CN1645382A - 计算机远程电子取证的方法及其系统 - Google Patents
计算机远程电子取证的方法及其系统 Download PDFInfo
- Publication number
- CN1645382A CN1645382A CN 200410025342 CN200410025342A CN1645382A CN 1645382 A CN1645382 A CN 1645382A CN 200410025342 CN200410025342 CN 200410025342 CN 200410025342 A CN200410025342 A CN 200410025342A CN 1645382 A CN1645382 A CN 1645382A
- Authority
- CN
- China
- Prior art keywords
- evidence
- evidence obtaining
- client computer
- operating personnel
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种计算机远程电子取证方法及其系统,所述方法在取证机构做远程取证端系统构建,在客户端计算机通过可移动介质载入一个安全操作系统;取证机构操作人员在此基础上通过网络发布远程指令到该客户端计算机进行只读探查,并加载需要的驱动设备和取证插件;最后通过数字签名确认并保存该客户端计算机取证结果。所述系统在远程取证端部署取证分析器、取证插件知识库、设备驱动知识库和系统签名知识库,在客户端计算机部署取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,以及设备驱动列表、取证插件列表和相关的配置信息。本发明为远程计算机取证系统提供一个安全、灵活的取证分析技术框架,效率高、对证据的保护性好、对人员要求低、具备很强的实用性。
Description
技术领域
本发明涉及一种电数字数据处理方法及其系统,特别是涉及一种对计算机进行远程电子取证的方法及其系统。
背景技术
近年来,随着计算机和网络技术的不断发展,计算机安全事件日渐增多,影响越来越大,及时收集、分析、确认、保护、提取和归档计算机系统的各类电子证据,已成为计算机安全事件应急响应和打击计算机犯罪活动中最亟待解决的技术难题。国内现有的计算机取证技术要求经过专业培训的技术人员到达现场,操作和检查计算机系统,拆卸机箱并取出存贮介质,利用硬盘复制机等专用设备复制存贮介质以达到保全原始证据的目的,然后再利用取证系统分析计算机系统及复制后的存贮介质,如图1所示。上述过程中,为了得到最终的取证分析结论,必须要进行到达现场、复杂的拆卸、长时间的复制等工作,耗时很长而且复杂。此外,安装取证系统的操作系统在加载存贮介质上的文件系统时,往往会主动地写入部分信息,从而导致存贮介质上的原始信息遭到破坏。部分别有用心的犯罪份子,甚至可以利用操作系统内部的漏洞,使操作系统在加载时破坏敏感证据。采用取证系统直接分析复制后的存贮介质,虽然可避免原始存贮介质本身遭到破坏,但是同样会破坏经转储后的数据,从而导致无法分析出关键的原始信息。国外的计算机取证系统如Guidance Software,Inc公司开发的Encase系统,其3.0版本支持通过并口通讯实现近距离计算机系统的取证,其最新的4.0版本开始支持将取证信息通过远程网络转发,但其结构要求数据必须通过网络传输过来进行分析,处理速度慢,数据安全性得不到保证,离实用的远程取证还存在很大的差距。主要的不足在于其一,Encase系统要求被取证的计算机能够经由DOS或Windows操作系统正常启动,然后通过安装并运行一个代理软件达到取证的目的。由于操作系统固有的问题,Encase系统在采用远程网络转发时无法保护电子证据的原始性,其结果不具备司法鉴定的价值。针对上述问题,Guidance公司也提供了一个FastBloc IDE专用只读硬件接口用于IDE硬盘的只读取证,但不能用于SCSI、RAID、SATA、USB、IEEE1394等其他常用的接口,而且还要求进行开箱拆卸,显然不能满足远程取证的需要。其二,新的硬件不断出现,很多都要求安装不同的驱动软件。Encase系统的代理软件只能识别有限的设备,并受到操作系统的制约。如果被取证的计算机系统上的操作系统遭受了破坏,就要求技术人员在现场重装操作系统,并且通过Internet寻找和安装相应的驱动软件。这个过程操作复杂,而且严重破坏了电子证据的原始性。其三,Encase系统的结构要求数据必须通过网络传输过来进行分析,如使用2M的数据专线分析160G的IDE硬盘就需要长达182小时,不能满足快速应急响应和打击计算机犯罪侦查的需要。最后,Encase系统的结构要求数据必须通过网络传输过来才能进行电子证据的固定保全,而且固定保全是以整个介质或分区为单位进行的。因此,即使分析出了有意义的电子证据,针对160G的IDE硬盘又需要长达182小时的再次传输才能达到证据固定保全的目的,实用性差。
