵌入到目前主流的取证软件中。终端取证插件功能包括：

1.用户远程登录；

2.设置权限，包括远程命令者和执行者；

3.上传取证脚本；

4.执行远程命令；

5.展示远程取证结果。

取证服务器运行在linux操作系统，采用java语言编写，以服务的方式异步通信的方式 与终端进行交互，数据经过压缩采用二进制方式进行传输。取证服务器的功能包括：

1.保存用户的基本信息；

2.保存用户的连接信息和缓存数据；

3.保存用户上传的取证脚本，支持共享功能；

4.接收和发送用户命令；

远程取证系统通过tcp协议进行通信，用户通过远程取证终端插件可以登录到服务器， 可以选择控制同时登陆的用户，发送取证命令，传输取证脚本，获取取证结果，终端可以获 取服务器取证脚本库，支持取证脚本的共享。

远程取证系统取证流程：

1.登陆到远程取证服务器，获取在线用户；

2.选取一个用户，发送请求控制指令(接收到指令到的用户可以选择接受控制或者拒 绝)；

3.当被选取用户接收控制后，进入远程取证模式。可以发送取证命令，远程执行取证脚 本；

4.被控制用户收到取证命令后，无需任何操作，系统自动执行取证，显示取证过程，取 证完毕后，传输回取证结果。

5.控制用户收到结果后，以列表或者图的方式展示取证结果，生成取证报告，完成远程 取证过程。取证过程中，任何一方退出登录，远程取证自动结束。

在一个更优选的实施例中，取证技术专家通过网络连接远程协同取证协议链接到远程目 标终端，进行多人协同取证，如图2所示，多名取证技术专家链接到远程取证目标终端，协 同对远程目标进行取证，多名取证专家可以共享取证分析结果。以一种“会诊”的形式对远 程目标进行取证。

为了降低网络开销并加快远程取证过程中，实时响应的速度。在进行远程取证时，取证 专家的操作会自动转换为取证脚本，并只对取证脚本进行传输。

取证专家在本地图形界面进行案件打开、关键词搜索等操作时，相应的操作会转换为一 系列的取证命令脚本。通过网络传输，将取证命令脚本传输给了远程取证目标终端。远程取 证目标终端接收到取证脚本之后，会使用取证脚本解释器将取证脚本解释为具体的取证行为 (即基本操作)。

由于同时存在多名取证专家进行远程的取证会诊，取证脚本解释器具备取证行为和流程 优化的能力，如图3所示，将多名远程取证专家的取证脚本进行合并优化之后，形成合理的 基本操作单元序列。可以解决远程协同取证过程中的冲突以及效率低下的问题。

基本操作单元序列执行结束之后，取证分析结果会存储到共享的取证分析结果数据库中。 远程取证分析人员可以看到自己取证操作的结果信息，也可以看到其他人的取证分析结果。

在另一种优选的实施例中，对被取证的证据资源和取证的行为进行了细分，如图4所示， 按照层级关系，证据数据从原始的镜像文件解析到基于文件内容的索引，分为3个层次。对 应的取证操作，也分解为3个层次的基本操作单元。主要包括文件系统级别的取证分析操作、 针对文件特征的取证分析操作以及针对文件内容的取证分析操作。

当接收到多个取证分析脚本时，首先将每个取证分析脚本分解为一系列的基本操作单元 序列。所有接收到的取证分析脚本都被分解为如图4所示的基本操作单元对应的序列。由于 基本操作单元是针对特定层级的被取证分析数据对象的，所以当一系列的取证分析脚本被分 解之后，与取证分析数据对象将如图5所示的方式关联，其中，dd是原始磁盘的位对位的复 制镜像格式；e01是encase公司提出的磁盘复制镜像格式，这种格式支持压缩、分片等功能； aff全称是Advanced Forensics Format，是一种开放可扩展的磁盘镜像格式。

采用了本发明的实现对远程取证目标终端进行协同取证分析的方法及系统，通过取证脚 本解释器自动将取证脚本解释为具体的取证行为，降低网络开销，并加快远程取证过程中实 时响应的速度，由于取证脚本解释器具备取证行为和流程优化的能力，当同时存在多名取证 专家进行远程的取证会诊时，取证脚本解释器将多名远程取证专家的取证脚本进行合并优化 之后，形成合理的基本操作单元序列，以解决远程协同取证过程中的冲突以及效率低下的问 题，提高数字取证的分析可靠性和分析效率，结构简单，便与扩展，具有更广泛的应用范围。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种 修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限 制性的。