取证软件中基于自定义脚本实现电子数据取证分析的方法.pdf

摘要
申请专利号：	CN201410546906.3	申请日：	2014.10.16
公开号：	CN104360837A	公开日：	2015.02.18
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 9/44申请日:20141016\|\|\|公开
IPC分类号：	G06F9/44; G06F17/30	主分类号：	G06F9/44
申请人：	公安部第三研究所
发明人：	吴松洋; 金波; 熊雄; 刘善军; 何俊峰
地址：	200031上海市徐汇区岳阳路76号
优先权：
专利代理机构：	上海智信专利代理有限公司31002	代理人：	王洁; 郑暄
PDF下载：	PDF下载

内容摘要

本发明涉及一种取证软件中基于自定义脚本实现电子数据取证分析的方法，其中包括：取证软件对自定义脚本进行编译处理，并得到取证分析对象；取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；取证软件将取证分析对象与电子数据树进行关联分析，并获得取证分析结果。采用本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，使取证软件在运行过程中不受到应用软件的限制，针对不同软件可加载不同的自定义脚本，取证方法灵活多变，提高取证效率，加快分析过程，具有更广泛的应用范围。

权利要求书

权利要求书
1.  一种取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的方法包括以下步骤：
(1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；
(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；
(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。

2.  根据权利要求1所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下步骤：
(2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的电子数据进行特征信息采集；
(2.2)所述的取证软件根据采集到的特征信息建立索引接口。

3.  根据权利要求2所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的步骤(2.1)之前，还包括以下步骤：
(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。

4.  根据权利要求3所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的取证软件对所述的电子数据进行归类与合并，具体为：
所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。

5.  根据权利要求4所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。

6.  根据权利要求3至5中任一项所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：
(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；
(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。

7.  根据权利要求6所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：
(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。

8.  根据权利要求6所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的获得取证分析结果，包括以下步骤：
(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；
(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。