国内目前则尚无类似的取证应用技术和产品,严重制约了我国计算机安全事件应急响应和打击计算机犯罪活动的工作。
发明内容
本发明的目的在于克服现有计算机远程电子取证方法及其系统存在不足,提供一种响应速度快、效率高、对证据保护性好、对现场人员技能要求低、实用性高的远程计算机取证系统及其方法。
为了实现上述目的,所采用的技术方案:一种计算机远程电子取证方法,包括了如下的步骤:第一步:在取证机构做远程取证端系统构建,在客户端计算机通过可移动介质载入一个安全操作系统;第二步:在此安全操作系统环境中取证机构操作人员通过网络发布远程指令到客户端计算机进行只读探查,并加载需要的驱动设备和取证插件;第三步:将客户端计算机取证结果反馈到取证机构操作人员,并对该客户端计算机系统进行签名。
一种实现上述方法的计算机远程电子取证系统,包括带有读取可移动介质接口的计算机,所述计算机支持从可移动介质启动并通过网络连接着外部的计算机,其特征在于所述系统在远程取证端部署取证分析器、取证插件知识库、设备驱动知识库和系统签名知识库,在客户端计算机部署存放在可移动介质上的取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,以及设备驱动列表、取证插件列表和相关的配置信息。
本发明采用的技术方案与现有技术或产品相比,具有明显的优点和积极效果:一、响应速度快:传统的取证工作或是要求经过取证人员到达现场进行取证,或是需要通过网络传输数据进行分析和证据的固定保全,不能满足快速应急响应的取证需要。本发明无需取证人员到达现场,也无需通过网络传输大量数据,只需在远程端分析并指导本地端的操作人员执行指定的操作,就能完成取证工作。因此在发现可疑案件时,只要建立远程取证器与本地计算机的连接,就能立即开始取证分析,对突发计算机安全事件进行紧急取证具有快速的响应能力。二、效率高:在以往的计算机取证工作中,能最终得到有价值证据的案件数量只占可疑案件数量的极小比例。如果每次为了得到最终的取证分析结论,必须要进行到达现场、复杂的拆卸、长时间的复制、分析等工作,耗时很长而且复杂。本发明摒弃了这些过程,通过本地端操作人员根据取证机构操作人员的指示执行指定的操作就能得出取证分析的结果,如果发现有价值的证据,再对客户端计算机系统进行签名,并传输保存至远程端系统签名知识库,由取证机构操作人员到本地核对签名、现场取证,大大提高了效率。三、对证据保护性好:传统的取证工作,安装了取证系统的操作系统在加载存贮介质上的文件系统时,往往会主动地写入部分信息,从而导致存贮介质上的原始信息遭到破坏。部分别有用心的犯罪份子,甚至可以利用操作系统内部的漏洞,使操作系统在加载时破坏敏感证据。采用直接分析复制后的存贮介质,虽然可避免原始存贮介质本身遭到破坏,但是同样会破坏经转储后的数据,从而导致无法分析出关键的原始信息。本发明利用只读光盘和移动介质为客户端构建一个安全的取证专业操作系统,并在此环境中通过远程指令实现对客户端计算机系统的只读探查、安全加载和取证分析,避免了介质数据在复制、加载、传输过程中可能造成的丢失或破坏,提高了对证据的保护性。四、对现场人员技能要求低:本发明只要求现场人员按照取证机构操作人员的要求和指令按步骤进行操作,不需要具备专业的计算机知识和取证分析技能。五、实用性强:随着计算机和网络的发展普及,各种新的硬件设备和犯罪手段也层出不穷,取证工作需要根据不同案发现场的具体情况采取相应对策。本发明只需要在网吧等常见计算机犯罪场所部署光盘和可写的存储移动介质作为客户端,在应急中心或侦查机构部署取证分析器、设备驱动知识库、取证插件知识库、系统签名知识库,就能在发生可疑案件时通过远程指令选择合适的操作,实现远程取证的目的。升级维护方便、部署简单,架构扩展能力强,能使系统逐步扩充并增强取证能力,具有较高的实用性。
附图说明
图1为目前现场电子取证工作的示意图;
图2为目前远程电子取证工作的示意图;
图3为采用本发明的远程计算机取证系统部署示意图;
图4为本发明详细实施流程图。
具体实施方式
下面结合附图1~4,对本发明进一步详细描述:如图4所示,一种计算机远程电子取证方法,其特征在于包括了如下的步骤:第一步:在取证机构做远程取证端系统构建,在客户端计算机通过可移动介质载入一个安全操作系统;第二步:在此安全操作系统环境中取证机构操作人员通过网络发布远程指令到客户端计算机进行只读探查,并加载需要的驱动设备和取证插件;第三步:将客户端计算机取证结果反馈到取证机构操作人员,并对该客户端计算机系统进行签名。第三步以后取证机构操作人员到客户端计算机现场提取物证,核对签名。第一步中,客户端的可移动介质上存放有取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,以及设备驱动列表、取证插件列表和相关的配置信息。第一步中,取证机构操作人员在远程取证端部署取证分析器、取证插件知识库、设备驱动知识库和系统签名知识库。所述的三个步骤中,由客户端计算机操作人员按取证机构操作人员的指令在客户端计算机本地进行取证分析操作,并把各步骤执行情况反馈给取证机构操作人员,取证机构操作人员也根据客户端实际情况选择适合的操作或方法,并实时告知客户端计算机操作人员。