技術領域

本發明涉及網絡信息安全技術領域，尤其是涉及一種電子取證方法及裝置。

背景技術

隨著個人計算機以及智能移動終端的日益普及，隨之而來的計算機信息領域的犯罪也愈演愈烈，針對計算機信息領域犯罪的偵查，需要用到電子取證。從技術方面看，電子取證是一個利用計算機軟硬件技術對受侵計算機系統進行掃描和破解來對入侵事件進行重建的過程。具體而言，是指把計算機看作犯罪現場，運用先進的辨析技術，對計算機犯罪行為進行解剖，搜尋罪犯及其犯罪證據。

目前國內的電子取證方法多依賴人工審核，人工審核的效率較差。為了提高取證效率，一些情況下也會使用電子取證軟件，然而，目前眾多取證軟件所采用的取證方法，或者是為所有取證任務設置統一的取證策略，或者是任意選擇一種取證策略，而不同的取證策略往往會出現不同的取證結果，存在取證精確性較差的技術問題。

計算機網絡技術以及大數據技術的不斷創新與發展，都迫切需求取證軟件的研發，針對上述取證軟件采用的傳統取證方法存在的取證精確性較差的技術問題，目前缺乏有效的解決方案。

發明內容

有鑒于此，本發明的目的在于提供一種電子取證方法及裝置，以緩解傳統取證方法存在精確性較差的技術問題。

第一方面，本發明實施例提供了一種電子取證方法，包括：

接收用戶發送的創建指令，以根據所述創建指令創建取證任務，其中，所述取證任務為在待取證源數據中按照預設提取特征提取目標證據的任務；

根據所述預設提取特征，設置取證策略，其中，所述取證策略中至少包括以下之一：文本類型、字典文件和正則表達式，所述文本類型為所述目標證據所屬文本的文本類型，所述字典文件包括所述目標證據的關鍵字，所述正則表達式包括所述目標證據的數據格式；

根據所述取證策略，從所述待取證源數據中提取所述目標證據。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，根據所述預設提取特征，設置取證策略，包括：

獲取取證策略列表，其中，所述取證策略列表中包括多個預設策略模板；

根據所述預設提取特征，從所述取證策略列表中提取目標策略模板，其中，所述目標策略模板中包括至少一個策略信息；

根據所述目標策略模板，設置所述取證策略。

結合第一方面的第一種可能的實施方式，本發明實施例提供了第一方面的第二種可能的實施方式，其中，根據所述目標策略模板，設置所述取證策略，包括：

將所述目標策略模板里包含的取證策略設置為所述取證策略；或者，

對所述目標策略模板進行編輯，將編輯后的目標策略模板進行保存，并將所述編輯后的目標策略模板里包含的取證策略設置為所述取證策略，其中，所述編輯包括以下至少之一：修改策略信息，增加策略信息，刪除策略信息。

結合第一方面，本發明實施例提供了第一方面的第三種可能的實施方式，其中，根據所述取證策略，從所述待取證源數據中提取所述目標證據，包括：

根據所述文本類型，從所述待取證源數據中提取目標文件，其中，所述目標文件的文本類型為所述取證策略中包括的文本類型；

根據所述字典文件和所述正則表達式，對所述目標文件進行文件遍歷，以從所述目標文件中提取所述目標證據。

結合第一方面的第三種可能的實施方式，本發明實施例提供了第一方面的第四種可能的實施方式，其中，根據所述文本類型，從所述待取證源數據中提取目標文件，包括：

根據文檔類型，對所述待取證源數據進行分類，得到多個文檔集合，其中，所述文檔類型包括第一組文檔類型或第二組文檔類型，其中，所述第一組文檔類型包括：復合文檔和圖形文檔，所述第二組文檔類型包括：壓縮文檔和鏡像文檔；

在每個所述文檔集合中，根據所述文檔類型對所述文檔集合中的文檔進行處理，得到純文本文檔；

根據所述文本類型，從所述純文本文檔中提取目標文件。

結合第一方面的第四種可能得實施方式，本發明實施例提供了第一方面的第五種可能的實施方式，其中，根據文檔類型，對所述待取證源數據進行分類，得到多個文檔集合包括：

根據所述第一組文檔類型，對所述待取證源數據進行分類，得到第一文檔集合和第二文檔集合，其中，所述第一文檔集合為復合文檔集合，所述第二文檔集合為圖形文檔集合；

根據所述第二組文檔類型，對所述待取證源數據進行分類，得到第三文檔集合和第四文檔集合，其中，所述第三文檔集合為壓縮文檔集合，所述第四文檔集合為鏡像文檔集合。