一种电子证据取证方法和装置与流程

本发明涉及电子证据保全技术领域，特别涉及一种电子证据取证方法和装置。

背景技术：

电子证据与法律上的传统证据类型在表现形式、保存方式及安全性等方面存在很大的不同。电子证据是电子技术的产物，依赖于计算机技术、网络技术、存储技术等技术存在，并可以以文本影像、图片、声音、图画等形式存在并在网络中传播。电子证据实质上是一堆按编码规则处理成的“0”和“1”，这些编码数据以声、光、电、磁等形式存在于媒体介质之上的，是无法直接观看的无形体，看不见，摸不着，只有通过特定的设备和技术才能显示为肉眼可见的有形内容。这就导致电子证据存储、传输和使用过程中，极易遭受到外来的破坏，使其被篡改的面目全非甚至消失。因此，电子证据通常比较脆弱，在作为证据使用的过程中很难被审查、认定其真实性。

基于此，电子证据保全成为电子数据时代的认定电子证据时效性、合法性和真实性的有效手段，在互联网高速发展的今天，由于相关法律的滞后性，电子数据保全还是一个新生的行业。在电子证据保全过程中，真实有效的电子证据的获取和认定是比较难解决的问题，通常电子证据的形成时间、公开方式、是否能为公众获知等都是很难界定的，因此，如何获取真实、有效的电子证据并保全下来，在后续的司法过程中作为有效的证据使用，则成为电子证据保全过程中亟待解决的技术问题。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种电子证据取证方法和装置。

第一方面，本发明实施例提供一种电子证据取证方法，包括：

获取用户的取证指令启动取证流程：根据用户选择，启动录屏操作，录制屏幕上显示的操作页面；和/或获取用户输入的取证链接地址，打开所述取证链接地址对应的至少一级链接页面，截取各链接页面截图；

获取用户的停止指令，停止取证流程，得到包括链接页面截图文件和/或录屏文件的保全数据；

获取用户的提交指令，将得到的保全数据提交给取证服务器。

在一些可选的实施例中，所述获取用户的取证指令启动取证流程，具体包括：

根据用户的页面启动指令，启动取证页面，所述取证页面包括用于启动取证流程的取证按钮、用于选择是否进行录屏操作的录屏选择框、用于指令提交取证文件的提交按钮、用于输入取证链接地址的链接输入框中的至少一个；

捕获到用户点击所述取证按钮时，启动取证流程。

在一些可选的实施例中，所述录制屏幕上显示的操作页面，具体包括：

采用选定的录屏分辨率和设定抓帧频率开始录屏，直至获取到用户的停止指令时，结束录屏操作，得到录屏文件。

在一些可选的实施例中，所述将得到的保全数据提交给取证服务器，具体包括：

计算得到的各链接页面截图文件的校验值，和/或计算得到各录屏文件的校验值；

得到的保全数据包括：用户信息和授时时间信息，所述保全数据还可以包括：截图文件流及截图文件流中各截图文件的校验值、和/或录屏文件流及录屏文件流中各录屏文件的校验值；

将得到的保全数据进行加密后，提交给取证服务器。

在一些可选的实施例中，上述方法，还包括：

启动取证页面之前，检测系统中是否已安装取证客户端；

若未安装，则检测系统类型，向用户提供针对检测到的系统类型的客户端安装链接，根据用户安装指令，获取客户端安装文件，引导用户完成取证客户端的安装；

若已安装，根据用户的启动指令，启动取证页面。

第二方面，本发明实施例提供一种电子证据取证装置，包括取证模块，停止模块，提交模块。

取证模块，用于获取用户的取证指令启动取证流程：根据用户选择，启动录屏操作，录制屏幕上显示的操作页面；和/或获取用户输入的取证链接地址，打开所述取证链接地址对应的至少一级链接页面，截取各链接页面截图；

