[发明专利]一种对取证计算机进行系统预判的方法

权利要求书

1.一种对取证计算机进行系统预判的方法，其特征在于：包括如下步骤：

步骤1：建立多种设备团队协作工具箱，多种设备团队协作工具箱包括移动工作站、移动无线路由器、执法记录仪、录音笔、移动硬盘、加密高速U盘、大容量移动电源、高拍仪、便携式投影仪、便携式打印机、便携式复印机和对讲机；

移动工作站用于读取并采集待查计算机的税务相关信息，移动硬盘和加密高速U盘用于存储税务相关信息；

执法记录仪、录音笔、高拍仪、便携式投影仪、便携式打印机和便携式复印机均用于记录取证过程；

大容量移动电源用于为所述多种设备团队协作工具箱提供供电；

移动无线路由器用于提供无线网络，执法记录仪、录音笔、高拍仪、便携式投影仪、便携式打印机和便携式复印机均通过无线网络与移动工作站进行数据交互；

对讲机用于为现场人员提供语音通信；

移动硬盘和加密高速U盘均通过USB接口与移动工作站进行数据交互；

步骤2：移动工作站通过网线或USB接口与待查计算机连接，读取待查计算机的税务相关信息，税务相关信息包括基本信息和税务信息；

基本信息包括操作系统信息、用户信息、共享信息、网卡信息、端口信息、软件安装信息、usb使用记录、数据库类型、访问信息和文档信息；

步骤3：移动工作站根据以下方法预判待查计算机是否为由价值计算机：

步骤S1：记录待查计算机的操作系统信息和用户信息，并将操作系统信息和用户信息作为证据固定信息，根据证据固定信息确定证据数据的存储计算机；

步骤S2：读取待查计算机中的共享信息，即，读取待查计算机上共享的文件夹中的共享文件信息，并作为有价值的证据进行存储；

步骤S3：读取待查计算机中的网卡信息，记录待查计算机的IP地址；

步骤S4：读取待查计算机的端口信息，通过待查计算机开放的端口判断其与那些数据库实现了数据连接；

步骤S5：读取待查计算机的软件安装信息，判断待查计算机所安装的软件的类型和数量，预设有价值软件名单，并对照价值软件名单判断待查计算机中是否安装了有价值软件；

步骤S6：读取待查计算机的usb使用记录，usb使用记录存储在待查计算机中的系统日志记录中，预设有价值U盘名单，通过usb使用记录与有价值U盘名单进行对照，判断待查计算机是否连接过有价值U盘；

步骤S7：读取待查计算机的数据库类型，数据库类型存储在待查计算机的注册表信息中，存储待查计算机中安装的数据库的类型和版本号；

步骤S8：读取待查计算机的访问信息和文档信息，通过访问信息和文档信息判断近期待查计算机的访问记录，建立关键词词库，对比关键词词库，对待查计算机近期访问的文档进行检索，找出包含关键词的文档作为有价值文档，存储有价值文档；

步骤4：根据步骤3的方法，判断待查计算机是否有共享文件、是否安装了价值软件、是否连接过有价值U盘或是否具有有价值文档，当以上条件有一个或多个为真时，则判断该待查计算机为有价值计算机；

步骤5：对有价值计算机进行数据采集，其包括如下步骤：

步骤A1：读取有价值计算机中的企业财务账套，其包括如下步骤：

步骤AA1：读取有价值计算机的数据库内的数据源；

步骤AA2：在数据源里检索财务数据、存货数据、工资数据和固定资产，对应生成财务数据文件、存货文件、工资文件和固定资产文件；

步骤AA3：对财务数据文件、存货文件、工资文件和固定资产文件的内容进行数据加密，生成加密TXT文件；

步骤AA4：对加密TXT文件进行压缩后再次加密；

步骤B1：读取有价值计算机中的帐外数据，其包括如下步骤：

步骤BB1：读取并存储有价值计算机中的磁盘数据；

步骤BB2：读取并存储有价值计算机的注册表信息；

步骤BB3：打开计算机邮件相关软件的安装目录，读取并存储安装目录中的文件夹内的文件；

步骤BB4：对有价值计算机中的文件的后缀名进行检索，筛选并存储有价值的文件；

步骤BB5：读取并存储与有价值计算机同属于同一网段的所有计算机的IP地址；

步骤6：将通过步骤5的方法所采集到的数据作为证据数据，生成数据采集报告。

2.如权利要求1所述的一种发票数据分析方法，其特征在于：所述移动工作站为笔记本电脑、手机或平板电脑。

3.如权利要求1所述的一种发票数据分析方法，其特征在于：在执行步骤AA2时，生成的所述财务数据文件、所述存货文件、所述工资文件和所述固定资产文件均为TXT文件；

所述财务数据文件、所述存货文件、所述工资文件和所述固定资产文件分别为多个TXT文件。