未持有iOS设备情况下的离线取证方法
【专利摘要】本发明的目的在于提供一种未持有iOS设备情况下的离线取证的方法。当取证人员需要对某一iOS设备进行取证而又未获取该iOS设备,取证人员可以转而查找曾经与该iOS设备通过iTunes同步软件连接过的PC或Mac,取证人员即可对该PC或Mac上iTunes的文件夹的内容进行解析,从而获取有关该iOS设备的相关数据。通过该方法可以给取证人员提供一种新的针对iOS设备的取证方法,克服了传统移动设备取证必须持有该移动设备的局限,实现对该iOS设备的模糊取证。
【专利说明】未持有ios设备情况下的离线取证方法
【技术领域】
[0001] 本发明涉及数字取证中移动设备取证的【技术领域】,特别涉及一种未持有i〇S设备 情况下的离线取证方法。
【背景技术】
[0002] 移动设备通常指任何具有内部存储和通信能力的数字产品。其中手机是最普遍使 用的移动设备之一,已成为人们生活中不可或缺的联系工具。据IDC最新的统计报告显示, 2012年全球智能手机出货量达6. 86亿部,中国占据1/4达到26. 5%,成为全球智能手机出 货量最大的国家。在高端智能手机市场中,苹果和三星占据90%的市场份额。截至2012年 9月iPhone5发布时,苹果销售了 4亿台iOS设备,而在iOS 6发布之后一个月的时间 里,就有2亿台设备运行iOS 6。这些统计数据表明iOS设备在移动终端占有重大的市场 份额,在中国乃至全世界都拥有极其庞大的用户基数。与此同时,手机犯罪现象作为高科技 犯罪的一种也随之涌现。智能手机取证在刑事侦查中的应用也将越来越多,对刑事侦查的 支持也越来越强。因而对智能手机取证这一领域相关理论和实践研究也显得尤为重要。
[0003] 移动设备取证是数字取证的一大分支,涉及到在可靠的取证环境下的数字证据的 恢复和从移动设备中的获取。而智能手机不同于普通的功能手机,它的运算能力、存储能 力已经接近甚至达到传统PC的水平,不仅如此,智能手机由于其丰富的App应用极大扩张 了手机所能实现的功能,App在使用中所产生的数据和用户直接相关,包含了大量的隐私数 据,而传统的手机取证技术所获取的信息(短信、联系人、图片等)已尽不能满足现代刑侦的 需要。目前实际应用的取证软件都只是针对i〇S设备本身,即在持有某一 iOS设备的情况 下对该设备进行取证作业。一旦未持有某一 i〇S设备,则无法获取该设备的任何信息,而本 发明能很好地解决上述问题。
【发明内容】
[0004] 本发明的目的就是在取证人员未持有目标i〇S设备的情形下,提供一种间接的取 证方法,结合i〇S设备的自身的特点和机制,利用目标iOS设备曾经连接的PC或Mac上的 i〇S设备的管理软件iTunes,通过对iTunes所生成的文件的解析,获取到目标iOS设备信 息(IMEI、GUID等)和相对与当前时间较早或同等时间的目标iOS的设备所包含的嫌疑人 敏感信息(短信、联系人、通话记录等),从而实现对目标i〇S设备的模糊取证。
[0005] 本发明提供一种未持有iOS设备情况下的离线取证的方法,包括:取证人员在未 持有iOS设备的情况下,转而去寻求曾经与该iOS设备连接过的PC或Mac端的iTunes备份 文件夹,在获取对该PC或Mac的控制后,实施针对iTunes备份文件的取证;根据不同的操 作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否包含备份数据, 若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将PC或Mac端的 存储部件作为原始证据隔离保护,亦可仅将iTunes的备份文件夹作为原始证据隔离保存, 并进行MD5或SHA完整性校验,并制作备份;针对备份的iTunes备份文件夹进行解析取证 操作。首先对备份进行完整性校验,与原始备份数据的MD5或SHA值进行比较,在确定一致 的情况下,开始解析备份数据并记录取证实施过程;通过解析备份文件夹中的Info, plist 文件,获取该备份的i〇S设备的信息(设备名称、系统版本、手机号码、GUID、IMEI等)并将解 析出的数据记录并生成i〇S设备信息报告;通过解析备份文件夹中的Status, plist文件, 获取有关该备份的信息(备份的时间、是否完全备份、UUID等)并将数据记录生成备份信息 报告;通过解析备份文件夹中的Manifest, plist文件,获取所有已安装的App信息,将其 