停止模块，用于获取用户的停止指令，停止取证流程，得到包括链接页面截图文件和/或录屏文件的保全数据；

提交模块，用于获取用户的提交指令，将得到的保全数据提交给取证服务器。

在一些可选的实施例中，所述取证模块，具体用于：

根据用户的页面启动指令，启动取证页面，所述取证页面包括用于启动取证流程的取证按钮、用于选择是否进行录屏操作的录屏选择框、用于指令提交取证文件的提交按钮、用于输入取证链接地址的链接输入框中的至少一个；

捕获到用户点击所述取证按钮时，启动取证流程。

在一些可选的实施例中，所述取证模块，具体用于：

采用选定的录屏分辨率和设定抓帧频率开始录屏，直至获取到用户的停止指令时，结束录屏操作，得到录屏文件。

在一些可选的实施例中，所述提交模块，具体用于：

计算得到的各链接页面截图文件的校验值，和/或计算得到各录屏文件的校验值；

得到的保全数据包括：用户信息和授时时间信息，所述保全数据还可以包括：截图文件流及截图文件流中各截图文件的校验值、和/或录屏文件流及录屏文件流中各录屏文件的校验值；

将得到的保全数据进行加密后，提交给取证服务器。

在一些可选的实施例中，上述电子证据取证装置，还包括：

启动模块，用于启动取证页面之前，检测系统中是否已安装取证客户端；

若未安装，则检测系统类型，向用户提供针对检测到的系统类型的客户端安装链接，根据用户安装指令，获取客户端安装文件，引导用户完成取证客户端的安装；

若已安装，根据用户的启动指令，启动取证页面。

本发明实施例提供的上述技术方案的有益效果至少包括：

取证客户端根据用户的取证指令，实时的选择录屏和/或截屏的取证方式，获取保全数据并提交，能够获取到真实、有效的电子证据，保证电子证据的可靠性。

取证客户端提交得到的各链接页面截图文件和/或各录屏文件时，一并提交计算的其对应的校验值；将得到的保全数据进行加密后再提交给取证服务器，双重保证，保证了保全数据的正确提交，不被增减篡改。

取证客户端提交的保全数据中包含用户信息，和通过服务器端获取计算的授时时间，使得保全数据能够准确的定位到用户及取证的具体时间，保证保全数据及时提交，从而进一步保证了数据取证操作的真实性、可靠性，提高了保全数据的有效性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例一中电子证据取证方法的流程图；

图2为本发明实施例二中电子证据取证方法的具体实现流程图；

图3为本发明实施例二中客户端初始web页面示例图；

图4为本发明实施例二中取证页面示例图；

图5为本发明实施例二中取证页面状态变化后示例图；

图6为本发明实施例二中取证停止后恢复的取证页面示例图；

图7为本发明实施例三中电子证据取证方法的具体实现流程图；

图8为本发明实施例三中取证页面示例图；

图9为本发明实施例三中取证页面状态变化后示例图；

图10为本发明实施例三中取证停止后恢复的取证页面示例图；

图11为本发明实施例中电子证据取证装置的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为了解决现有技术中存在的难以保证电子证据取证的真实性、有效性的问题，本发明实施例提供一种电子证据取证方法，能够获取到真实、有效的电子证据，保证电子证据的可靠性。

实施例一

本发明实施例一提供一种电子证据取证方法，其流程如图1所示，包括如下步骤：

步骤s101：获取用户的取证指令启动取证流程。

客户端根据用户的页面启动指令，启动取证页面，所述取证页面包括用于启动取证流程的取证按钮、用于选择是否进行录屏操作的录屏选择框、用于指令提交取证文件的提交按钮、用于输入取证链接地址的链接输入框；取证客户端捕获到用户点击所述取证按钮时，启动取证流程。

用户有电子证据需要保全时，在启动取证流程之前，首先要启动取证页面。用户进入到客户端初始web页面，客户端根据用户的启动指令启动取证页面。

启动取证页面之前，客户端检测用户的操作系统中是否已安装取证客户端。若未安装，则客户端检测用户操作系统的类型，向用户提供针对检测到的系统类型的客户端安装链接，根据用户安装指令，获取客户端安装文件，引导用户完成取证客户端的安装。若已安装，客户端根据用户的启动指令，启动取证页面。