说明书

说明书取证软件中基于自定义脚本实现电子数据取证分析的方法
技术领域
本发明涉及数据分析领域，尤其涉及电子数据取证分析领域，具体是指一种取证软件中基于自定义脚本实现电子数据取证分析的方法。
背景技术
随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证，然而移动互联网的快速发展以及传统网络应用往移动互联网上迅速转移，电子数据取证将面临着对更多类型应用程序的使用痕迹分析。传统的电子数据取证软件主要是将提前由取证专家提出对应应用程序的取证分析技术和方案，然后由电子数据取证软件研发厂商将取证过程以软件形式进行开发研制出来。如图1所示，为传统取证分析示意图，这种方案面临了如下两个问题难以解决：
1、电子数据取证软件支持的应用程序有限，一旦超出所支持的应用程序范围，则无法提供取证手段支持。
2、由于每个软件都是相对独立的开发，软件架构较为封闭，用户自定义编辑困难，无法共享取证专家的取证思路，也无法将多个取证思路结合应用。
发明内容
本发明的目的是克服了上述现有技术的缺点，提供了一种通过加载自定义脚本实现数据提取和数据分析，扩大取证软件应用范围，软件架构相对灵活多变的取证软件中基于自定义脚本实现电子数据取证分析的方法。
为了实现上述目的，本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法具有如下构成：
该取证软件中基于自定义脚本实现电子数据取证分析的方法，其主要特点是，所述的方法包括以下步骤：
(1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；
(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；
(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。
进一步地，所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下步骤：
(2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的电子数据进行特征信息采集；
(2.2)所述的取证软件根据采集到的特征信息建立索引接口。
更进一步地，所述的步骤(2.1)之前，还包括以下步骤：
(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。
更进一步地，所述的取证软件对所述的电子数据进行归类与合并，具体为：
所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。
其中，所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。
更进一步地，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：
(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；
(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。
更进一步地，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：
(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。
更进一步地，所述的获得取证分析结果，包括以下步骤：
(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；
(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。
采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，取证分析人员可以自行编辑自定义脚本的内容，并在取证软件中加载该自定义脚本，将取证分析人员的取证思路与取证软件的运行相结合，使取证软件在运行过程中不受到应用软件的限制，应用范围更加广泛，且针对不同软件可加载不同的自定义脚本，取证方法灵活多变，提高取证效率，加快分析过程，同时，还可以建立共享的自定义脚本库，共享新的取证思路和取证手段，更加有利于自定义脚本的开发，具有更广泛的应用范围。
附图说明
图1为本发明的传统取证分析示意图。
图2为本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法的流程图。
图3为本发明在实际应用中的结构框图。
图4为本发明的脚本引擎的工作流程图。
图5为本发明的“分析类”的工作流程图。
具体实施方式
为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。
在一种实施方式中，如图2所示，本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法包括以下步骤：
(1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；
(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；
(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。
在一种优选的实施方式中，所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下步骤：
(2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的电子数据进行特征信息采集；
(2.2)所述的取证软件根据采集到的特征信息建立索引接口。
在一种更优选的实施方式中，所述的步骤(2.1)之前，还包括以下步骤：
(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。
在一种更优选的实施方式中，所述的取证软件对所述的电子数据进行归类与合并，具体为：
所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。
其中，所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。
在一种更优选的实施方式中，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：
(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；
(3.2)所述的取证软件对查找到的电子数据文件进行分析处理。
在一种更优选的实施方式中，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：
(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。
在一种更优选的实施方式中，所述的获得取证分析结果，包括以下步骤：
(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；
(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。
请参阅图3至5所示，在实际应用中，本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法主要基于以下几点进行改进：
a.将取证分析过程形式化为“获取数据”，“删除恢复”，“取证分析”，“生成报告”四个主要方面，并以抽象接口的形式，将这四个部分进行隔离，即这四个部分彼此之间不存在直接的依赖关系。
b.将多个案件的原始电子数据进行统一的归一化处理，抽象为单一的树形文件系统形式，所有电子数据都可以通过从树根节点到叶子节点的路径来进行访问，对于一个案件而言，可以向该案件添加windows系统的磁盘，linux系统的磁盘，以及Mac系统的磁盘，而这三种类型的操作系统使用的文件系统都存在一定的区别。“归一化处理”是将这三种类型操作系统所使用例如ntfs、fat、fat16、ext系列、hfs、hfs+等文件系统以一种统一的方式进行描述。这种统一的描述方法形如“{案件资源id}\文件或目录路径”的方式，其中，案件资源id代表了资源的标识信息。例如，对于一个windows系统的磁盘，可能具有3个分区，则每一个分区都用一个案件资源id来代表。
此外，在将多个案件的原始电子数据的资源文件合并到单一的电子数据树时，还需要对每个原始电子数据的资源文件进行特征信息抽取，主要包括文件是否加密、文件后缀、创建、修改、访问日期、文件类型、文件全路径等多种信息。将这些信息形成电子数据的元信息，并建立倒排索引，便于在海量的案件资源中进行快速的归档和检索。
另外，电子数据资源树对其他模块提供统一的访问接口，调用者输入特定的模式信息，例如输入(\(？0\d{2}[)-]？\d{8})，可以查询到所有包含电话号码信息的文件。相比较其他案件资源管理系统，本发明的优势之一就是可以支持自定义的检索模式，而不仅仅是进行简单的字符串匹配搜索
c.“取证分析”模块抽象为一个分析类，即“分析类”是一个取证分析过程的模板，所有分析相关的任务都可以继承自该分析类，并且这个分析类可以由取证分析软件在运行时动态的进行编译，并加入到运行环境中来，因此，取证分析人员的取证分析行为就和取证分析软件进行了分离，具体的取证分析行为可以由取证分析人员以脚本的形式在取证分析软件中进行实时的修改和补充。
“分析类”提供了最为基础的取证分析流程，如图5所示，为“分析类”和用户编写的自定义脚本之间的关联关系。用户根据自身实际取证的要求，编辑数据提取和数据分析方法进行数据处理，相比其他的取证分析手段，本方法将“数据提取”、“数据分析”的过程抽取出来脚本化，可以由用户自己来实现这两个过程，同时，提供了固化的“数据分析方法”，由用户根据其取证分析手段进行组合使用。
d.本方法将用户取证过程和案件资源进行了深度的隔离，用户的取证手段可以通过加载自定义脚本的形式来实现。也就是说用户可以自己编写取证分析代码，通过对用户编写的取证分析代码进行编译处理，再与案件资源进行关联分析。“关联分析”主要是是包括两个部分，“关联”和“分析”。其中，“关联”部分的功能指的是哪些文件或目录可以通过脚本来处理，是由脚本自身代码决定的；“分析”部分的功能是由脚本来完成的。用户编写不同功能的脚本，这些脚本经过编译具备了对文件内容进行分析处理的能力，案件资源系统对归一化的电子数据树采取深度遍历的方式进行遍历，每次遍历到一个文件或者文件夹时，都会调用脚本中必须实现的“关联方法”，这个“关联方法”通过对传递给它的文件路径或目录路径进行识别，判断是否可以对这个文件或目录进行分析。
相比较其他的取证分析手段，最大的优势在于取证手段灵活，但是，需要用户掌握较高的代码编写技能，所以，提供取证分析脚本库，该脚本库可以由用户自主上传自己编写的取证分析脚本，或者下载其他取证分析人员已上传的脚本数据，实现现有资源的共享。
e.通过提供脚本引擎，在运行时加载取证分析人员编写的脚本，来实现取证分析逻辑和电子数据的关联关系解耦合，脚本引擎的主要工作流程如图4所示，主要包括自定义脚本数据加载、自定义脚本编译、从自定义脚本中初始化取证分析对象、传递形式化的树形文件系统给取证分析对象，最后是执行取证分析对象的运行函数获取取证分析结果。
采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，取证分析人员可以自行编辑自定义脚本的内容，并在取证软件中加载该自定义脚本，将取证分析人员的取证思路与取证软件的运行相结合，使取证软件在运行过程中不受到应用软件的限制，应用范围更加广泛，且针对不同软件可加载不同的自定义脚本，取证方法灵活多变，支持自定义的检索模式，提高取证效率，加快分析过程，同时，还可以建立共享的自定义脚本库，共享新的取证思路和取证手段，更加有利于自定义脚本的开发，具有更广泛的应用范围。
在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。