中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类 App包含大量用户数据信息,取证人员需要记录并解析其数据库文件;通过解析Manifest, mbdb和Domains, plist,将备份文件的文件名与原iOS系统中的文件全路径进行匹配,将 备份的文件简单分类{:基本信息(短信、联系人、通话记录)、多媒体信息(图片、音频、视频)、 App信息、位置信息},并根据数据载体的类型利用利用相关软件(SQLite Expert、Plist Editor)解析查阅,并将内容生成相应的分类报告;将上述生成的分类报告汇总,经过整理, 排除冗余数据,对解析提取的结果生成总结性取证报告,并根据取证过程报告复核整个取 证流程有无漏洞及违规行为,最后进行证据存档和提交。
[0006] 方法流程: 本发明提供一种未持有i〇S设备情况下的离线取证的方法,其包括如下步骤: 1)取证人员在确定某一 i〇S设备连接过的PC或Mac端后,采取现场证据保护措施,并 记录现场,并且检测该PC或Mac是否已经安装iTunes。
[0007] 2)根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文 件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证 工作,可以将PC或Mac端的存储部件作为原始数据源隔离保护,亦可将涉案PC或Mac作为 原始数据源隔离封存,并进行MD5或SHA完整性校验,并制作多份备份以供取证人员分析。
[0008] 3)任何分析或提取工作都只能在原始数据源的备份上进行取证操作。在开始取证 操作之前,首先要对备份进行完整性校验,与原始数据的MD5或SHA值进行比较,在确定一 致的情况下,开始解析备份数据。同时对实施取证人员做好信息记录,并录入取证方案及步 骤,生成取证过程报告。
[0009] 4)通过解析备份文件夹中的Info, plist文件,获取该备份的iOS设备的信息(设 备名称、系统版本、手机号码、GUIDUMEI等)并将解析出的数据记录并生成iOS设备信息报 生 1=1 〇
[0010] 5)通过解析备份文件夹中的Status, plist文件,获取有关该备份的信息(备份的 时间、是否完全备份、UUID等)并将数据记录生成备份信息报告。
[0011] 6)通过解析备份文件夹中的Manifest, plist文件,获取所有已安装的App信息, 将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由 于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件。
[0012] 7)通过解析Manifest, mbdb和Domains, plist,将备份文件的文件名与原iOS系 统中的文件全路径进行匹配,将备份的文件简单分类{:基本信息(短信、联系人、通话记录)、 多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用相关软件 (SQLite Expert、Plist Editor)进行解析查阅,并将内容生成相应的分类报告。
[0013] 8)将步骤7生成的报告汇总,经过整理,排除冗余数据,生成总结性取证报告,并 将上述取证调查过程的记录报告汇总,并进行复核工作,检查每个取证实施环节是否存在 漏洞及有无违反法律法规,针对某一可疑的取证结论及取证流程,可参考该取证过程的记 录报告,可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案。复核工 作结束后,将报告存档,最后进行证据提交司法机关。
[0014] 1.取证方法应用前提条件 iTunes是由Apple公司开发的供Mac和PC使用的一款免费应用程序,能管理和播 放用户的数字音乐和视频,更重要是它是Apple公司官方提供的管理iOS设备的多媒体文 件、App、同步、备份、恢复、更新iOS版本等功能的管理软件。由于iOS系统本身的非开源 和封闭性,对于原生的(未越狱)iOS设备在连接到PC上的时候,PC本身是无法直接读取 iOS设备的文件系统,只能读取到多媒体文件夹,而且iOS设备用户无法通过PC端的拷贝、 剪切、粘贴等功能来实现对多媒体文件的管理,必须通过iTunes软件来实现对iOS设备的 管理,通过iTunes的同步功能,由于iTunes的设计本身遵从Apple的同步协议(Apple' s synchronization protocol),可以将PC或Mac上的多媒体文件同步到iOS设备中去。