[发明专利]一种根据痕迹类型进行编码还原的痕迹信息获取方法

说明书

技术领域

本发明涉及一种痕迹信息获取方法，特别涉及一种根据痕迹类型进行编码还原的痕迹信息获取方法。

背景技术

随着现代社会网络化、信息化不断发展，网络入侵攻击和网络泄密事件频频发生，为涉密计算机和涉密信息系统的安全保密工作带来了巨大的挑战，也对我国的信息安全保密工作提出了更高的要求。

据我国保密工作部门统计，涉密计算机泄密事件大多都与涉密计算机违规外联及移动存储介质交叉使用有关。而涉密计算机通过IE浏览器登录互联网，访问互联网网站后会在系统中留下大量的上网痕迹，包括IE历史记录、cookies文件、IE缓存临时文件等。USB移动存储设备的使用也会在系统注册表和系统日志文件中留下一些痕迹。

在传统的取证软件中，只要痕迹被清除之后就很难找出，这给安全保密机关带来了很大的麻烦。

发明内容

本发明的目的就在于为了解决上述问题而提供一种不依赖文件系统，不依赖操作系统能直接对存储介质数据分析的根据痕迹类型进行编码还原的痕迹信息获取方法。

本发明通过以下技术方案来实现上述目的：

一种根据痕迹类型进行编码还原的痕迹信息获取方法，包括以下步骤：

（1）分析待检索痕迹格式的类型以及痕迹在存储介质中的存储方式，确定痕迹在存储介质中的检索方法；任何痕迹在存储介质中都有它一定的存储格式，分析这种存储格式就能在不依赖操作系统等接口的前提下，通过直接读取存储介质中的相关数据，达到痕迹解析的目的。

痕迹是指第三方在接触过数据存储设备之后，残留下来的任何可能包含记录第三方信息或操作信息的数据结构，如：网络痕迹、文件操作痕迹、窃密痕迹等。

所述步骤（1）中的检索方法包括以下步骤：

（Ⅰ）预先找出待检索格式的特征值；

（Ⅱ）在磁盘中对这些特征值进行检索，将检索到的每一个点都当作待检索痕迹所在的位置进行分析；

（Ⅲ）在分析的过程中按照痕迹的格式解析，同时对误报为痕迹的部分进行过滤，最终取得真正痕迹所在的位置数据。

（2）采用直接读取的方式打开存储介质，直接将整个存储介质定义为一块数据，里面的每一个数据包含所要搜索痕迹的信息；直接读取存储介质，是指在获取存储介质上操作痕迹的时候，完全不依赖操作系统和文件系统，直接将整个存储介质定义为一块数据，里面的每一个数据都可能包含所要搜索痕迹的信息。这样，在数据检索的时候，不依赖第三方提供的接口，而是分析某一类操作系统的痕迹所具有的共有特征，根据这个共有特征，就能够定位到需要的痕迹位置，通过解析痕迹以及其上下文的信息，就能够完成对痕迹检索的提取。

（3）读取存储介质的定位痕迹在存储介质中存储的包括位置和大小信息的数据；

（4）根据步骤（3）读取的数据，按照步骤1中确定的检索方法，在数据中检索需要的痕迹；

（5）按照痕迹的格式对痕迹进行编码还原，对检索到的痕迹数据进行解析；这些数据将用于定位痕迹碎片的位置和不同痕迹类型的挖掘和提取。定位到痕迹所在的位置后，对其上下文的数据进行分析，会使用到编码还原技术来对上下文对应的数据进行解码和转义。不同种类痕迹的解析方式可能会相同，也可能会不同。

（6）按照步骤（5）的解析结果，提取需要的痕迹信息。

所述存储介质包括磁盘、闪盘、内存、文件、进程等存储碎片信息的数据载体。

本发明的有益效果在于：

本发明采用痕迹类型进行其类型的编码还原是通过碎片扫描的方式对存储设备进行检索，然后根据碎片类型的不同，进行不同类型的操作，直接访问存储设备，不依赖文件系统，不依赖操作系统，通过直接对存储介质数据的分析，特别是对相应类型数据的进行主动解析，来获取还原这些信息的真实内容，能够应用在任何操作系统任何存储介质上，具有很强的抗删除，抗掩盖性，特别是对于经常删除经常修改的信息类型中原始数据的提取，有着很大的优势。

具体实施方式

下面对本发明作进一步说明：

一种根据痕迹类型进行编码还原的痕迹信息获取方法，包括以下步骤：

（1）分析待检索痕迹格式的类型以及痕迹在存储介质中的存储方式，确定痕迹在存储介质中的检索方法；

所述步骤（1）中的检索方法包括以下步骤：

（Ⅰ）预先找出待检索格式的特征值；

（Ⅱ）在磁盘中对这些特征值进行检索，将检索到的每一个点都当作待检索痕迹所在的位置进行分析；

（Ⅲ）在分析的过程中按照痕迹的格式解析，同时对误报为痕迹的部分进行过滤，最终取得真正痕迹所在的位置数据。