专利名称:常用应用软件默认数据及缓冲数据勘查取证方法
技术领域:
本发明涉及的是一种计算机证据的勘查和取证方法,特别是一种常用应用软件默认数据及缓冲数据勘查取证方法,属于计算机应用领域。
背景技术:
当计算机给人类带来进步和便捷,丰富和变革着人们生活的同时,其负面影响也是人们始料不及的,以计算机信息系统为犯罪对象和以计算机信息系统为犯罪工具的各类新型犯罪活动来势汹汹。各类计算机犯罪,特别是以计算机系统作为犯罪工具的犯罪活动,不断与各类传统犯罪活动密切结合,严重危害着国家的发展和稳定,打击和防范计算机犯罪已成为各国警方及权力机构亟待解决的一大难题。作为计算机犯罪取证对象的计算机数据,是以磁介质及光介质等方式存储在包括硬盘、软盘、U盘及可读\写光盘等存储器上,具有自己的特点1、信息量大。相比较于传统的纸质文档,计算机数据存储器的信息容量大,现今普通的硬盘存储器可以保存上亿页打印文档所包含的信息内容。2、文件结构复杂。计算机数据的文件存储结构因应用软件的不同而变化,同时,除去文字表格等基本文件结构外,声音、图像也是常见的计算机数据存储结构。3、隐蔽性。敏感信息存在于大量冗杂的数据中,以及可以通过加密算法等实现隐藏。4、易受损性。计算机数据容易销毁,错误的操作也可能损毁敏感信息。
经文献检索发现,美国专利申请号6,345,283,专利名称为“Method andapparatus for forensic analysis of information stored in computer-readablemedia(《计算机可读存储器取证的方法和设备》)”,该专利面向计算机存储设备,主要是硬盘,通过提取、分析计算机可读存储器上的环境数据来获取可能的证据信息。环境数据是计算机系统的依赖数据,主要包括文本数据、二进制串和其他非文本数据。环境数据对计算机用户来说是透明的,但可能含有系统检查者需要的信息。由于敏感信息是隐藏于大量冗杂的环境数据中的,所以查询和分析环境数据必将消耗大量计算时间。专利系统先拷贝所有环境数据,然后查找拷贝数据里的标点符号,继而分析标点符号周围的字符,有意义的文本字符拷贝到目标文件中;并将遇到的非文本数据用空格代替,最终生成可以被商业处理器浏览的目标文件。该专利主要的不足在于1、直接对硬盘进行数据分析,即将目标硬盘要添加到其勘查系统中,系统才能工作。在面向勘查工作中的特殊应用背景下,如不能从犯罪嫌疑人的个人电脑中,拆除硬盘的情况下,该系统将无法工作。2、搜索大量环境数据,会造成勘查系统运行速度慢的问题。实际应用中,可能因系统运行长时间而没有适宜结论而提前结束系统,从而丧失找到某些敏感数据的机会。3、仅针对Windows操作系统,适用范围有待进一步扩展。
发明内容
本发明的目的在于克服现有技术中的不足,针对计算机证据的独特性,提供一种常用应用软件默认数据及缓冲数据勘查取证方法,使其解决背景技术的缺憾和不足,能面向多种勘查、侦破、取证工作的需要,对计算机犯罪嫌疑人的计算机,进行提取、搜索和分析,寻找到犯罪的证据。
本发明是在分析了多种应用软件的默认数据及缓冲数据、临时文件的定位的基础上作出的,所述的多种软件包括Office类、Wps、Wordpad、Notes等字处理类软件;Outlook、Exchange、Foxmail、Sendmail等电子邮件收发类软件;IE、Netscape等浏览器软件;ICQ、OICQ、Netmeeting等即时通信类软件;Telnet、FTP、WEB等常用网络连接服务软件;支持编程性语言(如VC、VB、BORLAND C++等)的默认数据及缓冲数据(临时文件)的在计算机上的存储位置。
