[发明专利]电子取证方法及装置

说明书

技术领域

本发明涉及网络信息安全技术领域，尤其是涉及一种电子取证方法及装置。

背景技术

随着个人计算机以及智能移动终端的日益普及，随之而来的计算机信息领域的犯罪也愈演愈烈，针对计算机信息领域犯罪的侦查，需要用到电子取证。从技术方面看，电子取证是一个利用计算机软硬件技术对受侵计算机系统进行扫描和破解来对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

目前国内的电子取证方法多依赖人工审核，人工审核的效率较差。为了提高取证效率，一些情况下也会使用电子取证软件，然而，目前众多取证软件所采用的取证方法，或者是为所有取证任务设置统一的取证策略，或者是任意选择一种取证策略，而不同的取证策略往往会出现不同的取证结果，存在取证精确性较差的技术问题。

计算机网络技术以及大数据技术的不断创新与发展，都迫切需求取证软件的研发，针对上述取证软件采用的传统取证方法存在的取证精确性较差的技术问题，目前缺乏有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种电子取证方法及装置，以缓解传统取证方法存在精确性较差的技术问题。

第一方面，本发明实施例提供了一种电子取证方法，包括：

接收用户发送的创建指令，以根据所述创建指令创建取证任务，其中，所述取证任务为在待取证源数据中按照预设提取特征提取目标证据的任务；

根据所述预设提取特征，设置取证策略，其中，所述取证策略中至少包括以下之一：文本类型、字典文件和正则表达式，所述文本类型为所述目标证据所属文本的文本类型，所述字典文件包括所述目标证据的关键字，所述正则表达式包括所述目标证据的数据格式；

根据所述取证策略，从所述待取证源数据中提取所述目标证据。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，根据所述预设提取特征，设置取证策略，包括：

获取取证策略列表，其中，所述取证策略列表中包括多个预设策略模板；

根据所述预设提取特征，从所述取证策略列表中提取目标策略模板，其中，所述目标策略模板中包括至少一个策略信息；

根据所述目标策略模板，设置所述取证策略。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，根据所述目标策略模板，设置所述取证策略，包括：

将所述目标策略模板里包含的取证策略设置为所述取证策略；或者，

对所述目标策略模板进行编辑，将编辑后的目标策略模板进行保存，并将所述编辑后的目标策略模板里包含的取证策略设置为所述取证策略，其中，所述编辑包括以下至少之一：修改策略信息，增加策略信息，删除策略信息。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，根据所述取证策略，从所述待取证源数据中提取所述目标证据，包括：

根据所述文本类型，从所述待取证源数据中提取目标文件，其中，所述目标文件的文本类型为所述取证策略中包括的文本类型；

根据所述字典文件和所述正则表达式，对所述目标文件进行文件遍历，以从所述目标文件中提取所述目标证据。

结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，根据所述文本类型，从所述待取证源数据中提取目标文件，包括：

根据文档类型，对所述待取证源数据进行分类，得到多个文档集合，其中，所述文档类型包括第一组文档类型或第二组文档类型，其中，所述第一组文档类型包括：复合文档和图形文档，所述第二组文档类型包括：压缩文档和镜像文档；

在每个所述文档集合中，根据所述文档类型对所述文档集合中的文档进行处理，得到纯文本文档；

根据所述文本类型，从所述纯文本文档中提取目标文件。

结合第一方面的第四种可能得实施方式，本发明实施例提供了第一方面的第五种可能的实施方式，其中，根据文档类型，对所述待取证源数据进行分类，得到多个文档集合包括：

根据所述第一组文档类型，对所述待取证源数据进行分类，得到第一文档集合和第二文档集合，其中，所述第一文档集合为复合文档集合，所述第二文档集合为图形文档集合；

根据所述第二组文档类型，对所述待取证源数据进行分类，得到第三文档集合和第四文档集合，其中，所述第三文档集合为压缩文档集合，所述第四文档集合为镜像文档集合。