[发明专利]基于移动存储设备的取证方法、装置及电子设备

说明书

本发明提供一种基于移动存储设备的取证方法、装置及电子设备，其中移动存储设备包括系统分区和数据分区，系统分区内安装有专业取证工具、屏幕录像工具、用户自定义取证工具及其运行的预设操作系统，使得将移动存储设备用于待取证设备上时，能够直接运行系统分区内的取证工具进行取证操作，并且移动存储设备支持待取证设备在开机、关机状态下的取证操作，解决了计算机勘验拆盘导致的现场勘验局限性较大且取证效率不高的缺陷；进一步的，由于移动存储设备还支持自定义取证工具，从而使得用户能够将各种自定义取证工具置于移动存储设备的系统分区内，不仅丰富和完善了取证操作，也极大的提高了取证效率。

技术领域

本发明涉及电子取证技术领域，尤其涉及一种基于移动存储设备 的取证方法、装置及电子设备。

背景技术

计算机现场勘验是指在案件现场对计算机运行状态和数据进行 固定的过程，通常计算机现场勘验包括开机勘验和关机勘验，根据计 算机的开机或关机状态进行对应的开机勘验操作和关机勘验操作，从 而提取证据数据。

相关技术中的计算机现场勘验方法，必须借助硬盘复制机、只读 接口和只读面板等勘验工具才能进行勘验，并且在勘验过程中主要通 过对计算机硬盘进行拆盘镜像或拆盘克隆的方式得到含有证据数据 的镜像文件或克隆盘。

然而，由于现有计算机现场勘验方法需要借助现场勘验工具以及 拆盘才能取证，操作繁琐甚至拆卸难度大或损坏机身，也存在因拆盘 后硬盘接口不匹配或无法拆卸焊接在主板上的硬盘而无法勘验的情 况，从而导致现场勘验局限性较大而且取证效率不高。

发明内容

本发明提供一种基于移动存储设备的取证方法、装置及电子设备， 用以解决现有技术中需要借助现场勘验工具及拆盘才能取证而导致 的现场勘验局限性较大且取证效率不高的缺陷，实现通过调用定制的 移动存储设备内的取证工具即可进行现场取证且无需拆盘的目的。

本发明提供一种移动存储设备，包括：系统分区和数据分区，所 述系统分区安装有预设操作系统、屏幕录像工具、专业取证工具以及 用户自定义取证工具；所述数据分区用于存储取证数据，所述专业取 证工具用于镜像或克隆取证，所述用户自定义取证工具用于抓包或数 据分析。

根据本发明提供的一种移动存储设备，还包括只读锁，所述只读 锁用于在所述移动存储设备的使用过程中启动，以禁止对所述数据分 区内存储的所述取证数据执行读操作之外的其他操作。

根据本发明提供的一种移动存储设备，所述系统分区安装的专业 取证工具包括硬盘镜像工具、内存镜像工具和硬盘克隆工具，所述用 户自定义工具包括抓包工具和数据提取工具。

本发明还提供一种基于移动存储设备的取证方法，所述方法包括：

获取取证启动指令；

基于所述取证启动指令，调用所述移动存储设备内的专业取证工 具执行取证操作，从而得到证据数据；

存储所述证据数据。

根据本发明提供的一种基于移动存储设备的取证方法，所述基于 所述取证启动指令，调用所述移动存储设备内的专业取证工具执行取 证操作，从而得到证据数据，包括：

当确定待取证设备的当前状态为开机状态时，基于所述取证启动 指令，启动所述移动存储设备内的屏幕录像工具进行屏幕录像；

在所述屏幕录像的过程中，当确定待取证设备的当前状态为开机 状态时，启动所述移动存储设备内的内存镜像工具制作内存镜像，从 而得到含有证据数据的镜像文件。

根据本发明提供的一种基于移动存储设备的取证方法，所述基于 所述取证启动指令，调用所述移动存储设备内的专业取证工具执行取 证操作，从而得到证据数据，包括：