[发明专利]一种远程电子取证系统及方法

权利要求书

1.一种远程电子取证系统，其特征是包括远程端、现场端，所述现场端与所述远程端通过网络通信连接，所述远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块，所述取证分析模块用于分析现场取证目标系统，所述取证插件数据库用于存储、管理取证插件信息，所述设备驱动数据库用于存储、管理设备驱动信息，所述数字签名模块用于数字签名，所述现场端包括硬盘备份装置、取证装置，所述取证装置与所述硬盘备份装置通过数据线连接，所述硬盘备份装置包括硬盘备份端口、备份硬盘，所述硬盘备份端口用于传输复制取证硬盘数据，所述备份硬盘用于存储取证硬盘数据，所述取证装置包括取证操作系统、取证模块，所述取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库，所述取证操作系统用于启动备份硬盘，所述备份硬盘分析模块用于分析备份硬盘上系统信息，所述证据提取模块用于提取证据信息，所述取证报告数据库用于存储、管理取证报告。

2.一种远程电子取证方法，所述远程电子取证方法基于远程电子取证系统，所述远程电子取证系统包括远程端、现场端，所述现场端与所述远程端通过网络通信连接，所述远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块，所述现场端包括硬盘备份装置、取证装置，所述取证装置与所述硬盘备份装置通过数据线连接，所述设备驱动数据库用于存储、管理设备驱动信息，所述硬盘备份装置包括硬盘备份端口、备份硬盘，所述取证装置包括取证操作系统、取证模块，所述取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库，其特征是包括过程：

现场端通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘，取证操作系统启动备份硬盘，备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息发送给远程端的取证分析模块，取证分析模块根据备份硬盘系统信息从设备驱动数据库调取对应的设备驱动后发送给现场端加载，取证分析模块根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后发送给现场端执行得到分析结果，证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告，数字签名模块对取证报告进行数字签名后存入取证报告数据库。

3.根据权利要求2所述的远程电子取证方法，其特征在于，所述取证模块还包括数据恢复模块、恢复信息数据库，数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库，证据提取模块从恢复信息数据库中提取证据信息写入取证报告。

4.根据权利要求2所述的远程电子取证方法，其特征在于，所述取证模块还包括密码破解模块、解密信息数据库，密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库，证据提取模块从解密信息数据库中提取证据信息写入取证报告。