本發明給出了一種基于串口的GOIP設備取證方法與系統，包括在針對GOIP設備暴露的內外部串口進行深入分析并做大量測試的基礎上，利用暴露的內外部串口，通過相應的指令獲取存儲芯片鏡像數據或者系統文件數據，通過取證分析裝置直接解析，進而對GOIP設備的內外部接口、引導程序等進行深入分析，基于GOIP設備的內外部串口的取證方法，通過系統串口命令獲取GOIP設備存儲芯片鏡像數據或者系統文件數據，從而保證GOIP設備在不被損壞情況下提取數據且支持刪除恢復，填補了GOIP設備取證技術方面的空白，對電子數據取證具有重大意義，為電子數據取證提供了有效的基礎支撐。

技術領域

本發明涉及計算機取證技術領域，尤其是一種基于串口的GOIP設備取證方法與系統。

背景技術

隨著物聯網時代高速發展，越來越多的不法分子利用物聯網設備進行違法犯罪活動，如利用GOIP設備進行遠程控制撥打電話，發送短信進行詐騙等違法犯罪活動。據了解，市面上絕大多數GOIP設備未有廠商等信息的標識，常規的去原廠提供技術支持的方式已行不通。目前GOIP設備常見取證方式有兩種，一種是利用GOIP設備的網口，通過訪問GOIP后臺管理系統，進行數據提取，該方式獲取的數據不全且不支持刪除恢復等不足之處。另外一種通過拆卸外殼獲取到通訊模組的IMEI號；該方式操作繁瑣，市面上存在一些改號軟件可修改IMEI號且獲取數據不全等不足之處。本專利對GOIP設備內外部接口、引導程序等進行深入研究，提出基于GOIP設備的內外部串口的取證方法，通過命令獲取GOIP設備存儲芯片鏡像數據或者系統文件數據，從而保證GOIP設備在不被損壞情況下提取數據且支持刪除恢復，為電子數據取證提供了有效的基礎支撐。

目前GOIP設備常見取證方式有兩種，一種是利用GOIP設備的網口，訪問GOIP后臺管理系統，進行數據提取，該方式存在一些不足之處：第一，獲取數據不全面，并不能訪問設備本身所有數據；第二，已刪除的數據無法恢復。另外一種是通過拆卸外殼獲取到通訊模組的IMEI號；該方式存在一些不足之處：第一：獲取數據不全面；第二，市面上一些改號軟件，可以更改IMEI號；第三，部分GOIP設備內部通訊模組沒有標簽。

發明內容

本發明提出了一種基于串口的GOIP設備取證方法與系統，以解決上文提到的現有技術的缺陷。

在一個方面，本發明提出了一種基于串口的GOIP設備取證方法，該方法包括以下步驟：

S1：通過分析GOIP設備的串口標識、分析GOIP設備的PCB板以及將GOIP設備與PC機相連接，判斷GOIP設備的串口類型；

S2：在GOIP設備與PC機相連接前，通過windows API接口獲取串口號集合U1，再根據GOIP設備的串口類型將GOIP設備與PC機相連接，連接后再通過windows API接口獲取串口號集合U2，比對所述串口號集合U1和所述串口號集合U2的元素之差，所述元素之差即為識別到的串口號；

S3：通過所述識別到的串口號對GOIP設備上電，再通過取證工具遍歷GOIP設備的波特率集合中的波特率，并根據遍歷到的波特率依次獲取所述GOIP設備中的數據，當獲取到的數據為明文日志信息時，將此時使用的波特率作為GOIP設備的波特率；

S4：重新對GOIP設備進行上電，通過取證工具遍歷GOIP系統串口命令集合中的系統串口命令，并根據遍歷到的系統串口命令依次利用所述取證工具判斷出與所述GOIP設備匹配的系統串口命令，循環使用與所述GOIP設備匹配的系統串口命令對所述GOIP設備中的取證數據通過串口進行下載，得到鏡像數據；

S5：通過取證分析裝置對所述鏡像數據進行鏡像重組和文件系統解析。