第三步中,当发现有价值的电子证据时,客户端计算机操作人员按指令对远程计算机系统的状态进行签名,并将此签名通过网络传输至远程取证分析器,保存至签名知识库中,然后取证机构操作人员到客户端计算机现场提取物证,核对签名。取证机构操作人员根据只读探查了解到的客户端计算机系统的具体情况,指令客户端计算机操作人员按指令运行取证Agent,加载指定的设备驱动、执行指定的取证插件。取证机构操作人员根据只读探查了解到的客户端计算机系统的具体情况,指令对客户端计算机进行若干次的取证Agent探察和设备驱动加载过程,直至得到一个能支持下一步取证工作的较完整的计算机系统。所述的取证Agent探察将分析和收集到的客户端计算机系统的信息传送至远程取证分析器。如果取证机构操作人员在设备驱动知识库中没有找到客户端计算机设备对应的设备驱动,取证机构操作人员将通过Internet查找设备驱动并将结果保存入设备驱动知识库,将该设备驱动传输给客户端计算机、存放到可移动介质、更新设备驱动列表、加载该设备驱动。如果客户端计算机操作人员在移动存储介质中的取证插件列表中找不到指定版本的取证插件,也可由取证机构操作人员从取证插件知识库中将指定版本的取证插件通过网络传输给客户端,由客户端计算机操作人员将其存放到可写的移动存储介质上,更新取证插件列表,并执行该取证插件。
一种计算机远程电子取证系统,包括部署在客户端计算机的光盘和可写的存储移动介质,光盘上存放取证插件备份库,可写的移动存储介质上存放取证插件列表和取证插件,以及连接网络的端口和计算机设备。
本发明一种计算机远程电子取证方法中,作为取证对象的计算机的主板带有光驱和移动存储设备接口,并支持光盘启动。光驱可以是CD-ROM驱动器、或CD刻录机、或DVD驱动器、或DVD刻录机、或复合驱动器(Combo Driver)等,光盘可以是CD-ROM、或CD-R、或DVD-ROM、或DVD-R等,移动存储设备接口可以是USB(Universal SerialBus,通用串行线)、或PCMCIA(Personal Computer Memory Card International Assocaition,个人计算机存储卡国际协会)、或IEEE 1394(又称FireWire,火线,i.LINK)、或CF(Compact Flash)、或SM(SmartMedia Flash)、或SD(Secure Digital)或MMC(MultiMedia)、或记忆棒(Memory Stick)等接口,可写的移动存储介质可以基于上述接口的外存储器、或存储卡、或记忆卡、或记忆棒、或闪存、或微盘(MicroDrive)等。
如图2所示,在远程端,如应急中心或侦查机构部署取证分析器、取证插件知识库、设备驱动知识库和系统签名知识库。在网吧等常见计算机犯罪场所部署光盘和可写的存储移动介质作为客户端,其中只读光盘上存放取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,可写的移动存储介质上存放设备驱动列表、取证插件列表和有关配置信息。本发明通过对客户端计算机构建一个安全操作系统,并在此环境中通过远程指令实现对客户端计算机系统的只读探查、传输、加载各种驱动设备和取证插件,在本地实现取证分析,将取证结果通知取证机构操作人员,并对存在有价值电子证据的计算机系统进行签名,再由取证分析人员到现场提取物证、核对签名,取代了传统方式中需要取证人员赶往案发现场进行现场取证分析,或通过网络传输大量数据进行分析和固定保全的模式。
为完成上述工作,本发明中引入了光驱、光盘、移动存储设备接口和可写的移动存储介质硬件来完成远程计算机取证系统的实施。其中,光驱用来读取光盘中的数据,光盘上存放取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,移动存储设备接口用来读写可写的移动存储介质,可写的移动存储介质上存放设备驱动列表、取证插件列表和有关配置信息用来存放各种取证插件、版本及相关信息。
如图3所示,本发明的实施通过,先利用只读光盘和移动介质启动一个安全、灵活的取证专用操作系统,然后通过交互式的对客户端计算机的只读探查,获得比较完整的客户端计算机系统的资料,并据此通过远程指令传输并且加载各种设备驱动和取证插件,在本地实现取证分析,将结果通知取证机构操作人员,在发现有价值电子证据后,再通过采用远程系统签名和核对技术,最终完成远程计算机取证工作。
由上述远程计算机取证系统的部署和实施流程可见,本发明明显区别于传统取证系统和方法。提供了一个响应速度快、效率高、对证据保护性好、对现场人员技能要求低、实用性高的远程计算机取证系统,具有明显的优越性。
Claims (12)
1.一种计算机远程电子取证方法,其特征在于包括了如下的步骤:
第一步:在取证机构做远程取证端系统构建,在客户端计算机通过可移动介质载入一个安全操作系统;
第二步:在此安全操作系统环境中取证机构操作人员通过网络发布远程指令到客户端计算机进行只读探查,并加载需要的驱动设备和取证插件;