资源描述

《取证软件中基于自定义脚本实现电子数据取证分析的方法.pdf》由会员分享，可在线阅读，更多相关《取证软件中基于自定义脚本实现电子数据取证分析的方法.pdf（11页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104360837 A(43)申请公布日 2015.02.18CN104360837A(21)申请号 201410546906.3(22)申请日 2014.10.16G06F 9/44(2006.01)G06F 17/30(2006.01)(71)申请人公安部第三研究所地址 200031 上海市徐汇区岳阳路76号(72)发明人吴松洋金波熊雄刘善军何俊峰(74)专利代理机构上海智信专利代理有限公司 31002代理人王洁郑暄(54) 发明名称取证软件中基于自定义脚本实现电子数据取证分析的方法(57) 摘要本发明涉及一种取证软件中基于自定义脚本实现电子数据取证分析的。

2、方法，其中包括：取证软件对自定义脚本进行编译处理，并得到取证分析对象；取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；取证软件将取证分析对象与电子数据树进行关联分析，并获得取证分析结果。采用本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，使取证软件在运行过程中不受到应用软件的限制，针对不同软件可加载不同的自定义脚本，取证方法灵活多变，提高取证效率，加快分析过程，具有更广泛的应用范围。(51)Int.Cl.权利要求书1页说明书5页附图4页(19)中华人民共。

3、和国国家知识产权局(12)发明专利申请权利要求书1页说明书5页附图4页(10)申请公布号 CN 104360837 ACN 104360837 A1/1页21.一种取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的方法包括以下步骤：(1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；(2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；(3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。2.根据权利要求1所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，。

