[发明专利]一种基于区块链的离线过程取证与存证方法

权利要求书

1.一种基于区块链的离线过程取证与存证方法，其特征在于，

包括以下步骤：

用户请求离线过程取证，服务器将离线取证控制台安装包发送给用户；

离线取证控制台安装包在用户电脑上构建虚拟机操作桌面供用户操作，记录用户鼠标及键盘操作过程，同时记录新建窗口的初始坐标位置和尺寸，形成用户操作过程文件，将用户操作过程文件加密后上传到服务器；

服务器在空闲时或按计划调取并解密用户操作过程文件，服务器构建虚拟机，所述虚拟机的操作桌面与用户电脑上构建的虚拟机操作桌面匹配；

服务器依照用户操作过程文件复原用户操作过程，同时以一定频率保存虚拟机桌面图像；

将保存的桌面图像按时间次序存储形成视频，将视频与其起止时间戳关联，作为取证数据；

服务器为取证数据生成保全证书，保全证书包括取证编号和时间戳，把取证数据和保全证书打包形成压缩数据包；

对压缩数据包签名并存储在服务器，同时提取压缩数据包的数字指纹，将数字指纹关联时间戳并签名后形成存证数据，将存证数据广播到服务器所在的区块链网络，并锚定至公有区块链。

2.根据权利要求1所述的一种基于区块链的离线过程取证与存证方法，其特征在于，

所述虚拟机操作桌面为一窗口，所述窗口提供应用程序图标，当用户点击应用程序图标时，由窗口调用用户电脑对应的应用程序，并将新建的应用程序窗口调整位置和窗口大小使其落入虚拟机操作桌面内。

3.根据权利要求1或2所述的一种基于区块链的离线过程取证与存证方法，其特征在于，

周期性保存虚拟机操作桌面的桌面图像作为检查点，将检查点生成时的用户前后操作与检查点关联，关联用户前后操作的检查点纳入用户操作过程文件上传服务器，当服务器复原用户操作过程时，检查所关联的用户前后操作之间，是否存在与检查点吻合的桌面图像，若存在则检查点通过，反之则检查点不通过，获得取证数据后，为用户提供视频预览播放，并提示检查点不通过所对应的视频时间点，由用户判断是否接受取证结果。

4.根据权利要求1或2所述的一种基于区块链的离线过程取证与存证方法，其特征在于，

虚拟机操作桌面为用户提供关键检查点按钮，关键检查点按钮被点击时，保存虚拟机操作桌面的桌面图像作为关键检查点，将关键检查点前后的用户操作与关键检查点关联，将关联用户前后操作的关键检查点纳入用户操作过程文件上传服务器，当服务器复原用户操作过程时，检查所关联的用户前后操作之间，是否存在与关键检查点吻合的桌面图像，若存在则关键检查点通过，反之则关键检查点不通过，通知用户离线取证失败，需重新取证。

5.根据权利要求1或2所述的一种基于区块链的离线过程取证与存证方法，其特征在于，

所述记录用户鼠标及键盘操作过程的方法包括：

记录用户鼠标操作的点击动作信息、拖拽信息和移动信息，所述点击动作信息包括点击键值、点击坐标位置和点击时间戳，所述拖拽信息包括拖拽起止点坐标和拖拽起止点对应的时间戳，当鼠标未被点击而移动时，以设定频率记录鼠标指针坐标并关联时间戳，构成指针坐标序列，所述指针坐标序列构成移动信息，所述点击时间戳、拖拽起止点对应的时间戳以及鼠标指针坐标关联的时间戳均以虚拟机操作桌面构建完成时刻为时间起点。

6.根据权利要求1或2所述的一种基于区块链的离线过程取证与存证方法，其特征在于，

通过读取用户电脑日志，获得用户调用的应用程序名称及其版本号，服务器构建虚拟机时，采用相同的应用程序及版本或采用经人工标注预设的替代应用程序或替代版本。

7.根据权利要求1或2所述的一种基于区块链的离线过程取证与存证方法，其特征在于，

服务器将保存的桌面图像按时间次序存储形成视频时，执行以下步骤：

将服务器依照用户操作过程文件复原用户操作过程时，执行的每个操作的时间戳与视频时间轨对齐；

依次判断每张保存的桌面图像，若当前桌面图像的前t时间内无用户的操作，则将当前图像与其前一张桌面图像对比，若当前桌面图像与其前一张桌面图像相似度超过设定阈值，则当前桌面图像不参与视频的生成。