因 此iOS设备用户一定会在其PC或Mac端安装iTunes软件以管理其iOS设备。iOS设备一 旦连接上已安装iTunes的PC或Mac, iTunes软件就会自动提示用户手动或设置自动同步 iTunes的多媒体资料库,而在同步的过程中或iOS设备升级、更新iOS版本、恢复iOS系统 的时候,iTunes就会自动的运行备份iOS设备的功能来防止上述功能因连接中断或系统 运行错误而导致的数据丢失,若出现错误,iTunes还可以从设备中将iOS设备恢复。因此 iTunes运行的过程中将产生大量的与其相连接过的iOS设备的数据,其中最主要的就是 iTunes文件夹中的备份数据,通过获取和解析该文件的内容即可以间接的对该iOS设备进 行取证作业,获取该设备的大量信息。
[0015] 2.因此基于以上论述,本发明取证方法的应用前提就是当取证人员需要对某一 iOS设备进行取证而未持有该iOS设备的情况下,取证人员可以转而获取与该iOS设备连接 过的PC或Mac,确认该PC或Mac上安装有iTunes软件,即可实施取证过程。iTunes备份 数据的存储位置及数据源取证价值 iOS设备通过iTunes执行备份功能后,其存储的iOS备份的文件夹的位置因操作系统 而异。iTunes将备份文件存放在以下位置(以下信息摘自Apple官方网站,以Apple官方 网站最新公布信息为准): 1 Mac :Users/<user name>/Library/Application Support/MobileSync/Backup/ 1 Windows XP :\Documents and Settings\ (用户名)\Application Data\Apple Computer\MobileSync\Backup\ 1 Windows Vista 和 Windows 7 : \ 用户 \ (用户名)\AppData\Roaming\Apple Computer\MobileSync\Backup\ 在Windows操作系统下,在存储路径中,由于AppData文件夹是隐藏文件夹,因此取证 人员需要手工查找的话,需要在"文件夹和搜索选项"中"查看"的属性页的"隐藏文件和文 件夹"设置为显示,才可以看见该文件夹,因此备份文件夹的存储路径是iTunes软件自行默 认设定的,用户无法修改,其在不同的操作系统中的存储位置固定。
[0016] 目前移动设备取证领域中对iOS设备的数据获取主要有三种方法,第一种方法是 物理获取(Physical Acquisition),通过按位拷贝整个iOS设备的存储芯片。该方法类似 与磁盘镜像,可以获取iOS设备的存储器的物理镜像。但从iOS4开始,iOS设备采用了更加 严格的安全机制硬加密,导致镜像下来的数据还是加密后的,且操作复杂,耗时较长;第二 种方法是逻辑获取(Logical Acquisition),通过Apple的同步协议,将iOS设备的文件系 统备份下来而不仅仅备份某些特定的数据,从而获取一个逻辑镜像。该方法易于实施,获取 到的镜像数据也可以迅速用来解析,但该方法在备份大量用户数据的同时也备份了大量的 系统数据,且耗时也较长。第三种方法是备份获取(Backup Acquisition),即通过iTunes 软件来备份i〇S设备,然后在对备份文件进行解析。iTunes所备份的具体内容可以通过浏 览 Apple 官方网站(http://support. apple. com/kb/ht4946?viewlocale=zh_CN)或见附图 1。由于iTunes的备份功能使用Apple同步协议,并用作在iOS系统不正常工作时的恢复 备份,亦可从附图1所示,该备份功能备份了原i〇S设备的所有用户数据包括多媒体文件、 短信、联系人、通话记录、Safari浏览记录、App数据等和可唯一标识该iOS设备的系统文 件。因此备份的数据量所包含的用户数据从取证角度说都是具有价值的,作为有效的诉讼 证据。但该方法具有一定程度的缺陷,由于取证人员未持有某一 i〇S设备,那么采用该方法 取证所得数据只能证明这些数据在备份的日期之前存在与该i〇S设备中,与该iOS设备此 刻所含有的数据具有一个时间差,从i〇S设备的备份日期到现在这段时间所产生的数据, 利用该方法无法获取,因此,称之为对i〇S设备的模糊取证。