客户端根据用户的启动指令启动取证页面的同时，获取录屏限制时间和取证服务器上传的用户信息。

所述用户信息包括：申请人信息、取证主体即当前平台登陆者信息。

所述录屏限制时间，其设置具体可以选用下列方式中的一种来实现。

方式一：用户端根据要保全的数据预估所需取证时间，在客户端允许的范围内设定限制时间。

方式二：客户端预先根据系统取证和传输的需求设置录屏限制时间。

用户启动取证页面后，可进一步确定启动取证流程，取证客户端获取用户的取证指令启动取证流程。

取证客户端获取用户的取证指令启动取证流程的同时通过取证服务器获取授时时间，所述授时时间具体可以通过下列两种方式来获取。

方式一：客户端在获取到用户的启动指令启动取证页面时，通过取证服务器获取在取证页面启动时计算的授时时间。

方式二：取证服务器在获取到用户的取证指令启动取证流程时，通过取证服务器获取在取证开始时计算的授时时间。

步骤s102：：根据用户选择，启动录屏操作，录制屏幕上显示的操作页面。

取证客户端采用选定的录屏分辨率和设定抓帧频率开始录屏，直至获取到用户的停止指令时，结束录屏操作，得到录屏文件。

取证客户端内嵌浏览器，取证客户端根据获取的取证链接地址，将对应网页显示在浏览器区域中。

取证客户端根据用户选择，启动录屏操作，录制屏幕上显示的操作页面，采用选定的录屏分辨率和设定抓帧频率开始录屏。录屏分辨率一般设为800*600，可根据取证的实际需求来调整，但选定录屏分辨率不可超过用户显示器最高分辨率。抓帧频率的设定一般为每秒8帧，这样既能满足取证精度的要求又不至于过多的加大取证客户端的计算量，抓帧频率也可根据取证的实际需求来调整。取证客户端录制屏幕上显示的操作页面，把显卡输出的信息流截取下来，转换成视频流。设置小视频流文件即小录屏文件的大小，例如设置每个小录屏文件的大小为1m，则每1m大小的视频流生成一个小录屏文件。直至获取到用户的停止指令时，结束录屏操作。

上述方法中，若设置的录屏限制时间到达后，取证客户端没有接受到用户的停止指令，取证客户端可以直接中止录屏并结束取证，也可以直接结束录屏但不结束取证，还可以由取证客户端向用户发出本次取证已到达时间限制的通知，并根据用户的选择确定是继续取证还是停止取证。

步骤s103：获取用户输入的取证链接地址，打开所述取证链接地址对应的至少一级链接页面，截取各链接页面截图。

根据用户选择，步骤s102和步骤s103执行顺序不分先后，可以两个步骤都执行，或只执行其中一个步骤。用户可以选择只进行录屏取证，或只进行截图取证，或在录屏取证的同时还进行截图取证。取证客户端根据用户选择，启动录屏操作，录制屏幕上显示的操作页面；和/或获取用户输入的取证链接地址，打开所述取证链接地址对应的至少一级链接页面，截取各链接页面截图。

若用户选择了截图取证，取证客户端获取到用户的截图取证指令后，启动截图操作，按上述方法选定截图分辨率，截取当前浏览器区域中显示的画面作为证据上传的截图图片。

步骤104：获取用户的停止指令，停止取证流程，得到包括链接页面截图文件和/或录屏文件的保全数据。

取证客户端获取用户的停止指令后，停止取证流程，得到包括链接页面截图文件和/或录屏文件的保全数据。

取证服务器将得到的小录屏文件合成为完整的大录屏文件；可选的，取证客户端不合成小录屏文件，而是直接全部将其提交给取证服务器。

步骤105：获取用户的提交指令，将得到的保全数据提交给取证服务器。

取证客户端计算得到的各链接页面截图文件的校验值，和/或计算得到各录屏文件的校验值；得到的保全数据包括：用户信息、授时时间信息，还包括：截图文件流及截图文件流中各截图文件的校验值、和/或录屏文件流及录屏文件流中各录屏文件的校验值；将得到的保全数据进行加密后，提交给取证服务器。