本发明是通过以下技术方案实现的,本发明的方法具体步骤如下步骤1连接勘查计算机和目标计算机。建立勘查计算机与目标计算机之间的连接,就连接方式来说,集成第三方控件(GegeLink USB Network Adaptor)及操作系统网络控件实现了上述连接方式,支持并口、串口及USB、网络端口等4种;就连接对象来说,通过集成第三方控件(Samb、Dave)等支持Windows对Linux、Unix及Macintosh等操作系统之间的连接。这样,运行于Windows下的勘查核心程序可以对大部分状态下的目标机进行数据提取工作。
步骤2勘查机从目标机获取待分析的文件。通过在勘查计算机上指定的待勘查文件的文件格式和检索路径信息,从目标机通过连接拷贝符合上面检索条件的目标机文件到勘查计算机的硬盘存储器中。
步骤3对获取的待分析文件进行文件分析,从目标文件中寻找敏感信息。
步骤4勘查所有目标文件,如果所有文件分析完毕,执行步骤5;如果文件分析没有完毕,执行步骤3。
步骤5利用勘查结果报表工具,从数据库中提取检查结果,生成最终的敏感信息报告供用户浏览。
所述的敏感信息字符串是中文、英文及其他语言文字,及数字、标点符号组成的字符串。所述的检索条件为敏感信息字符串、字符串模式匹配规则。所述的字符串模式匹配规则,包括电话号码串、电子邮箱串及邮政编码串。
本发明方法不仅适用于计算机连接的场合,也可以适用于直接对可读存取设备的取证。
以下对本发明方法作进一步的说明,文件分析流程如下(1)读取调查员指定的关键字串及字符串模式到内存中。其中的关键字段按调查需要由调查人员指定;字符串模式可以调查人员编辑生成,电子邮箱地址、电话号码、邮政编码为默认供选的模式信息。
(2)将要分析的目标文件,按文件格式.doc、.xls、.ppt、.eml、.dbx、.html、.txt、.eml等打开文件,将文件的内容读取到内存中,等待进一步处理。
(3)根据文件格式判断文件的存储编码,如果是Word文件,执行(4);如果是ASII编码文件(如.eml、.html、.txt等),执行(5);如果是Unicode编码文件(如.dbx、.xls、.ppt等),执行(6)。
(4)将Word文件转换为.txt文件。
(5)对ASII编码文件或进行勘查、搜索,检索是否存在敏感信息串、敏感信息模式等;转向(7)。
(6)对Unicode编码文件进行勘查、搜索,检索是否存在敏感信息串、敏感信息模式等。
(7)将文件勘查的结果保存到数据库中,包括敏感信息所在文件中的语句、敏感信息所在文件相关信息文件摘要、所在存储路径信息、生成时间、修改时间、访问时间等。
●文件分析流程(4)中,所述的将Word文件转换成txt文件具体如下①在Word文件地址21CH-21FH处读出字符串并转化为整数,再减去文件头信息所占的位数,得到Word文件的实际存储内容长度。
②将文件的读取指针指到0A00H处,该处为Word文件实际存储内容的起点。
③按字符串缓冲区的大小读取文件一段到字符缓冲区。
④判断读取的字符缓冲区中是否有Unicode编码,出现Unicode编码的原因通常是由于文档中包含了表格等类信息,如果没有,执行⑤;如果有,执行⑥。
⑤将字符缓冲区的内容保存到临时文件中。
⑥将出现的Unicode编码的字符转换为ASII编码的字符串,存回字符缓冲区相应位置中。
⑦判断Word文件是否读完,如果全部读完,执行⑧;如果没有,执行步骤③。
⑧由临时文件获得转换结果,即.txt文件。
●文件分析流程(5)中,所述的对ASII编码文件进行勘查、搜索具体如下①从内存中的关键字(模式)组中读取一个关键字串(模式)。
②读取一段文件到文件缓冲区,查找是否存在与该关键字串(模式)相匹配。
③匹配该关键字(模式)成功,执行④;否则,执行⑤。
④将关键字(模式)及其所在文件中的位置及语句保存到数据库中。
⑤读取下一段文件到文件缓冲区。
⑥判断该文件是否已经读完,是,执行⑦;否则,执行②。
⑦判断内存中的关键字(模式)组是否存在未分析的关键字,是,执行①;否,执行⑧。
⑧将文件勘查、分析的结果保存到数据库中,包括文件中含有关键字串(模式)的内容、数量,文件的存储路径、产生时间、修改时间、访问时间等。
