[实用新型]一种计算机取证系统

说明书

技术领域

本实用新型涉及一种取证系统，尤其涉及一种计算机取证系统。

背景技术

现阶段实时计算机取证的手段主要包括两种，第一种是通过硬盘拷贝进行取证，主要的产品有Logicube公司的计算机取证产品Dossier、Quest-2，达思万能数据恢复系统(DST Almighty Data Recovery System，简称D-ARS)等；第二种是采用入侵植入软件的方式进行取证，类似于病毒对计算机的运行痕迹进行保存。硬盘拷贝取证系统需要被取证对象的配合，能动性不强，软件取证方式会影响计算机进程，容易被检测查杀。

因此，现有技术存在缺陷。

实用新型内容

本实用新型的目的在于克服现有技术的不足，本实用新型提供一种计算机取证系统,通过硬件的方法，解决现有技术中取证存在的问题。

为实现上述目的，本实用新型提供的技术方案是：一种计算机取证系统，其包括：取证管理平台设备、证据存储系统、取证控制分析设备和取证板卡，所述取证管理平台设备通过取证控制分析设备与硬件板卡进行连接，所述证据存储系统也与取证控制分析设备相连接。

依照本实用新型的一个方面，其中，所述取证板卡包括主控芯片FPGA以及数据接口1394接口。

依照本实用新型的一个方面，其中，所述取证板卡还包括程序下载电路、晶振以及程序配置芯片，所述设置为FPGA主控芯片的外围电路。

依照本实用新型的一个方面，其中，所述数据接口1394接口通过PCI或PCI-E插槽与计算机相连。

依照本实用新型的一个方面，其中，所述数据接口1394包括1394链路层芯片、1394物理层芯片以及1394采集卡。

依照本实用新型的一个方面，其中，所述取证板卡与取证控制分析设备间通过移动Agent实现通讯。

依照本实用新型的一个方面，其中，所述取证管理平台设备可以设置为计算机或其他能提供人机交互界面的设备。

本实用新型的有益效果是：

通过在目标主机即被监控计算机上设置部署取证板卡，同时在该被监控计算机上设置相对应的取证控制分析设备，针对不同的目标主机构建不同的取证控制分析设备，不同的被监控计算机目标主机间相互协作，共同完成分派的任务，通过网络同时对多台计算机和系统进行动态实时监控和取证。

附图说明

图1是本实用新型一种计算机取证系统的结构框架示意图；

图2是本实用新型一种计算机取证系统中取证板卡的结构示意图。

具体实施方式

下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

如图1所示，一种计算机取证系统，其包括：取证管理平台设备、证据存储系统、取证控制分析设备和取证板卡；取证管理平台设备：提供人机交互界面，用于输入监控及取证命令；证据存储系统：对获取的电子证据进行存储和分类管理；取证控制分析设备：发送监控及取证命令给取证板卡，接收来自取证板卡的取证数据，并对取证板卡的数据进行简单分析；取证板卡：安装在待取证的主机上，对主机进行实时监控和数据采集；所述取证管理平台设备通过取证控制分析设备与硬件板卡进行连接，所述证据存储系统也与取证控制分析设备相连接。所述取证管理平台可以设置为计算机或其他能提供人机交互界面的设备。

如图2所示，所述取证板卡包括主控芯片FPGA以及数据接口1394接口。该板卡采用FPGA作为主控芯片，FPGA具有运行速度快、逻辑资源和存储资源丰富、时钟灵活、实时性高、控制时序严格等优点，可以很好的实现IEEE1394接口的控制和数据传输，同时能够对读取的计算机的内存数据进行快速、实时的分析。本系统选用美国FPGA的主流生产厂家Altera公司的EP2C70F672C6作为主控芯片，该芯片的特点是管脚丰富，逻辑资源和存储资源丰富，不需要配置外围存储芯片，运行时钟可以达到100MHz，同时成本较低，稳定性高。其外围电路主要包括程序下载电路、晶振和程序配置芯片。