取证客户端获取用户的提交指令后，按选定的计算方法计算得到的各链接页面截图文件的的hash值作为其校验值，和/或计算得到各录屏文件的hash值作为其校验值；将包含了用户信息、通过取证服务器获取的授时时间信息、截图文件流及截图文件流中各截图文件的校验值、和/或录屏文件流及录屏文件流中各录屏文件的校验值的保全数据进行压缩处理；按选定的加密方法将压缩的保全数据加密后提交给取证服务器。继续后续保全操作。

实施例二

本发明实施例二提供电子证据取证方法的一种具体实现过程，以包含录屏取证为例，其流程如图2所示，包括如下步骤：

步骤s201～步骤s210参照图2a。

步骤s201：展示客户端初始web页面。

用户有电子证据需要保全时，首先要进入到客户端初始web页面。客户端初始web页面里的内容示例图如图3所示，包括申请人用户名输入框、启动取证客户端按钮和取证客户端安装程序的下载地址打开按钮。

客户端获取到用户输入的用户名信息后，检测该用户名是否已注册，若已注册，继续后续操作；若未注册，提示用户进行新用户注册。

步骤s202：检测用户的操作系统中是否已安装取证客户端。

用户启动取证页面之前，客户端检测用户的操作系统中是否已安装取证客户端。若未安装，执行步骤s203；若已安装，执行步骤s204。

上述步骤s201进入到客户端初始web页面时，可选的，如上述步骤s202所述的，检测是否安装了取证客户端，若检测到已安装，点亮启动客户端按钮，使其处于可操作状态，若检测到未安装，则启动客户端按钮呈灰色，使其处于不可操作状态。也可选的，不进行主动检测，启动客户端保持可操作状态，而由用户点击启动客户端或安装程序的下载地址打开按钮来进行选择操作。

步骤s203：引导用户完成取证客户端的安装。

若客户端检测到用户的操作系统中没有安装取证客户端，则客户端检测用户操作系统的类型，向用户提供针对检测到的系统类型的客户端安装链接。若用户选择安装的话，点击取证客户端安装程序的下载地址打开按钮，客户端根据用户安装指令，获取客户端安装文件，引导用户完成取证客户端的安装。

步骤s204：获取用户的启动指令启动取证页面。

若客户端检测到用户的操作系统中已经安装取证客户端，则在捕获到用户点击启动客户端按钮时，根据用户的启动指令，启动取证页面，并获取取证服务器上传的用户信息，通过取证服务器获取授时时间，可以选用北斗授时时间。启动取证页面时，还可以加载相关的用户信息，用户信息包括：申请人信息、取证主体即当前平台登陆者信息，具体内容见图4所示。用户需要录屏取证时，勾选是否录屏选择框，可选的，也可以默认是录屏的，而不需要用户去勾选。取证服务器获取到用户的录屏指令后，确定录屏限制时间，取证页面示例图如图4所示，包括：

订单编号，客户端初始化时生成本次取证订单编号，订单编号的字符串组成可以根据通过设置的生成规则限定，比如：dd+当前时间(精确到毫秒)+6位随机数；

申请人信息，包括取证服务器传递的申请人姓名和申请人id，及申请人账户余额；

取证主体信息，取证服务器传递的当前平台登陆者的信息，包括当前登陆者的姓名和用户名；

取证按钮，用于启动取证流程，该按钮点击后开始取证，画面初始化或用户未点击取证按钮时，除是否录屏选择框可用以外，其他项目均不可用；

提交按钮，用于提交获取的保全数据，当取证停止后，提交按钮变可用；

是否录屏选择框，用于供用户选择是否进行录屏操作；

录屏进度条，显示录屏限制时间和录屏进度，不录屏的场合，该进度条无效；

授时时间，显示从取证服务器获取的授时时间；

地址栏，用于输入要打开的链接地址，由于取证过程中调用的网页多样性，取证客户端内嵌浏览器可对目标网页进行全面查看，在后续流程中，用户输入相应网页地址后，点击虫眼镜，取证客户端将对应网页显示在浏览器区域中。