●文件分析流程(6)中,所述的对Unicode编码文件进行勘查、搜索具体如下①将关键字(模式)组中的所有字串均转换为Unicode编码。
②从内存中的关键字(模式)组中读取一个关键字串(模式)。
③读取一段文件到文件缓冲区,查找是否存在与该关键字串(模式)相匹配,匹配算法为KMP算法。
④匹配该关键字(模式)成功,执行⑤;否则,执行⑥。
⑤将关键字(模式)及其所在文件中的位置及语句保存到数据库中。
⑥读取下一段文件到文件缓冲区。
⑦判断该文件是否已经读完,是,执行⑧;否则,执行③。
⑧判断内存中的关键字(模式)组是否存在未分析的关键字,是,执行②;否,执行⑨。
⑨将文件勘查、分析的结果保存到数据库中,包括文件中含有关键字串(模式)的内容、数量,文件的存储路径、产生时间、修改时间、访问时间等。
本发明可以满足在如下场合应用需求1、公安人员怀疑一个网吧内的一台机器有犯罪嫌疑。如果要逐台搜索就成本太高、效率太低。公安人员只要在服务器上安装本套系统就可以对整个局域网的所有机器进行搜索,捕获犯罪机器、获取犯罪证据。另外,还可以监视整个局域网。2、公安人员已经缴获了一台计算机,通过使用本方法连接勘查机和嫌疑机,通过执行搜索程序把相关证据取到取证机中。3、公安人员突击检查犯罪嫌疑人机器,在犯罪嫌疑人还没有把机器关闭以前,获得机器的控制权。此时,可以对犯罪嫌疑人机器上的一些临时文件、缓存文件进行提取,获得证据。
本发明具有实质性特点和显著进步,本发明解决了背景技术的不足,支持并口、串口及USB、网络端口等多种计算机连接方式,通过计算机间的连接,直接对目标计算机进行勘查,不需要拆除犯罪嫌疑人的硬盘;支持多操作系统平台(Windows98、windows NT、windows XP、Macintosh、Linux、Unix),实现了多种平台下应用软件的数据提取和分析;搜索应用软件的默认数据及缓冲数据,及操作系统临时文件,与背景技术比较,搜索环境数据减少,应用程序数据增多,虽然找到敏感信息的数量可能减少,但搜索速度较之有明显提高;勘查程序和应用程序无缝结合,对勘查现场的计算机运行系统无破坏性;能面向多种勘查、侦破、取证工作的需要,对计算机犯罪嫌疑人的计算机,进行分析和搜索,寻找到犯罪的证据。
图1本发明方法流程2本发明文件分析流程3本发明Word文件转换为.txt文件流程4本发明搜索ASCII格式文件的流程5本发明搜索Unicode格式文件的流程图
具体实施例方式
如图1、图2和图3、图4、图5所示,结合本发明方法的内容提供以下实施例在一案件勘查过程中,取得了良好的实践效果,缴获了犯罪嫌疑人的计算机,用本项发明快速和高效的勘查和获取了有关犯罪的记录。
犯罪嫌疑人的计算机为东芝笔记本电脑,型号为satellite 2410,基本的硬件配置如下增强型SpeedStepTM技术的移动式英特尔奔腾4处理器1.70GHz-M,专为移动英特尔奔腾4处理器设计的英特尔845MP芯片组,400MHz系统前端总线,256MB PC2100 DDR内存,30G硬盘,10/100Mbps以太网端口;操作系统为Windows2000 Professional。
公安人员勘查机为组装台式电脑,基本硬件配置如下英特尔奔腾4处理器2.00GHz,英特尔845D芯片组,266M前端总线,256MB PC2100 DDR内存,80G硬盘,10/100Mbps以太网端口;操作系统为Windows2000 Server。
具体情况如下1、因为连接双方都有以太网端口,所以用双绞线建立公安人员的勘查机和犯罪嫌疑人的目标机网络连接。
2、公安人员在“搜索范围”对话框中选择待搜索的文件类型(系统默认提供)及待搜索的路径。实践操作中,选择了字处理类软件(.doc,.xls,.ppt),电子邮件收发类软件(.eml、.dbx),浏览器软件(.html),待搜索路径未选择(按下取消按钮),即搜索路径默认为目标机的所有可读存储器,在该实践环境下仅为目标机的硬盘。勘查系统根据各种文件类型文件存在的默认位置(即存贮路径)定位,开始对目标机进行搜索,将相应待分析文件拷贝到公安人员的勘查机上。
