[发明专利]一种云端数据取证方法及系统

说明书

本发明涉及一种云端数据取证方法及系统，该方法中包括：当客户端发起请求后，判断是否需要核心算法服务计算，如果是，构建请求数据包发送至服务端；否则直接按照对应的协议进行请求；服务端接收到请求数据包后，根据请求数据包中的接口编号采用该接口编号对应的核心算法模块对用于核心算法服务计算的参数信息进行计算，将计算结果打包后返回至请求数据包中客户端编号对应的客户端；客户端基于返回的计算结果数据包，按照逆向的请求协议要求进行请求。本发明可以大大的减少目前常用云取证技术的逆向研发投入，通过增加后台服务的方式，有效的减少了逆向成本，大大的提升了云取证的开发效率。

技术领域

本发明涉及云取证技术领域，尤其涉及一种云端数据取证方法及系统。

背景技术

随着移动网络技术的发展，越来越多的APP将各类数据存放在云端，传统的取证技术可以拿到的核心数据越来越少，随之而来的是大量的云端数据的取证。例如目前国内较多的聊天类APP除了具有聊天功能，还具有交易功能，从而方便用户日常使用，而比较重要的交易类数据，一般都是存储在云端的，这样有效的保证了敏感数据的安全性。

目前传统的云取证技术主要包括基于网页协议的云取证技术、基于APP协议的云取证技术、基于仿真环境模拟的云取证技术、基于手机端流量数据截获等手段的云取证技术等，每种方案的逆向分析成本都比较高，而且开发周期也比较长。如网页协议分析和APP协议分析需要进行协议的逆向分析，可能会遇到的难题包括：JS逆向、OLLVM混淆还原、VMP脱壳等，耗费人力研究成本较大，时间较长。仿真环境模拟则由于目前主流APP为了保护数据安全，对各类Hook框架进行了检测和限制，从而导致可以使用仿真环境的APP范围也在逐渐的减少。手机端流量数据截获需要在手机端安装证书，另外需要对截获到的数据进行数据还原处理，成本也是很大的，另外用户操作复杂，在日常取证场景中并不是很适用。

发明内容

为了解决上述问题，本发明提出了一种云端数据取证方法及系统。

具体方案如下：

一种云端数据取证方法，包括以下步骤：

S1：当客户端发起APP登录请求后，判断APP登录时是否需要核心算法服务计算，如果是，根据客户端编号、需要的核心算法服务计算对应的接口编号和用于核心算法服务计算的参数信息构建请求数据包发送至服务端；进入S2；否则，直接按照APP登录协议进行APP登录操作，进入S4；

S2：服务端接收到请求数据包后，对请求数据包进行非法性判断，如果合法，则对请求数据包进行解析，根据请求数据包中的接口编号采用该接口编号对应的核心算法模块对用于核心算法服务计算的参数信息进行计算，将计算结果打包后返回至请求数据包中客户端编号对应的客户端；

S3：客户端对返回的计算结果数据包进行非法性判断，如果合法，则基于返回的计算结果数据包，按照逆向的APP登录协议要求进行APP登录操作；

S4：在APP登录成功后，当客户端发起数据获取请求后，判断获取数据时是否需要核心算法服务计算，如果是，根据客户端编号、需要的核心算法服务计算对应的接口编号和用于核心算法服务计算的参数信息构建请求数据包发送至服务端；进入S5；否则，直接按照逆向的网络协议进行数据获取请求；

S5：服务端接收到请求数据包后，对请求数据包进行非法性判断，如果合法，则对请求数据包进行解析，根据请求数据包中的接口编号采用该接口编号对应的核心算法模块对用于核心算法服务计算的参数信息进行计算，将计算结果打包后返回至请求数据包中客户端编号对应的客户端；

S6：客户端对返回的计算结果数据包进行非法性判断，如果合法，则基于返回的计算结果数据包，按照逆向的数据请求协议进行数据的获取和解析。

进一步的，在每次进行APP登录操作之后还包括：如果该次APP登录操作失败，则重新发起登录请求，重复S1-S3的步骤，直到登录次数达到第一次数阈值时结束。