当前url栏，将当前显示的网页地址显示在区域中；

当前ip地址栏，将当前显示页面的ip地址显示在区域中。

步骤s205：打开用户输入的取证链接地址。

用户在地址栏中输入要取证的链接地址，取证客户端获取到该地址后将对应网页显示在浏览器区域中。

步骤s206：取证客户端获取用户的取证指令启动取证流程。

用户点击了取证按钮后，取证客户端获取用户的取证指令启动取证流程，开始录屏取证。图5为取证过程中的取证页面状态变化后的示例图，除了包括图4中描述的订单编号、申请人信息、取证主体信息、提交按钮、是否录屏选择框、录屏进度条、授时时间、地址栏、当前url栏和当前ip地址栏，取证按钮已经改变显示为“取证中”，还包括：

截图取证按钮，用于获取用户的截图指令；

停止取证按钮，用于获取用户的停止取证指令。

且地址栏、当前url栏和当前ip地址栏显示了相应的信息；同时当前访问dns解析栏，显示着验证当前网址dns是否有异常存在的结果。

取证客户端采用选定的录屏分辨率和设定抓帧频率开始录屏，录制屏幕上显示的操作页面，把显卡输出的信息流截取下来，转换成视频流。设置小视频流文件即小录屏文件的大小，例如设置每个小录屏文件的大小为1m，则每1m大小的视频流生成一个小录屏文件。直至获取到用户的停止指令时，结束录屏操作。

上述方法中，若设置的录屏限制时间到达后，取证客户端没有接受到用户的停止指令，取证客户端可以直接中止录屏并结束取证，也可以直接结束录屏但不结束取证，还可以由取证客户端向用户发出本次取证已到达时间限制的通知，并根据用户的选择确定是继续取证还是停止取证。

步骤s207：根据用户的截图取证指令启动截图操作，获得截图文件。

用户需要截屏取证时，点击截图取证按钮，取证客户端根据用户的截图取证指令启动截图操作，选定截图分辨率，截取当前浏览器区域中显示的画面作为证据上传的截图图片，截图图片显示在截图取证过程中的页面中，截图完毕后，用户输入文件名称，点击确定按钮，取证客户端获取到该确定指令后，保存获取的截图图片。

步骤s208：获取用户的停止指令。

用户确定取证结束时，点击停止取证按钮，取证客户端根据用户的停止指令停止取证，取证客户端恢复到最初的取证页面，提交按钮变为可用，本次取证若有至少一次截图取证的话，截取的图片截图在列表中显示，如图6所示。

若取证客户端在获取到用户的停止指令后检测到还未进行截图取证的话，弹出还没有截图取证的提示框。若用户确定不进行截图取证要停止取证的话，点击确定按钮，取证客户端捕获到用户确定停止取证的指令后，停止取证；若用户不想结束取证，点击取消按钮，取证客户端捕获到用户确定不停止取证的指令后，不结束取证，继续获取用户的指令进行后续取证工作。

步骤s209：获取保全数据。

取证客户端获取用户的停止指令后，停止取证流程，获得保全数据包括用户信息、授时时间信息、截图文件流、和/或录屏文件流。

所述录屏文件流可以包括所有小录屏文件；

可选的，所述录屏文件流包括所有小录屏文件和取证客户端将所有小录屏文件合成的完整录屏文件。

步骤s210：获取用户的提交指令。

用户确定要提交取证数据后，点击提交按钮，取证客户端获取用户的提交指令。

取证客户端捕获到用户的取证指令后检测用户是否有未提交的待保全数据，若是弹出还未提交待保全数据的提示框，提示用户未提交待保全数据，是确定重新取证还是取消重新取证。若取证客户端捕获到用户确定重新取证的指令，删除已获取的待保全数据，重新取证；若取证客户端捕获到用户取消重新取证的指令的话，取消重新取证，等待用户新的指令进行后续操作。

