[发明专利]一种部署远程计算机取证插件架构的方法

摘要

本发明公开了一种部署远程计算机取证插件架构的方法，包括在取证机构部署取证分析器、取证插件知识库，在需取证的计算机场所部署光盘和可写的存储移动介质作为本地计算机的客户端，建立远程取证分析器和本地计算机的网络连接，取证机构操作人员通知本地计算机操作人员按照取证插件备份库、取证插件列表的顺序查找和执行指定版本的取证插件，本地计算机操作人员执行上述指定版本的取证插件结束后，将结果反馈给取证分析器一端的取证机构操作人员。本发明为计算机安全事件应急响应和打击计算机犯罪活动的工作提供了一种快速响应、取证效率高、对证据保护性好、对现场人员技能要求低、易于维护、实用性高的系统架构。

主权项

1.一种部署远程计算机取证插件架构的方法，其特征在于如下的步骤：第一步：在取证机构部署取证分析器、取证插件知识库，所述的取证插件知识库中分类存放有多个取证插件和取证插件的版本号信息，所述的取证插件包括固定保全系统、逻辑恢复系统、用户界面系统三个子系统，其中所述的固定保全子系统在不破坏存储介质的前提下对存储介质中的数据进行只读获取，并对产生的镜像文件进行多重校验和数字签名的验证并保存，所述的逻辑恢复子系统采用精确介质驱动定位读取的方式对物理和逻辑受损的存储介质的残缺数据进行查找、定位、提取和恢复，并通过对残缺数据的关联分析，恢复文件系统和应用系统中的数据，所述的用户界面子系统提供新增、打开、保存和关闭的用户界面，提供新增和删除镜像文件的用户界面，提供介质预览、介质获取、介质浏览的用户界面，提供数据的定位以及文件系统恢复的用户界面；第二步：在需取证的计算机场所部署光盘和可写的存储移动介质作为本地计算机的客户端，在所述的光盘上存放有取证插件备份库，在可写的移动存储介质上存放有取证插件列表和若干取证插件；第三步：对需取证的计算机取证时，取证机构操作人员通知本地计算机操作人员建立远程取证分析器和本地计算机的网络连接，本地计算机操作人员将所述的光盘放入所述的特定的计算机光驱中，将可写的移动存储介质安装在所述的特定的计算机移动存储设备接口上，位于远程端的取证机构操作人员通过网络连接，查看本地计算机的情况，并从部署在取证机构的取证插件知识库中分类选择确定采用的取证插件版本，然后，取证机构操作人员通知本地计算机操作人员从取证插件备份库、取证插件列表中顺序查找和执行指定版本的取证插件。