技術領域

本發明涉及到計算機取證領域，特別涉及到一種針對文件時間、數據記錄時間進行分析的方法。

背景技術

計算機取證(Computer?Forensics、計算機取證技術、計算機鑒識、計算機法醫學)是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，并據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言，計算機取證是一個對案件相關的計算機系統進行掃描和分析，以對計算機中現場數據進行重建的過程。可理解為“從計算機上提取證據”即：獲取、保存、分析、出示、提供的證據必須可信。計算機取證(Computer?Forensics)在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網絡入侵、盜用知識產權和網絡欺騙等。

文件中的屬性保存有創建時間、修改時間，最后訪問時間，注冊表中的鍵保存有創建時間、即時通信保存有聊天記錄時間等。在某段時間內，可能會發生一個文件的創建、兩個人的聊天內容，一個新的鍵產生，這些變化很可能互有關聯性，但目前市場上并沒有相關軟件能描述這些變化，以及針對這些變化帶來的影響。

綜上所述，針對現有技術的缺陷，特別需要一種針對計算機中文件和數據記錄進行時間線分析的方法，以解決現有技術的不足。

發明內容

本發明的目的是提供一種針對計算機中文件和數據記錄進行時間線分析的方法，針對系統中所有文件的創建時間、修正時間、最后訪問時間，注冊表鍵的創建時間，郵件的發送時間、服務器接收時間、保存到本地時間，上網日志的最后訪問時間，操作系統和應用日志時間，即時通訊記錄時間，文件下載項的創建時間、接收時間、完成時間進行排序，通過圖表及摘要的方式進行顯示，從而實現本發明的目的。

本發明所解決的技術問題可以采用以下技術方案來實現：

一種針對計算機中文件和數據記錄進行時間線分析的方法，其特征在于，所述方法包括如下步驟：

1)通過解析具體的文件系統得到相應的文件記錄數據；

2)確定每種記錄類型所在文件的具體格式，解析出該記錄，得到文件相關的時間信息；

3)解析注冊表記錄，得到注冊表項的時間信息；

4)解析郵件數據，得到郵件的發送時間、服務器接收時間、保存到本地時間信息；

5)解析上網日志記錄，得到上網日志的訪問時間信息；

6)解析即時通訊日志記錄，得到即時通訊記錄的時間信息；

7)解析操作系統和應用日志數據，得到日志的時間信息；

8)解析各類下載軟件的下載項記錄，得到下載項創建時間、接收時間信息；

9)將上述記錄的指針，連同時間類型一起組成數據對，加入到一個列表中，按時間值進行排序；

10)計算列表中數據對的數量，并將記錄顯示到界面中；

在本發明的一個實施例中，所述方法能指定時間段，對相應的時間段數據和記錄進行顯示。

在本發明的一個實施例中，對各種記錄用不同的顏色進行分門別類的顯示。

在本發明的一個實施例中，在解析一種新的記錄或加載一個磁盤時，重新根據統一的數據對，進行時間排序。

在本發明的一個實施例中，可以對數據對按照其數據特性進行過濾。

具體實施方式

為了使本發明實現的技術手段、創作特征、達成目的與功效易于明白了解，下面結合具體圖示，進一步闡述本發明。

本發明主要針對在給定的某段時間內，針對系統中所有文件的創建時間、修正時間、最后訪問時間，注冊表鍵的創建時間，郵件的發送時間、服務器接收時間、保存到本地時間，上網日志的最后訪問時間，操作系統和應用日志時間，即時通訊記錄時間，文件下載項的創建時間、接收時間、完成時間進行排序，通過圖表及摘要的方式進行顯示。

針對七種類型的記錄(包括文件/文件夾、上網日志、郵件記錄、即時通訊、注冊表、系統日志、下載記錄)，設置相應的時間類型枚舉變量如下：

這些時間類型便于對列表進行過濾，元素時間與時間類型的獲取。

所有記錄本身與其時間組成的數據對存放于列表中。