[发明专利]取证软件中基于自定义脚本实现电子数据取证分析的方法

说明书

技术领域

本发明涉及数据分析领域，尤其涉及电子数据取证分析领域，具体是指一种取证软件中基于自定义脚本实现电子数据取证分析的方法。

背景技术

随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证，然而移动互联网的快速发展以及传统网络应用往移动互联网上迅速转移，电子数据取证将面临着对更多类型应用程序的使用痕迹分析。传统的电子数据取证软件主要是将提前由取证专家提出对应应用程序的取证分析技术和方案，然后由电子数据取证软件研发厂商将取证过程以软件形式进行开发研制出来。如图1所示，为传统取证分析示意图，这种方案面临了如下两个问题难以解决：

1、电子数据取证软件支持的应用程序有限，一旦超出所支持的应用程序范围，则无法提供取证手段支持。

2、由于每个软件都是相对独立的开发，软件架构较为封闭，用户自定义编辑困难，无法共享取证专家的取证思路，也无法将多个取证思路结合应用。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种通过加载自定义脚本实现数据提取和数据分析，扩大取证软件应用范围，软件架构相对灵活多变的取证软件中基于自定义脚本实现电子数据取证分析的方法。

为了实现上述目的，本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法具有如下构成：

该取证软件中基于自定义脚本实现电子数据取证分析的方法，其主要特点是，所述的方法包括以下步骤：

(1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；

(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；

(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。

进一步地，所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下步骤：

(2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的电子数据进行特征信息采集；

(2.2)所述的取证软件根据采集到的特征信息建立索引接口。

更进一步地，所述的步骤(2.1)之前，还包括以下步骤：

(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。

更进一步地，所述的取证软件对所述的电子数据进行归类与合并，具体为：

所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。

其中，所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。

更进一步地，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：

(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；

(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。

更进一步地，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：

(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。

更进一步地，所述的获得取证分析结果，包括以下步骤：

(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；

(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。

采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，取证分析人员可以自行编辑自定义脚本的内容，并在取证软件中加载该自定义脚本，将取证分析人员的取证思路与取证软件的运行相结合，使取证软件在运行过程中不受到应用软件的限制，应用范围更加广泛，且针对不同软件可加载不同的自定义脚本，取证方法灵活多变，提高取证效率，加快分析过程，同时，还可以建立共享的自定义脚本库，共享新的取证思路和取证手段，更加有利于自定义脚本的开发，具有更广泛的应用范围。

附图说明

图1为本发明的传统取证分析示意图。