4、所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下步骤：(2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的电子数据进行特征信息采集；(2.2)所述的取证软件根据采集到的特征信息建立索引接口。3.根据权利要求2所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的步骤(2.1)之前，还包括以下步骤：(2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。4.根据权利要求3所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的取证软件对所述的电子数据进行归类与合并，具体为：所述的取证软件根据。

5、所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。5.根据权利要求4所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。6.根据权利要求3至5中任一项所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：(3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；(3.2)所述的取证软件对查找到的电子数据文件进行分析处。

6、理。7.根据权利要求6所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：(3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。8.根据权利要求6所述的取证软件中基于自定义脚本实现电子数据取证分析的方法，其特征在于，所述的获得取证分析结果，包括以下步骤：(3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；(3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。。

7、权利要求书CN 104360837 A1/5页3取证软件中基于自定义脚本实现电子数据取证分析的方法技术领域0001 本发明涉及数据分析领域，尤其涉及电子数据取证分析领域，具体是指一种取证软件中基于自定义脚本实现电子数据取证分析的方法。背景技术0002 随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证，然而移动互联网的快速发展以及传统网络应用往移动互联网上迅速转移，电子数据取证将面临着对更多类型应用程序的使用痕迹分析。传统的电子数据取证软件主要是将提前由取证专家提出对应应用程序的。

8、取证分析技术和方案，然后由电子数据取证软件研发厂商将取证过程以软件形式进行开发研制出来。如图1所示，为传统取证分析示意图，这种方案面临了如下两个问题难以解决：0003 1、电子数据取证软件支持的应用程序有限，一旦超出所支持的应用程序范围，则无法提供取证手段支持。0004 2、由于每个软件都是相对独立的开发，软件架构较为封闭，用户自定义编辑困难，无法共享取证专家的取证思路，也无法将多个取证思路结合应用。发明内容0005 本发明的目的是克服了上述现有技术的缺点，提供了一种通过加载自定义脚本实现数据提取和数据分析，扩大取证软件应用范围，软件架构相对灵活多变的取证软件中基于自定义脚本实现电子数据取证分。

9、析的方法。0006 为了实现上述目的，本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法具有如下构成：0007 该取证软件中基于自定义脚本实现电子数据取证分析的方法，其主要特点是，所述的方法包括以下步骤：0008 (1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；0009 (2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；0010 (3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。0011 进一步地，所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下。

10、步骤：0012 (2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的电子数据进行特征信息采集；0013 (2.2)所述的取证软件根据采集到的特征信息建立索引接口。0014 更进一步地，所述的步骤(2.1)之前，还包括以下步骤：说明书CN 104360837 A2/5页40015 (2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。0016 更进一步地，所述的取证软件对所述的电子数据进行归类与合并，具体为：0017 所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。0018 其中，所述的特征信息包括文件是否加密信息、文件后缀信。

11、息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。0019 更进一步地，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：0020 (3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；0021 (3.2)所述的取证软件对查找到的电子数据文件进行分析处理。0022 更进一步地，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：0023 (3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。00。

12、24 更进一步地，所述的获得取证分析结果，包括以下步骤：0025 (3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；0026 (3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。0027 采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，取证分析人员可以自行编辑自定义脚本的内容，并在取证软件中加载该自定义脚本，将取证分析人员的取证思路与取证软件的运行相结合，使取证软件在运行过程中不受到应用软件的限制，应用范围更加广泛，且针对不同软件可。

13、加载不同的自定义脚本，取证方法灵活多变，提高取证效率，加快分析过程，同时，还可以建立共享的自定义脚本库，共享新的取证思路和取证手段，更加有利于自定义脚本的开发，具有更广泛的应用范围。附图说明0028 图1为本发明的传统取证分析示意图。0029 图2为本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法的流程图。0030 图3为本发明在实际应用中的结构框图。0031 图4为本发明的脚本引擎的工作流程图。0032 图5为本发明的“分析类”的工作流程图。具体实施方式0033 为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。0034 在一种实施方式中，如图2所示，本发。