第三步:将客户端计算机取证结果反馈到取证机构操作人员,并对该客户端计算机系统进行签名。
2.根据权利要求1所述的一种计算机远程电子取证方法,其特征在于第三步以后取证机构操作人员到客户端计算机现场提取物证,核对签名。
3.根据权利要求1所述的一种计算机远程电子取证方法,其特征在于第一步中,客户端的可移动介质上存放有取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,以及设备驱动列表、取证插件列表和相关的配置信息。
4.根据权利要求1所述的一种计算机远程电子取证方法,其特征在于第一步中,取证机构操作人员在远程取证端部署取证分析器、取证插件知识库、设备驱动知识库和系统签名知识库。
5.根据权利要求1所述的一种计算机远程电子取证方法,其特征在于所述的三个步骤中,由客户端计算机操作人员按取证机构操作人员的指令在客户端计算机本地进行取证分析操作,并把各步骤执行情况反馈给取证机构操作人员,取证机构操作人员也根据客户端实际情况选择适合的操作或方法,并实时告知客户端计算机操作人员。
6.根据权利要求1或2所述的一种计算机远程电子取证方法,其特征在于第三步中,探查到有价值的电子证据时,客户端计算机操作人员按指令对远程计算机系统的状态进行签名,并将此签名通过网络传输至远程取证分析器,保存至签名知识库中,然后取证机构操作人员到客户端计算机现场提取物证,核对签名。
7.根据权利要求5所述的一种计算机远程电子取证方法,其特征在于取证机构操作人员根据只读探查到的客户端计算机系统的具体情况,指令客户端计算机操作人员按指令运行取证Agent,加载指定的设备驱动、执行指定的取证插件。
8.根据权利要求7所述的一种计算机远程电子取证方法,其特征在于取证机构操作人员根据只读探查到的客户端计算机系统的具体情况,指令对客户端计算机进行若干次的取证Agent探察和设备驱动加载过程,直至得到一个能支持下一步取证工作的较完整的计算机系统。
9.根据权利要求7或8所述的一种计算机远程电子取证方法,其特征在于所述的取证Agent探察将分析和收集到的客户端计算机系统的信息传送至远程取证分析器。
10.根据权利要求7或8所述的一种计算机远程电子取证方法,其特征在于设备驱动知识库中没有客户端计算机设备对应的设备驱动时,取证机构操作人员将通过Internet查找设备驱动并将结果保存入设备驱动知识库,将该设备驱动传输给客户端计算机、存放到可移动介质、更新设备驱动列表、加载该设备驱动。
11.根据权利要求7或8所述的一种计算机远程电子取证方法,其特征在于移动存储介质中的取证插件列表中没有指定版本的取证插件时,取证机构操作人员从取证插件知识库中将指定版本的取证插件通过网络传输给客户端,客户端计算机操作人员将其存放到可写的移动存储介质上,更新取证插件列表,并执行该取证插件。
12.一种实现权利要求1所述方法的计算机远程电子取证系统,包括带有读取可移动介质接口的计算机,所述计算机支持从可移动介质启动并通过网络连接着外部的计算机,其特征在于所述系统在远程取证端部署取证分析器、取证插件知识库、设备驱动知识库和系统签名知识库,在客户端计算机部署存放在可移动介质上的取证专用安全操作系统、取证Agent、设备驱动备份库和取证插件备份库,以及设备驱动列表、取证插件列表和相关的配置信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410025342 CN1645382A (zh) | 2004-06-22 | 2004-06-22 | 计算机远程电子取证的方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410025342 CN1645382A (zh) | 2004-06-22 | 2004-06-22 | 计算机远程电子取证的方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1645382A true CN1645382A (zh) | 2005-07-27 |
Family
ID=34868463
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200410025342 Pending CN1645382A (zh) | 2004-06-22 | 2004-06-22 | 计算机远程电子取证的方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1645382A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100414554C (zh) * | 2006-10-10 | 2008-08-27 | 中国科学院软件研究所 | 用于计算机的电子数据取证方法和系统 |
WO2009012661A1 (fr) * | 2007-07-23 | 2009-01-29 | Huawei Technologies Co., Ltd. | Procédé et dispositif de communication |
