[发明专利]电子取证方法及装置

权利要求书

1.一种电子取证方法，其特征在于，包括：

接收用户发送的创建指令，以根据所述创建指令创建取证任务，其中，所述取证任务为在待取证源数据中按照预设提取特征提取目标证据的任务；

根据所述预设提取特征，设置取证策略，其中，所述取证策略中至少包括以下之一：文本类型、字典文件和正则表达式，所述文本类型为所述目标证据所属文本的文本类型，所述字典文件包括所述目标证据的关键字，所述正则表达式包括所述目标证据的数据格式；

根据所述取证策略，从所述待取证源数据中提取所述目标证据。

2.根据权利要求1所述的方法，其特征在于，根据所述预设提取特征，设置取证策略，包括：

获取取证策略列表，其中，所述取证策略列表中包括多个预设策略模板；

根据所述预设提取特征，从所述取证策略列表中提取目标策略模板，其中，所述目标策略模板中包括至少一个策略信息；

根据所述目标策略模板，设置所述取证策略。

3.根据权利要求2所述的方法，其特征在于，根据所述目标策略模板，设置所述取证策略，包括：

将所述目标策略模板里包含的取证策略设置为所述取证策略；或者，

对所述目标策略模板进行编辑，将编辑后的目标策略模板进行保存，并将所述编辑后的目标策略模板里包含的取证策略设置为所述取证策略，其中，所述编辑包括以下至少之一：修改策略信息，增加策略信息，删除策略信息。

4.根据权利要求1所述的方法，其特征在于，根据所述取证策略，从所述待取证源数据中提取所述目标证据，包括：

根据所述文本类型，从所述待取证源数据中提取目标文件，其中，所述目标文件的文本类型为所述取证策略中包括的文本类型；

根据所述字典文件和所述正则表达式，对所述目标文件进行文件遍历，以从所述目标文件中提取所述目标证据。

5.根据权利要求4所述的方法，其特征在于，根据所述文本类型，从所述待取证源数据中提取目标文件，包括：

根据文档类型，对所述待取证源数据进行分类，得到多个文档集合，其中，所述文档类型包括第一组文档类型或第二组文档类型，其中，所述第一组文档类型包括：复合文档和图形文档，所述第二组文档类型包括：压缩文档和镜像文档；

在每个所述文档集合中，根据所述文档类型对所述文档集合中的文档进行处理，得到纯文本文档；

根据所述文本类型，从所述纯文本文档中提取目标文件。

6.根据权利要求5所述的方法，其特征在于，根据文档类型，对所述待取证源数据进行分类，得到多个文档集合包括：

根据所述第一组文档类型，对所述待取证源数据进行分类，得到第一文档集合和第二文档集合，其中，所述第一文档集合为复合文档集合，所述第二文档集合为图形文档集合；

根据所述第二组文档类型，对所述待取证源数据进行分类，得到第三文档集合和第四文档集合，其中，所述第三文档集合为压缩文档集合，所述第四文档集合为镜像文档集合。

7.根据权利要求4所述的方法，其特征在于，根据所述字典文件和所述正则表达式，对所述目标文件进行文件遍历，以从所述目标文件中提取所述目标证据，包括：

对所述目标文件进行文件遍历，查找初始证据，其中，所述初始证据与所述关键字相匹配，和/或，所述初始证据与所述正则表达式相匹配；

将所述初始证据发送给所述用户，以便所述用户对所述初始证据进行过滤分析，得到所述目标证据。

8.根据权利要求1所述的方法，其特征在于，在根据所述取证策略，从所述待取证源数据中提取目标证据的过程中，所述方法还包括：

提取过程参数，并进行保存，以便所述用户对所述提取过程进行回放，其中，所述过程参数包括：所述待取证源数据，所述预设提取特征，所述取证策略，以及，所述提取过程的提取步骤和所述提取步骤的执行时间。

9.根据权利要求1所述的方法，其特征在于，在根据所述取证策略，从所述待取证源数据中提取所述目标证据之后，所述方法还包括：

根据所述目标证据生成报告，并将所述报告向所述用户推送。

10.一种电子取证装置，其特征在于，包括：

接收模块，用于接收用户发送的创建指令，以根据所述创建指令创建取证任务，其中，所述取证任务为在待取证源数据中按照预设提取特征提取目标证据的任务；

设置模块，用于根据所述预设提取特征，设置取证策略，其中，所述取证策略中至少包括以下之一：文本类型、字典文件和正则表达式，所述文本类型为所述目标证据所属文本的文本类型，所述字典文件包括所述目标证据的关键字，所述正则表达式包括所述目标证据的数据格式；

提取模块，用于根据所述取证策略，从所述待取证源数据中提取所述目标证据。