若取证客户端捕获到用户的取证指令后检测用户没有未提交的待保全数据，继续执行步骤s211。

步骤s211～步骤s220参照图2b。

步骤s211：计算各录屏文件和/或截图文件的校验值。

取证客户端获取用户的提交指令后，计算各录屏文件和/或截图文件的hash值，作为其校验值。

hash值计算方法可以选择安全哈希算法(securehashalgorithm，sha1)算法，可以选择消息摘要算法第五版(messagedigestalgorithm，md5)算法，也可以选择其他算法。

步骤s212：合成完整的保全文件。

取证客户端将获取的用户信息、授时时间信息、截图文件流及截图文件流中各截图文件的校验值、和/或录屏文件流及录屏文件流中各录屏文件的校验值合成为完整的保全文件。

步骤s213：压缩保全文件。

取证客户端将上述完整的保全文件进行压缩，可以采用zip工具进行压缩，并且计算压缩后完整的保全文件的大小。

步骤s214：计算本次取证费用。

取证客户端根据计算的压缩后的保全文件的大小来确定本次取证费用。

步骤s215：判断用户的账户余额是否大于或等于本次取证费用。

取证客户端根据上述方法中计算的本次取证费用和从取证服务器端获取的用户账户余额来判断用户的账户余额是否大于或等于本次取证费用。若是，执行步骤s217,；若否，执行步骤s216。

步骤s216：通知用户续费。

若取证客户端判断用户的账户余额小于本次取证费用，向用户发出余额不足的通知消息，通知用户账户余额、本次取证费用及账户余额减去本次取证费用的差额。取证客户端确定用户续费后，回到步骤s215，直至判断用户的账户余额大于或等于本次取证费用。

如不需要收费，则不执行步骤s214-步骤s216，步骤s214-步骤s216计费的操作也可以在流程结束后再执行。

步骤s217：获取用户的确定提交指令。

取证客户端确定用户的账户余额大于或等于本次取证费用时，进一步提示用户是否确定提交保全数据，弹出用户是否确定提交保全数据的提示框，提示用户是否确定提交保全数据的页面包含最终确定的所要提交保全文件的大小、本次取证费用。所述本次取证费用可以是用户根据系统提示输入的，也可以是系统自动显示的。用户输入本次取证命名，点击提交按钮后，取证客户端获取用户的确定提交指令。

步骤s218：加密压缩后的保全文件。

取证客户端获取用户的确定提交指令后，将上述压缩后的完整的保全数据进行加密。所用加密方法，可以选择安全哈希算法(securehashalgorithm，sha1)算法，可以选择消息摘要算法第五版(messagedigestalgorithm，md5)算法，也可以选择高级加密标准(advancedencryptionstandard，aes128)加密算法，还可以选择其他加密算法。

步骤s219：将加密后的保全文件提交给取证服务器。

取证客户端将加密后的保全文件提交给取证服务器，向用户发出证据固化完成的信息框。

步骤s220：继续后续保全流程。

实施例三

本发明实施例三提供电子证据取证方法的一种具体实现过程，以不包含录屏取证、只进行截屏取证为例，其流程如图7所示，包括如下步骤：

步骤s701～步骤s710参照图7a。

步骤s701：客户端展示客户端初始web页面。

步骤s702：检测用户的操作系统中是否已安装取证客户端。

用户启动取证页面之前，客户端检测用户的操作系统中是否已安装取证客户端。若未安装，执行步骤s703；若已安装，执行步骤s704。

上述步骤s701进入到客户端初始web页面时，可选的，如上述步骤s702所述的，检测是否安装了取证客户端，若检测到已安装，点亮启动客户端按钮，使其处于可操作状态，若检测到未安装，则启动客户端按钮呈灰色，使其处于不可操作状态。也可选的，不进行主动检测，启动客户端保持可操作状态，而由用户点击启动客户端或安装程序的下载地址打开按钮来进行选择操作。