CN100511257C (zh) * | 2007-11-09 | 2009-07-08 | 重庆爱思网安信息技术有限公司 | 一种电子取证审计系统 |
CN103647791A (zh) * | 2013-12-25 | 2014-03-19 | 李涛 | 一种远程在线勘查取证的方法及系统 |
CN107968803A (zh) * | 2016-10-20 | 2018-04-27 | 中国电信股份有限公司 | 针对移动终端的远程取证方法、装置、移动终端和系统 |
-
2004
- 2004-06-22 CN CN 200410025342 patent/CN1645382A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100414554C (zh) * | 2006-10-10 | 2008-08-27 | 中国科学院软件研究所 | 用于计算机的电子数据取证方法和系统 |
WO2009012661A1 (fr) * | 2007-07-23 | 2009-01-29 | Huawei Technologies Co., Ltd. | Procédé et dispositif de communication |
CN100511257C (zh) * | 2007-11-09 | 2009-07-08 | 重庆爱思网安信息技术有限公司 | 一种电子取证审计系统 |
CN103647791A (zh) * | 2013-12-25 | 2014-03-19 | 李涛 | 一种远程在线勘查取证的方法及系统 |
CN107968803A (zh) * | 2016-10-20 | 2018-04-27 | 中国电信股份有限公司 | 针对移动终端的远程取证方法、装置、移动终端和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111832002B (zh) | 使用事件日志检测异常账户 | |
CN101777062B (zh) | 场境感知的实时计算机保护系统和方法 | |
CN100426298C (zh) | 一种垃圾文件清理方法及系统 | |
US20160062992A1 (en) | Shared server methods and systems for information storage, access, and security | |
CN101354715A (zh) | 用于操作数据处理系统的系统、方法和计算机程序产品 | |
CN103902732A (zh) | 自适应网络资源收集系统的构建及网络资源收集方法 | |
US20070174353A1 (en) | Method and apparatus to proactively capture and transmit dense diagnostic data of a file system | |
CN103295012A (zh) | 用于机器配置的系统和方法 | |
CN106802857A (zh) | 一种用于解析希捷硬盘smart日志的方法 | |
CN1645382A (zh) | 计算机远程电子取证的方法及其系统 | |
CN115567235A (zh) | 一种网络安全应急处置系统及应用方法 | |
KR101968539B1 (ko) | 타임 라인 기반의 라이브 포렌식 시각화 시스템 및 방법 | |
CN104156669A (zh) | 一种计算机信息取证系统 | |
CN203260027U (zh) | 一种备份装置及数据备份系统 | |
CN108647284B (zh) | 记录用户行为的方法及装置、介质和计算设备 | |
KR102294926B1 (ko) | 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템 | |
CN101763480A (zh) | 一种计算机在线调查取证分析系统及方法 | |
CN1645381A (zh) | 一种部署远程计算机取证插件架构的方法 | |
CN117971623A (zh) | 数据运维方法、装置、设备和介质 | |
WO2007043530A1 (ja) | データ出力装置及びデータ出力方法 | |
CN1873632A (zh) | 热插拔的外围装置识别系统及其方法 | |
CN101582816A (zh) | 一种家庭网关及其诊断维护信息的收集系统及方法 | |
CN104834690A (zh) | 一种游戏应用的甄别方法及用户设备 | |
CN111414280A (zh) | 针对ntfs文件系统的数据备份系统及方法 | |
CN1979444A (zh) | 保证伺服程序不间断运行的系统及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20050727 |