[0017] 3.解析iTunes的备份数据 iTunes所备份的文件在保存到PC或Mac中时,是以40位十六进制作为文件名,并且 没有文件后缀名,在文件类型一栏显示为"文件",例如某一备份文件文件名为:3d0d7e5f b2ce288813306e4d4636395e047a3d28。因此,我们无法直接通过备份文件的文件名或文件 属性来判断该文件在原i〇S设备中是什么类型的文件,从而也无法获取其文件内容。而 iTunes的备份文件的文件名的产生原理是将Domain和备份文件在原iOS设备中的路径通 过符号链接作为原字符串数据进行SHA1算法加密生成40位的十六进制值作为文件 名,即:Domain-路径。Domain是iOS文件系统的一个"域"概念,用来简单标识iOS设备 中文件所属哪个Domain,iOS主要包含以下几个域:HomeDomain、RootDomain、BookDomain、 MediaDomain、MobileDeviceDomain、KeychainDomain 等,所有的 Domain 的定义都包含在 iOS 系统中的/System/Library/Backup/Domains.plist file 中。例如,短信、联系人、通 话记录等SQLite数据库文件皆属于HomeDomain,图片、音频文件都属于MediaDomain。
[0018] 上文中举例的文件名(3d0d7e5fb2ce288813306e4d4636395e047a3d28)就是由: HomeDomain-Libiary/SMS/sms. db为原字符串经过SHA1算法加密而成,该文件在原iOS系 统中的文件名就是sms. db,即短信库文件。因此,取证人员就可以利用该原理,将iTunes的 备份文件的文件名全部相应的识别为i0S设备中所对应的文件路径和文件名,从而加以提 取特定的包含用户数据的文件进行解析取证。
[0019] 除此之外,iTunes的备份文件中还包含四个未采用上述原理生成文件名的文件, 分别是:Info. plist、Manifest, plist、Status, plist、Manifest. mbdb〇 Info, plist 文件 包含了备份的iOS设备的信息包括:设备名称、系统版本、手机号码、⑶ID、IMEI、最后一次 备份时间等。Status, plist文件记录了这次备份的信息包括:备份时间、UUID、是否全部备 份等信息。Manifest, plist文件记录了 iOS设备的所有已安装的App的信息、是否加密等 信息。Manifest, mbdb文件记录了所有备份文件的路径、大小、所属域等信息。通过对以上 四个文件的解析,取证人员亦可获取大量有关此次备份的ios设备的信息及备份本身的信 息。
[0020] iOS设备的数据载体主要为SQLite数据库、Plist文件、多媒体数据。SQLite为 小型开源数据库,i〇S设备中的短信、联系人、通话记录、日历、记事本、App用户数据等都是 存储在SQLite数据库中,取证人员可以在PC或Mac通过SQLite Expert软件来查阅数据 库存储的信息。Plist (Property List)文件类似于XML文件,主要存储系统配置信息和用 户设置数据及记录信息,如Safari浏览记录、Google地图记录都是存储在Plist文件中, 取证人员可以在PC或Mac中通过Plist Editor软件来查看存储的信息。多媒体文件iOS 系统未作特殊处理,备份后,直接打开即可。
[0021] 有益效果: 本发明的取证方法是在未持有某一 i〇s设备的情况下,通过解析曾经与该iOS设备连 接过的PC或Mac端的iTunes的备份文件夹,来获取接近于当前时间的iOS设备所包含的 信息,就信息量本身而言,正常情况下其获取的信息与持有该i〇S设备进行取证的所获取 的信息中会有大量的信息一致,取证的结果的就是某i〇S设备从备份之时间起到取证的时 间间隔的越短,则i〇S设备在使用中产生的新的数据越少,代表取证的结果越接近甚至等 同在持有该i〇S设备情况下的取证结果。本发明方法一定程度上规避了传统移动取证方法 在未持有i〇S设备时,无法获取任何有关该iOS设备的信息的缺陷,在符合应用条件下实现 了对iOS设备的模糊取证。
【专利附图】
【附图说明】
[0022] 图1 Apple官方关于iTunes备份内容列表。
[0023] 图2解析iTunes文件夹的流程图。
【具体实施方式】
[0024] 请参阅图2,首先取证人员先要根据技术方案中所诉的该取证方法的应用前提,在 确定符合应用前提的条件下,开始取证工作。