步骤s703：客户端引导用户完成取证客户端的安装。

步骤s704：取证客户端获取用户的启动指令启动取证页面。

步骤s704与上述步骤204的区别是不选择录屏取证。若是否录屏选择框是要用户勾选的，用户不勾选是否录屏选择框，取证服务器便可捕获到不进行录屏取证的指令；若是否录屏选择框是默认勾选的，用户将默认的勾选点掉，取证服务器便可捕获到不进行录屏取证的指令。则不显示录屏进度条，取证页面示例图如图8所示，与图4的区别是：是否录屏选择框处于不勾选的状态，不显示取证进度条和录屏限制时间。

步骤s705：取证客户端打开用户输入的取证链接地址。

步骤s706：取证客户端获取用户的取证指令启动取证流程。

用户点击了取证按钮后，取证客户端获取用户的取证指令启动取证流程，与上述步骤206的区别是此时并没有真正的执行取证操作，只是处于待命状态，等待获取用户的截图取证的指令后才执行取证操作。

图9为取证过程中的取证页面状态变化后的示例图。图9与图5的区别和图8与图4的区别一样，也是：是否录屏选择框处于不勾选的状态，不显示取证进度条和录屏限制时间。

步骤s707：取证客户端根据用户的截图取证指令启动截图操作，获得截图文件。

步骤s708：取证客户端获取用户的停止指令。

取证客户端根据用户的停止指令停止取证，取证客户端恢复到最初的取证页面，如图10所示，图10与图6的区别同上述图9与图5的区别和图8与图4的区别。

步骤s709：取证客户端获取保全数据。

取证客户端获取用户的停止指令后，停止取证流程，获得保全数据包括用户信息、授时时间信息、截图文件流。

步骤s710：取证客户端获取用户的提交指令。

步骤s711～步骤s720参照图7b。

步骤s711：取证客户端计算各截图文件的校验值。

取证客户端获取用户的提交指令后，计算各截图文件的hash值，作为其校验值。

步骤s712：取证客户端合成完整的保全文件。

取证客户端将获取的用户信息、授时时间信息、截图文件流及截图文件流中各截图文件的校验值合成为完整的保全文件。

步骤s713：取证客户端压缩保全文件。

步骤s714：取证客户端计算本次取证费用。

步骤s715：取证客户端判断用户的账户余额是否大于或等于本次取证费用。

取证客户端根据上述方法中计算的本次取证费用和从取证服务器端获取的用户账户余额来判断用户的账户余额是否大于或等于本次取证费用。若是，执行步骤s717,；若否，执行步骤s716。

步骤s716：取证客户端通知用户续费。

若取证客户端判断用户的账户余额小于本次取证费用，向用户发出余额不足的通知消息，通知用户账户余额、本次取证费用及账户余额减去本次取证费用的差额。取证客户端确定用户续费后，回到步骤s715，直至判断用户的账户余额大于或等于本次取证费用。

如不需要收费，则不执行步骤s714-步骤s716，步骤s714-步骤s716计费的操作也可以在流程结束后再执行。

步骤s717：取证客户端获取用户的确定提交指令。

步骤s718：取证客户端加密压缩后的保全文件。

步骤s719：取证客户端将加密后的保全文件提交给取证服务器。

步骤s720：继续后续保全流程。

上述各实施例的方法中，取证客户端根据用户的取证指令，实时的选择录屏和/或截屏的取证方式，获取保全数据并提交，能够获取到真实、有效的电子证据，保证电子证据的可靠性。

取证客户端提交得到的各链接页面截图文件和/或各录屏文件时，一并提交计算的其对应的校验值；将得到的保全数据进行加密后再提交给取证服务器，双重保证，保证了保全数据的正确提交，不被增减篡改。