14、明的取证软件中基于自定义脚本实现电子数据取证分析的方法包括以下步骤：说明书CN 104360837 A3/5页50035 (1)取证软件对自定义脚本进行编译处理，并得到取证分析对象；0036 (2)所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，并得到对应的电子数据树；0037 (3)所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，并获得取证分析结果。0038 在一种优选的实施方式中，所述的取证软件根据编译处理后的自定义脚本对采集到的电子数据进行归一化处理，包括以下步骤：0039 (2.1)所述的取证软件对所述的电子数据进行归类与合并，并对所述的。

15、电子数据进行特征信息采集；0040 (2.2)所述的取证软件根据采集到的特征信息建立索引接口。0041 在一种更优选的实施方式中，所述的步骤(2.1)之前，还包括以下步骤：0042 (2.0)所述的取证软件根据自身的分析类得到数据获取模板和数据获取要求。0043 在一种更优选的实施方式中，所述的取证软件对所述的电子数据进行归类与合并，具体为：0044 所述的取证软件根据所述的数据获取模板和数据获取要求对所述的电子数据进行归类与合并。0045 其中，所述的特征信息包括文件是否加密信息、文件后缀信息、创建信息、修改信息、访问日期信息、文件类型信息和文件全路径信息。0046 在一种更优选的实施方式中。

16、，所述的取证软件将所述的取证分析对象与所述的电子数据树进行关联分析，包括以下步骤：0047 (3.1)所述的取证软件通过索引接口查找所述的电子数据树中与所述的取证分析对象对应的电子数据文件；0048 (3.2)所述的取证软件对查找到的电子数据文件进行分析处理。0049 在一种更优选的实施方式中，所述的步骤(3.1)和(3.2)之间，还包括以下步骤：0050 (3.1.1)所述的取证软件根据所述的电子数据文件的文件路径或目录路径判断是否对该电子数据文件进行分析处理，如果是，则继续步骤(3.2)，否则返回步骤(3.1)。0051 在一种更优选的实施方式中，所述的获得取证分析结果，包括以下步骤：00。

17、52 (3.3)所述的取证软件根据自身的分析类得到数据输出格式化模板；0053 (3.4)所述的取证软件根据所述的数据输出格式化模板对分析处理结果进行格式化，得到所述的取证分析结果。0054 请参阅图3至5所示，在实际应用中，本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法主要基于以下几点进行改进：0055 a.将取证分析过程形式化为“获取数据”，“删除恢复”，“取证分析”，“生成报告”四个主要方面，并以抽象接口的形式，将这四个部分进行隔离，即这四个部分彼此之间不存在直接的依赖关系。0056 b.将多个案件的原始电子数据进行统一的归一化处理，抽象为单一的树形文件系统形式，所有电子数据。

18、都可以通过从树根节点到叶子节点的路径来进行访问，对于一个案件而言，可以向该案件添加windows系统的磁盘，linux系统的磁盘，以及Mac系统的磁盘，而这三种类型的操作系统使用的文件系统都存在一定的区别。“归一化处理”是将这三种类说明书CN 104360837 A4/5页6型操作系统所使用例如ntfs、fat、fat16、ext系列、hfs、hfs+等文件系统以一种统一的方式进行描述。这种统一的描述方法形如“案件资源id文件或目录路径”的方式，其中，案件资源id代表了资源的标识信息。例如，对于一个windows系统的磁盘，可能具有3个分区，则每一个分区都用一个案件资源id来代表。0057。

