技術領域

本發明涉及一種對存儲介質的取證方法，特別是涉及一種對存儲介質進行自動化智能取證的方法及其系統。

背景技術

隨著計算機應用的大量普及，伴隨而來的是計算機犯罪現象的出現，如實施對計算機信息數據的竊取，對計算機重要數據實施破壞或篡改，利用計算機制作、傳播有害信息，通過計算機制造、傳播病毒，或實施“黑客”行動破壞網絡秩序等等。這種計算機犯罪行為所帶來的后果，嚴重地影響了國民經濟建設的發展和社會的安全與穩定，對計算機犯罪進行取證勘察成了現在打擊和預防計算機犯罪行為的重要手段。

目前我們國家針對案件硬盤等存儲設備進行調查時所使用的專業分析軟件絕大部分都是國外的產品，例如：EnCase、FTK等。這類型的軟件系統往往功能較強大、但使用很復雜，對操作人員要求比較高，需要有較高的計算機技術水平，并且需要專門培訓才能夠比較好的發揮作用，而且無法提供針對國內計算機常用數據進行調查的功能，例如：Foxmail、QQ數據提取等，無法進行全面的分析取證。

現有取證技術主要采用多次、多步驟分析方法，具體就是針對不同案件，根據需要，多次調用不同功能進行分析取證。圖1即為現有取證方法的流程圖，現有取證方法主要包括如下步驟：人工選擇分析內容步驟(如圖1中的框11′所示)，該步驟是根據案件特點要求以及分析人員對技術的理解、取證經驗，決定準備要分析的內容，并做好相關信息配置；讀取部分數據，進行分析步驟(如圖1中的框12′所示)，該步驟是根據上一步選擇的分析內容，從待分析的存儲介質里讀取部分數據進行分析，因為待分析的存儲介質數據量一般較大(幾十GB甚至上百GB)，無法一次性全部讀取出來，因此這個階段只能是一次讀取部分數據、進行分析；數據讀取判斷步驟(如圖1中的框13′所示)，該步驟對數據是否讀取完畢進行判斷，當判斷結果為數據未讀完時，返回讀取部分數據，進行分析的步驟，繼續讀取數據，當判斷結果為數據已讀完時，轉到下一步驟；對分析結果做書簽步驟(如圖1中的框14′所示)，該步驟是由取證人員對分析過程中所產生大量的分析結果做進一步的篩選，對感興趣的結果做個標記(書簽)，以便后續全部功能分析完畢后，整理報告，由于篩選的條件取決于取證分析人員對案件的理解、技術的熟悉和取證經驗，因此主觀性較強，由不同人來完成將會出現不同的結果；分析判斷步驟(如圖1中的框15′所示)，該步驟對所需要完成的功能是否分析完畢進行判斷，當判斷結果為未完畢時，返回人工選擇分析內容步驟選擇另一個功能進行分析取證，當判斷結果為已完畢時，轉到下一步驟；整理書簽步驟(如圖1中的框16′所示)，該步驟是根據分析過程中所做的標記(書簽)，整理篩選出有用資料，以便后面產生報告；產生報告步驟(如圖1中的框17′所示)，該步驟生成報告，以便提交給司法機構。

現有技術的取證方法主要存在如下不足：一是功能分散，每分析一項功能需要獨立完成；二是操作復雜，操作者需要具備較高的計算機技術水平，才能完成取證分析工作；三是取證不全面，由于取證工作需要關注的內容較多，取證的內容依托于取證人員的計算機技術水平、對案件的理解以及取證經驗，在實際操作過程中經常分析了這項、丟了那項，無法全面的進行取證分析；四是每次取證分析過程需要多次分析每項內容，多次從目標對象物理存儲介質中讀取數據，增加目標對象物理存儲介質損壞的可能性，因為多次進行I/O操作，影響了分析速度，分析效率慢；五是由于不同取證人員的經驗、技術水平不一樣，導致同樣的電子介質、利用同樣的分析工具軟件，但最后的取證分析報告卻不一樣；六是歸屬于同一類別的不同次案件，需要做重復性的分析工作，工作量大、效率低。

發明內容

本發明的目的在于克服現有技術之不足，提供一種對存儲介質進行自動化智能取證的方法及其系統，是采用了自動加載、智能判斷和高效分析的技術手段來進行取證分析，使得整個取證過程簡單、易操作，分析結果不依賴于取證人員的技術水平，具有全面取證、自動操作、高效分析、智能識別有用信息、取證效率高的特點。

本發明解決其技術問題所采用的技術方案是：一種對存儲介質進行自動化智能取證的方法，包括如下步驟：

自動加載分析功能模塊步驟，該步驟是在啟動分析后，取證計算機運行取證系統，自動尋找系統可用分析功能模塊插件，并將所有插件的所有分析功能模塊自動加載到取證計算機中，使取證計算機具備全面的分析功能；

智能選擇需分析模塊步驟，該步驟是由取證人員根據案件的類型、特點向取證計算機輸入設定條件，取證系統根據所述設定條件智能選擇需要采用的分析模塊；