[0025] 本发明提供一种未持有iOS设备情况下的离线取证的方法,其包括如下步骤: 1)取证人员在确定某一 i〇S设备连接过的PC或Mac端后,采取现场证据保护措施,并 记录现场,并且检测该PC或Mac是否已经安装iTunes。
[0026] 2)根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文 件夹内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证 工作,可以将PC或Mac端的存储部件作为原始数据源隔离保护,亦可将涉案PC或Mac作为 原始数据源隔离封存,并进行MD5或SHA完整性校验,并制作多份备份以供取证人员分析。
[0027] 3)任何分析或提取工作都只能在原始数据源的备份上进行取证操作。在开始取证 操作之前,首先要对备份进行完整性校验,与原始数据的MD5或SHA值进行比较,在确定一 致的情况下,开始解析备份数据。同时对实施取证人员做好信息记录,并录入取证方案及步 骤,生成取证过程报告。
[0028] 4)通过解析备份文件夹中的Info, plist文件,获取该备份的iOS设备的信息(设 备名称、系统版本、手机号码、GUIDUMEI等)并将解析出的数据记录并生成iOS设备信息报 生 1=1 ο
[0029] 5)通过解析备份文件夹中的Status, piist文件,获取有关该备份的信息(备份的 时间、是否完全备份、UUID等)并将数据记录生成备份信息报告。
[0030] 6)通过解析备份文件夹中的Manifest, plist文件,获取所有已安装的App信息, 将其中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由 于该类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件。
[0031] 7)通过解析Manifest, mbdb和Domains, plist,将备份文件的文件名与原iOS系 统中的文件全路径进行匹配,将备份的文件简单分类{:基本信息(短信、联系人、通话记录)、 多媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用相关软件 (SQLite Expert、Plist Editor)进行解析查阅,并将内容生成相应的分类报告。
[0032] 8)将步骤7生成的报告汇总,经过整理,排除冗余数据,生成总结性取证报告,并 将上述取证调查过程的记录报告汇总,并进行复核工作,检查每个取证实施环节是否存在 漏洞及有无违反法律法规,针对某一可疑的取证结论及取证流程,可参考该取证过程的记 录报告,可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案。复核工 作结束后,将报告存档,最后进行证据提交司法机关。
【权利要求】
1. 一种未持有iOS设备情况下的离线取证的方法,其特征在于:包括:取证人员在未持 有iOS设备的情况下,转而去寻求曾经与该iOS设备连接过的PC或Mac端的iTunes备份 文件夹,在获取对该PC或Mac的控制后,实施针对iTunes备份文件的取证。
2. 根据权利要求1所述的一种未持有i〇S设备情况下的离线取证的方法,其特征在于: 根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹内是否 包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作,可以将 PC或Mac端的存储部件作为原始证据隔离保护,亦可仅将iTunes的备份文件夹作为原始证 据隔离保存,并进行MD5或SHA完整性校验,并制作备份。
3. 根据权利要求2所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于: 针对备份的iTunes备份文件夹进行解析取证操作;首先对备份进行完整性校验,与原始备 份数据的MD5或SHA值进行比较,在确定一致的情况下,开始解析备份数据并记录取证实施 过程。
4. 根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于: 通过解析备份文件夹中的Info, plist文件,获取该备份的iOS设备的信息(设备名称、系统 版本、手机号码、GUID、MEI等)并将解析出的数据记录并生成iOS设备信息报告。