19、此外，在将多个案件的原始电子数据的资源文件合并到单一的电子数据树时，还需要对每个原始电子数据的资源文件进行特征信息抽取，主要包括文件是否加密、文件后缀、创建、修改、访问日期、文件类型、文件全路径等多种信息。将这些信息形成电子数据的元信息，并建立倒排索引，便于在海量的案件资源中进行快速的归档和检索。0058 另外，电子数据资源树对其他模块提供统一的访问接口，调用者输入特定的模式信息，例如输入(？0d2)-？d8)，可以查询到所有包含电话号码信息的文件。相比较其他案件资源管理系统，本发明的优势之一就是可以支持自定义的检索模式，而不仅仅是进行简单的字符串匹配搜索0059 c.“取证分析”模块抽象为。

20、一个分析类，即“分析类”是一个取证分析过程的模板，所有分析相关的任务都可以继承自该分析类，并且这个分析类可以由取证分析软件在运行时动态的进行编译，并加入到运行环境中来，因此，取证分析人员的取证分析行为就和取证分析软件进行了分离，具体的取证分析行为可以由取证分析人员以脚本的形式在取证分析软件中进行实时的修改和补充。0060 “分析类”提供了最为基础的取证分析流程，如图5所示，为“分析类”和用户编写的自定义脚本之间的关联关系。用户根据自身实际取证的要求，编辑数据提取和数据分析方法进行数据处理，相比其他的取证分析手段，本方法将“数据提取”、“数据分析”的过程抽取出来脚本化，可以由用户自己来实现这两个。

21、过程，同时，提供了固化的“数据分析方法”，由用户根据其取证分析手段进行组合使用。0061 d.本方法将用户取证过程和案件资源进行了深度的隔离，用户的取证手段可以通过加载自定义脚本的形式来实现。也就是说用户可以自己编写取证分析代码，通过对用户编写的取证分析代码进行编译处理，再与案件资源进行关联分析。“关联分析”主要是是包括两个部分，“关联”和“分析”。其中，“关联”部分的功能指的是哪些文件或目录可以通过脚本来处理，是由脚本自身代码决定的；“分析”部分的功能是由脚本来完成的。用户编写不同功能的脚本，这些脚本经过编译具备了对文件内容进行分析处理的能力，案件资源系统对归一化的电子数据树采取深度遍历的方。

22、式进行遍历，每次遍历到一个文件或者文件夹时，都会调用脚本中必须实现的“关联方法”，这个“关联方法”通过对传递给它的文件路径或目录路径进行识别，判断是否可以对这个文件或目录进行分析。0062 相比较其他的取证分析手段，最大的优势在于取证手段灵活，但是，需要用户掌握较高的代码编写技能，所以，提供取证分析脚本库，该脚本库可以由用户自主上传自己编写的取证分析脚本，或者下载其他取证分析人员已上传的脚本数据，实现现有资源的共享。0063 e.通过提供脚本引擎，在运行时加载取证分析人员编写的脚本，来实现取证分析逻辑和电子数据的关联关系解耦合，脚本引擎的主要工作流程如图4所示，主要包括自定义脚本数据加载、自定。

23、义脚本编译、从自定义脚本中初始化取证分析对象、传递形式化的树形文件系统给取证分析对象，最后是执行取证分析对象的运行函数获取取证分析结果。0064 采用了本发明的取证软件中基于自定义脚本实现电子数据取证分析的方法，通过说明书CN 104360837 A5/5页7自定义脚本解除取证分析逻辑和取证分析软件的绑定，使取证软件的软件框架较为开放，取证分析人员可以自行编辑自定义脚本的内容，并在取证软件中加载该自定义脚本，将取证分析人员的取证思路与取证软件的运行相结合，使取证软件在运行过程中不受到应用软件的限制，应用范围更加广泛，且针对不同软件可加载不同的自定义脚本，取证方法灵活多变，支持自定义的检索模式，提高取证效率，加快分析过程，同时，还可以建立共享的自定义脚本库，共享新的取证思路和取证手段，更加有利于自定义脚本的开发，具有更广泛的应用范围。0065 在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。说明书CN 104360837 A1/4页8图1图2说明书附图CN 104360837 A2/4页9图3说明书附图CN 104360837 A3/4页10图4说明书附图CN 104360837 A10。

展开阅读全文