[发明专利]一种对存储介质进行自动化智能取证的方法及其系统

说明书

技术领域

本发明涉及一种对存储介质的取证方法，特别是涉及一种对存储介质进行自动化智能取证的方法及其系统。

背景技术

随着计算机应用的大量普及，伴随而来的是计算机犯罪现象的出现，如实施对计算机信息数据的窃取，对计算机重要数据实施破坏或篡改，利用计算机制作、传播有害信息，通过计算机制造、传播病毒，或实施“黑客”行动破坏网络秩序等等。这种计算机犯罪行为所带来的后果，严重地影响了国民经济建设的发展和社会的安全与稳定，对计算机犯罪进行取证勘察成了现在打击和预防计算机犯罪行为的重要手段。

目前我们国家针对案件硬盘等存储设备进行调查时所使用的专业分析软件绝大部分都是国外的产品，例如：EnCase、FTK等。这类型的软件系统往往功能较强大、但使用很复杂，对操作人员要求比较高，需要有较高的计算机技术水平，并且需要专门培训才能够比较好的发挥作用，而且无法提供针对国内计算机常用数据进行调查的功能，例如：Foxmail、QQ数据提取等，无法进行全面的分析取证。

现有取证技术主要采用多次、多步骤分析方法，具体就是针对不同案件，根据需要，多次调用不同功能进行分析取证。图1即为现有取证方法的流程图，现有取证方法主要包括如下步骤：人工选择分析内容步骤(如图1中的框11′所示)，该步骤是根据案件特点要求以及分析人员对技术的理解、取证经验，决定准备要分析的内容，并做好相关信息配置；读取部分数据，进行分析步骤(如图1中的框12′所示)，该步骤是根据上一步选择的分析内容，从待分析的存储介质里读取部分数据进行分析，因为待分析的存储介质数据量一般较大(几十GB甚至上百GB)，无法一次性全部读取出来，因此这个阶段只能是一次读取部分数据、进行分析；数据读取判断步骤(如图1中的框13′所示)，该步骤对数据是否读取完毕进行判断，当判断结果为数据未读完时，返回读取部分数据，进行分析的步骤，继续读取数据，当判断结果为数据已读完时，转到下一步骤；对分析结果做书签步骤(如图1中的框14′所示)，该步骤是由取证人员对分析过程中所产生大量的分析结果做进一步的筛选，对感兴趣的结果做个标记(书签)，以便后续全部功能分析完毕后，整理报告，由于筛选的条件取决于取证分析人员对案件的理解、技术的熟悉和取证经验，因此主观性较强，由不同人来完成将会出现不同的结果；分析判断步骤(如图1中的框15′所示)，该步骤对所需要完成的功能是否分析完毕进行判断，当判断结果为未完毕时，返回人工选择分析内容步骤选择另一个功能进行分析取证，当判断结果为已完毕时，转到下一步骤；整理书签步骤(如图1中的框16′所示)，该步骤是根据分析过程中所做的标记(书签)，整理筛选出有用资料，以便后面产生报告；产生报告步骤(如图1中的框17′所示)，该步骤生成报告，以便提交给司法机构。

现有技术的取证方法主要存在如下不足：一是功能分散，每分析一项功能需要独立完成；二是操作复杂，操作者需要具备较高的计算机技术水平，才能完成取证分析工作；三是取证不全面，由于取证工作需要关注的内容较多，取证的内容依托于取证人员的计算机技术水平、对案件的理解以及取证经验，在实际操作过程中经常分析了这项、丢了那项，无法全面的进行取证分析；四是每次取证分析过程需要多次分析每项内容，多次从目标对象物理存储介质中读取数据，增加目标对象物理存储介质损坏的可能性，因为多次进行I/O操作，影响了分析速度，分析效率慢；五是由于不同取证人员的经验、技术水平不一样，导致同样的电子介质、利用同样的分析工具软件，但最后的取证分析报告却不一样；六是归属于同一类别的不同次案件，需要做重复性的分析工作，工作量大、效率低。

发明内容

本发明的目的在于克服现有技术之不足，提供一种对存储介质进行自动化智能取证的方法及其系统，是采用了自动加载、智能判断和高效分析的技术手段来进行取证分析，使得整个取证过程简单、易操作，分析结果不依赖于取证人员的技术水平，具有全面取证、自动操作、高效分析、智能识别有用信息、取证效率高的特点。

本发明解决其技术问题所采用的技术方案是：一种对存储介质进行自动化智能取证的方法，包括如下步骤：

自动加载分析功能模块步骤，该步骤是在启动分析后，取证计算机运行取证系统，自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载到取证计算机中，使取证计算机具备全面的分析功能；

智能选择需分析模块步骤，该步骤是由取证人员根据案件的类型、特点向取证计算机输入设定条件，取证系统根据所述设定条件智能选择需要采用的分析模块；