3、在勘查系统完成对目标机的按照指定文件类型进行搜索的工作以后,公安人员在“设定关键字(模式)”对话框设定要获取证据的关键字或模式;实际实践过程中,公安人员输入关键字为“法轮功”,然后公安人员点击“分析”按钮,勘察系统开始对拷贝到勘查计算机上的文件开始进行敏感信息匹配。
4、判断目标机符合指定文件类型的文件是否都已勘察,若勘察为结束,勘察系统继续勘察所有目标文件。
5、所有文件勘查完毕,公安人员点击“结果浏览”,以html形式显示出了所有带有关键字为“法轮功”的.doc、.xls、.ppt、.eml.、dbx、.html文件及其临时文件并包括相应的文件信息。实际检索出满足勘查条件的文件2000多个,满足了公安人员的勘查要求。
具体实施效果(1)运行速度快,能在短时间内搜索出带有敏感信息的多种文件,有助于快速掌握现场证据;(2)配置灵活,在运行时,有多个选项可供选择,以适应不同情况下的应用;(3)无须在待搜索的目标机上安装,即可使用,有助于提高办公效率,且不破坏现场;(4)界面简洁,简单易用,有助于系统的普及。
权利要求
1.一种常用应用软件默认数据及缓冲数据勘查取证方法,其特征在于,具体步骤如下步骤1连接勘查计算机和目标计算机,支持并口、串口及USB、网络端口,通过集成第三方控件支持Windows对Linux、Unix及Macintosh操作系统之间的连接,运行于Windows下的勘查核心程序能对大部分状态下的目标机进行数据提取工作;步骤2勘查机从目标机获取待分析的文件,通过在勘查计算机上指定的待勘查文件的文件格式和检索路径信息,从目标机通过连接拷贝符合上面检索条件的目标机文件到勘查计算机的硬盘存储器中;步骤3对获取的待分析文件进行文件分析,从目标文件中寻找敏感信息,步骤4勘查所有目标文件,如果所有文件分析完毕,执行步骤5,如果文件分析没有完毕,执行步骤3;步骤5利用勘查结果报表工具,从数据库中提取检查结果,生成最终的敏感信息报告供用户浏览。
2.根据权利要求1所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,文件分析流程如下(1)读取指定的关键字串及字符串模式到内存中其中的关键字段按调查需要指定;字符串模式可编辑生成,电子邮箱地址、电话号码、邮政编码为默认共选的模式信息;(2)将要分析的目标文件,按文件格式.doc、.xls、.ppt、.eml、.html、.txt、.eml打开文件,将文件的内容读取到内存中,等待进一步处理;(3)根据文件格式判断文件的存储编码,如果是Word文件,执行(4);如果是ASII编码文件,执行(5);如果是Unicode编码文件,执行(6);(4)将Word文件转换为.txt文件;(5)对ASII编码文件进行勘查、搜索,检索是否存在敏感信息串、敏感信息模式;(6)对Unicode编码文件进行勘查、搜索,检索是否存在敏感信息串、敏感信息模式;(7)将文件勘查的结果保存到数据库中,包括敏感信息所在文件中的语句、敏感信息所在文件相关信息文件摘要、所在存储路径信息、生成时间、修改时间、访问时间。
3.根据权利要求2所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,文件分析流程(4)中,所述的将Word文件转换成txt文件具体如下①在Word文件地址21CH-21FH处读出字符串并转化为整数,再减去文件头信息所占的位数,得到Word文件的实际存储内容长度。②将文件的读取指针指到0A00H处,该处为Word文件实际存储内容的起点;③按字符串缓冲区的大小读取文件一段到字符缓冲区;④判断读取的字符缓冲区中是否有Unicode编码,出现Unicode编码的原因通常是由于文档中包含了表格等类信息,如果没有,执行⑤;如果有,执行⑥;⑤将字符缓冲区的内容保存到临时文件中;⑥将出现的Unicode编码的字符转换为ASII编码的字符串,存回字符缓冲区相应位置中;⑦判断Word文件是否读完,如果全部读完,执行⑧;如果没有,执行步骤③;⑧由临时文件获得转换结果,即.txt文件。