取证客户端提交的保全数据中包含用户信息，和通过服务器端获取计算的北斗授时时间，使得保全数据能够准确的定位到用户及取证的具体时间，保证保全数据及时提交，从而进一步保证了数据取证操作的真实性、可靠性，提高了保全数据的有效性。

基于同一发明构思，本发明实施例还提供一种电子证据取证装置，该装置可以设置在电子证据保全系统中，该装置的结构如图11所示，包括：取证模块1101，停止模块1102，提交模块1103。

取证模块1101，用于获取用户的取证指令启动取证流程：根据用户选择，启动录屏操作，录制屏幕上显示的操作页面；和/或获取用户输入的取证链接地址，打开所述取证链接地址对应的至少一级链接页面，截取各链接页面截图。

停止模块1102，用于获取用户的停止指令，停止取证流程，得到包括链接页面截图文件和/或录屏文件的保全数据。

提交模块1103，用于获取用户的提交指令，将得到的保全数据提交给取证服务器。

在一些可选的实施例中，所述取证模块1101，具体用于：

根据用户的页面启动指令，启动取证页面，所述取证页面包括用于启动取证流程的取证按钮、用于选择是否进行录屏操作的录屏选择框、用于指令提交取证文件的提交按钮、用于输入取证链接地址的链接输入框中的至少一个；

捕获到用户点击所述取证按钮时，启动取证流程。

在一些可选的实施例中，所述取证模块，具体用于采用选定的录屏分辨率和设定抓帧频率开始录屏，直至获取到用户的停止指令时，结束录屏操作，得到录屏文件。

在一些可选的实施例中，所述提交模块1103，具体用于计算得到的各链接页面截图文件的校验值，和/或计算得到各录屏文件的校验值；得到的保全数据包括：用户信息和授时时间信息，所述保全数据还可以包括：截图文件流及截图文件流中各截图文件的校验值、和/或录屏文件流及录屏文件流中各录屏文件的校验值；将得到的保全数据进行加密后，提交给取证服务器。

在一些可选的实施例中，上述电子证据取证装置，还包括启动模块1104，用于启动取证页面之前，检测系统中是否已安装取证客户端；若未安装，则检测系统类型，向用户提供针对检测到的系统类型的客户端安装链接，根据用户安装指令，获取客户端安装文件，引导用户完成取证客户端的安装；若已安装，根据用户的启动指令，启动取证页面。

关于上述实施例中的电子证据取证装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

除非另外具体陈述，术语比如处理、计算、运算、确定、显示等等可以指一个或更多个处理或者计算系统、或类似设备的动作和/或过程，所述动作和/或过程将表示为处理系统的寄存器或存储器内的物理(如电子)量的数据操作和转换成为类似地表示为处理系统的存储器、寄存器或者其他此类信息存储、发射或者显示设备内的物理量的其他数据。信息和信号可以使用多种不同的技术和方法中的任何一种来表示。例如，在贯穿上面的描述中提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

本领域技术人员还应当理解，结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性，上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件，取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用，以变通的方式实现所描述的功能，但是，这种实现决策不应解释为背离本公开的保护范围。

结合本文的实施例所描述的方法或者算法的步骤可直接体现为硬件、由处理器执行的软件模块或其组合。软件模块可以位于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、移动磁盘、cd-rom或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质连接至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于asic中。该asic可以位于用户终端中。当然，处理器和存储介质也可以作为分立组件存在于用户终端中。

对于软件实现，本申请中描述的技术可用执行本申请所述功能的模块(例如，过程、函数等)来实现。这些软件代码可以存储在存储器单元并由处理器执行。存储器单元可以实现在处理器内，也可以实现在处理器外，在后一种情况下，它经由各种手段以通信方式耦合到处理器，这些都是本领域中所公知的。

上文的描述包括一个或多个实施例的举例。当然，为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的，但是本领域普通技术人员应该认识到，各个实施例可以做进一步的组合和排列。因此，本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外，就说明书或权利要求书中使用的术语“包含”，该词的涵盖方式类似于术语“包括”，就如同“包括，”在权利要求中用作衔接词所解释的那样。此外，使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。