[发明专利]一种对存储介质进行自动化智能取证的方法及其系统

权利要求书

1.一种对存储介质进行自动化智能取证的方法，其特征在于：包括如下步骤：

自动加载分析功能模块步骤，该步骤是在启动分析后，取证计算机运行取证系统，自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载到取证计算机中，使取证计算机具备全面的分析功能；

智能选择需分析模块步骤，该步骤是由取证人员根据案件的类型、特点向取证计算机输入设定条件，取证系统根据所述设定条件智能选择需要采用的分析模块；

开始分析步骤，该步骤是启动进入功能分析；

从存储介质读取部分数据步骤，该步骤是由取证计算机从待分析的存储介质中读取部分数据；

功能分析步骤，该步骤是由取证计算机的取证系统从所述智能选择需分析模块步骤所选择确定的需被采用的分析模块中调出其中的一个分析模块；

智能识别有用结果步骤，该步骤是由功能分析步骤中所调用的所述分析模块对从存储介质读取部分数据步骤中读取的所述部分数据进行分析处理，智能识别出有用信息；

保存有用结果步骤，该步骤是将智能识别有用结果步骤所识别出的有用信息存储在取证计算机所对应的存储区域中；

分析判断步骤，该步骤是对智能选择需分析模块步骤所选择确定的需被采用的所有分析模块是否被调用完进行判断；当判断结果为未调用完时，返回功能分析步骤选择调用另一个分析模块进行分析取证；当判断结果为已调用完时，转到下一步骤；

数据读取判断步骤，该步骤是对被取证的存储介质的数据是否读取完毕进行判断；当判断结果为所述存储介质的数据未读完时，返回从存储介质读取部分数据步骤，继续读取所述存储介质的未被读取的数据；当判断结果为所述存储介质的数据已读完时，取证分析完成。

2.根据权利要求1所述的一种对存储介质进行自动化智能取证的方法，其特征在于：所述自动加载分析功能模块步骤中，进一步的还包括如下步骤：

枚举功能模块控件步骤，该步骤是读取取证计算机上安装的取证插件；

加入自动分析列表步骤，该步骤是把读取出来的取证插件信息加入自动分析列表里，让自动分析功能具备全面的分析功能；

枚举判断步骤，该步骤是对枚举取证计算机上安装的所有取证插件是否枚举完毕进行判断；当判断结果为枚举未完毕时，返回枚举功能模块控件步骤，继续读取取证计算机上安装的取证插件；当判断结果为枚举完毕时，加载完毕，结束自动加载分析功能模块步骤。

3.根据权利要求1所述的一种对存储介质进行自动化智能取证的方法，其特征在于：所述智能选择需分析模块步骤中，进一步的还包括如下步骤：

选择案件类型步骤，该步骤是由取证人员根据案件实际情况，向取证计算机的取证系统所显示的案件属性表填入对应的内容，取证系统根据案件属性自动生成分析该案件时所要采用的分析策略；

加载智能库分析模块步骤，该步骤是加载智能库里面的所有分析模块；

确定要分析模块步骤，该步骤是由取证计算机的取证系统根据选择案件类型后所产生的分析策略，以及取证系统可分析的所有分析模块，智能挑选出适于该案件进行分析所需要的一个或多个功能分析模块，以便在后续步骤中提供调用。

4.一种对存储介质进行自动化智能取证的系统，其特征在于：包括：

一自动加载分析功能模块装置，该装置用来在启动分析后，能自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载进来；

一智能选择需分析模块装置，该装置用来接收取证人员根据案件的类型、特点所输入的设定条件，根据所输入的设定条件智能选择需要采用的分析模块，并将被选用的各分析模块存入存储装置中；

一存储装置，设有第一存储区用来存储被选用的各分析模块，设有第二存储区用来存储有用信息；

一读取待分析存储介质部分数据装置，该装置用来逐次读取被检测存储介质的部分数据；

一调用分析模块装置，该装置用来从存储装置中逐个调取被选用的分析模块；

一智能识别有用信息装置，该装置是利用分析模块对从存储介质读取的部分数据进行分析处理，智能识别出有用信息，并将该有用信息存储到存储装置的第二存储区中；

一第一比较判断装置，该装置对存储装置中所存储的被选用的各分析模块是否调用完进行判断，并根据判断结果输出控制信号；

一第二比较判断装置，该装置对待分析存储介质内的数据是否读取完进行判断，并根据判断结果输出控制信号；

自动加载分析功能模块装置的输出接至智能选择需分析模块装置，前者将加载的分析模块输出给后者，由后者根据设定条件进行选择；智能选择需分析模块装置与存储装置相连接，前者将选定的各分析模块存储在后者对应的存储区中；读取待分析存储介质部分数据装置与待分析存储介质相连接，前者读取后者的部分数据；读取待分析存储介质部分数据装置与调用分析模块装置相连接，后者调取前者对待分析存储介质所读取的部分数据；调用分析模块装置与存储装置相连接，前者从后者中逐个调取被选用的分析模块；调用分析模块装置的输出接至智能识别有用信息装置的输入，前者将所调取的来自待分析存储介质的部分数据和被选用的分析模块输给后者，由后者根据分析模块对所述的部分数据进行分析处理；智能识别有用信息装置的输出接至存储装置，前者将分析处理后所得到的有用信息存储到后者对应的存储区中；智能识别有用信息装置的输出接至第一比较判断装置的输入，前者将已分析处理完成的信号输出给后者；第一比较判断装置与存储装置相连接，前者从后者调取各分析模块的信息，对分析模块是否调取完进行比较判断；第一比较判断装置的控制信号输出接至调用分析模块装置的控制端，后者根据前者的指令决定是否从存储装置中调用分析模块；第一比较判断装置的输出接至第二比较判断装置的输入，前者将已处理完成的信号输出给后者；第二比较判断装置与待分析存储介质相连接，前者从后者获得比较信号，并对待分析存储介质的数据是否读取完进行比较判断；第二比较判断装置的控制信号输出接至读取待分析存储介质部分数据装置的控制端，后者根据前者的指令决定是否从待分析存储介质中继续读取数据。