4.根据权利要求2所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,文件分析流程(5)中,对ASII编码文件进行勘查、搜索具体如下①从内存中的关键字或者关键字模式组中读取一个关键字串或者关键字串模式;②读取一段文件到文件缓冲区,查找是否存在与该关键字串或者关键字串模式相匹配;③匹配该关键字或者关键字模式成功,执行④;否则,执行⑤;④将关键字或者关键字模式及其所在文件中的位置及语句保存到数据库中;⑤读取下一段文件到文件缓冲区;⑥判断该文件是否已经读完,是,执行⑦;否则,执行②;⑦判断内存中的关键字或者关键字模式组是否存在未分析的关键字,是,执行①;否,执行⑧。
5.根据权利要求2所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,文件分析流程(6)中,所述的对Unicode编码文件进行勘查、搜索具体如下①将关键字或者关键字串模式组中的所有字串均转换为Unicode编码;②从内存中的关键字或者关键字模式组中读取一个关键字串或者关键字串模式;③读取一段文件到文件缓冲区,查找是否存在与该关键字串或者关键字串模式相匹配,匹配算法为KMP算法;④匹配该关键字或者关键字模式成功,执行⑤;否则,执行⑥;⑤将关键字或者关键字模式及其所在文件中的位置及语句保存到数据库中;⑥读取下一段文件到文件缓冲区;⑦判断该文件是否已经读完,是,执行⑧;否则,执行③;⑧判断内存中的关键字或者关键字模式组是否存在未分析的关键字,是,执行②;否,执行⑨;⑨将文件勘查、分析的结果保存到数据库中,包括文件中含有关键字串或者关键字串模式的内容、数量,文件的存储路径、产生时间、修改时间、访问时间。
6.根据权利要求2或4或5所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,所述的检索条件为敏感信息字符串、字符串模式匹配规则;敏感信息字符串是中文、英文及其他语言文字,及数字、标点符号组成的字符串。
7.根据权利要求6所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,所述的字符串模式匹配规则,包括电话号码串、电子邮箱串及邮政编码串。
8.根据权利要求1所述的常用应用软件默认数据及缓冲数据勘查取证方法,其特征是,适用于计算机连接的场合,或者适用于直接对可读存取设备的取证。
全文摘要
常用应用软件默认数据及缓冲数据勘查取证方法属于计算机应用领域。方法如下步骤1连接勘查计算机和目标计算机;步骤2勘查机从目标机获取待分析的文件,通过在勘查计算机上指定的待勘查文件的文件格式和检索路径信息,从目标机通过连接拷贝符合上面检索条件的目标机文件到勘查计算机的硬盘存储器中;步骤3对获取的待分析文件进行文件分析,从目标文件中寻找敏感信息;步骤4勘查所有目标文件,根据结果执行步骤5或步骤3;步骤5利用勘查结果报表工具,从数据库中提取检查结果,生成最终的敏感信息报告供用户浏览。本发明能面向多种勘查、侦破、取证工作的需要,对计算机犯罪嫌疑人的计算机,进行分析和搜索,寻找到犯罪的证据。
文档编号G06F17/30GK1445665SQ03116800
公开日2003年10月1日 申请日期2003年5月8日 优先权日2003年5月8日
发明者李明禄, 刘月琴, 吴华, 沈海华, 洪锋 申请人:上海交通大学