5. 根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于: 通过解析备份文件夹中的Status, plist文件,获取有关该备份的信息(备份的时间、是否 完全备份、UUID等)并将数据记录生成备份信息报告。
6. 根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在于: 通过解析备份文件夹中的Manifest, plist文件,获取所有已安装的App信息,将其中,即时 通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该类App包 含大量用户数据信息,取证人员需要记录并解析其数据库文件。
7. 根据权利要求3所述的一种未持有iOS设备情况下的离线取证的方法,其特征在 于:通过解析Manifest, mbdb和Domains, plist,将备份文件的文件名与原iOS系统中的文 件全路径进行匹配,将备份的文件简单分类{:基本信息(短信、联系人、通话记录)、多媒体 信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用利用相关软件 (SQLite Expert、Plist Editor)解析查阅,并将内容生成相应的分类报告。
8. 根据权利要求4、5、6、7任一权利要求所述的一种未持有iOS设备情况下的离线取证 的方法,其特征在于:将生成的分类报告汇总,经过整理,排除冗余数据,对解析提取的结果 生成总结性取证报告,并根据取证过程报告复核整个取证流程有无漏洞及违规行为,最后 进行证据存档和提交。
9. 一种未持有i〇S设备情况下的离线取证的方法,其特征在于,包括如下步骤: 1) 取证人员在确定某一 i〇S设备连接过的PC或Mac端后,采取现场证据保护措施,并 记录现场,并且检测该PC或Mac是否已经安装iTunes ; 2) 根据不同的操作系统确定相应的iTunes备份文件夹的位置,并检测该备份文件夹 内是否包含备份数据,若包含备份数据,则确定可以对该备份文件夹进行后续的取证工作, 可以将PC或Mac端的存储部件作为原始数据源隔离保护,亦可将涉案PC或Mac作为原始 数据源隔离封存,并进行MD5或SHA完整性校验,并制作多份备份以供取证人员分析; 3) 任何分析或提取工作都只能在原始数据源的备份上进行取证操作;在开始取证操作 之前,首先要对备份进行完整性校验,与原始数据的MD5或SHA值进行比较,在确定一致的 情况下,开始解析备份数据;同时对实施取证人员做好信息记录,并录入取证方案及步骤, 生成取证过程报告; 4) 通过解析备份文件夹中的Info, plist文件,获取该备份的iOS设备的信息(设备名 称、系统版本、手机号码、GUID、MEI等)并将解析出的数据记录并生成iOS设备信息报告; 5) 通过解析备份文件夹中的Status, plist文件,获取有关该备份的信息(备份的时 间、是否完全备份、UUID等)并将数据记录生成备份信息报告; 6) 通过解析备份文件夹中的Manifest, plist文件,获取所有已安装的App信息,将其 中,即时通讯类App、地图/位置类App、搜索/查询类App等版本和路径信息记录,由于该 类App包含大量用户数据信息,取证人员需要记录并解析其数据库文件; 7) 通过解析Manifest, mbdb和Domains, plist,将备份文件的文件名与原iOS系统中 的文件全路径进行匹配,将备份的文件简单分类{:基本信息(短信、联系人、通话记录)、多 媒体信息(图片、音频、视频)、App信息、位置信息},并根据数据载体的类型利用相关软件 (SQLite Expert、Plist Editor)进行解析查阅,并将内容生成相应的分类报告; 8) 将步骤7生成的报告汇总,经过整理,排除冗余数据,生成总结性取证报告,并将上 述取证调查过程的记录报告汇总,并进行复核工作,检查每个取证实施环节是否存在漏洞 及有无违反法律法规,针对某一可疑的取证结论及取证流程,可参考该取证过程的记录报 告,可在数据源的冗余备份上复现记录的取证过程或重新实施新的取证方案;复核工作结 束后,将报告存档,最后进行证据提交司法机关。
【文档编号】G06F11/14GK104123197SQ201310149998
【公开日】2014年10月29日 申请日期:2013年4月25日 优先权日:2013年4月25日
【发明者】孙国梓, 刘肖, 杨一涛, 邵泽慧, 王超 申请人:南京邮电大学