本發(fā)明屬于移動設(shè)備取證，特別是涉及一種移動設(shè)備取證方法、系統(tǒng)、介質(zhì)及電子設(shè)備。

背景技術(shù)：

1、隨著時(shí)代的發(fā)展，移動設(shè)備的廣泛推廣和使用早已讓其成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?。而隨著移動設(shè)備的使用頻率提高，在案件中對于手機(jī)的取證也是十分關(guān)鍵的一環(huán)。手機(jī)中存放有使用者所拍攝的照片、音視頻、應(yīng)用聊天記錄和使用信息等，能提取到這些數(shù)據(jù)將會對案件起到較大的幫助。

2、對于安卓系統(tǒng)的移動設(shè)備來說，資源數(shù)據(jù)提取方案通常是采用向手機(jī)安裝取證app，然后app使用google所提供的數(shù)據(jù)接口來進(jìn)行手機(jī)數(shù)據(jù)的收集和發(fā)送，在實(shí)際應(yīng)用時(shí)，由于不同系統(tǒng)版本存在限制，導(dǎo)致取證過程受阻。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種移動設(shè)備取證方法、系統(tǒng)、介質(zhì)及電子設(shè)備，用于解決現(xiàn)有移動設(shè)備取證方法受系統(tǒng)版本限制出現(xiàn)取證過程受阻的問題。

2、第一方面，本發(fā)明提供一種移動設(shè)備取證方法，所述方法包括以下步驟：

3、獲取待取證的移動設(shè)備搭載的系統(tǒng)版本；

4、基于所述系統(tǒng)版本進(jìn)行識別以響應(yīng)對應(yīng)的取證機(jī)制，其中，若系統(tǒng)版本位于第一范圍內(nèi)，則進(jìn)行第一取證響應(yīng)，若系統(tǒng)版本位于第二范圍內(nèi)，則進(jìn)行第二取證響應(yīng)；所述第一范圍以及所述第二范圍具體是指所述移動設(shè)備搭載的系統(tǒng)版本的版本型號范圍；其中，

5、基于預(yù)設(shè)的目標(biāo)腳本跳過所述待取證設(shè)備的取證設(shè)限；以及

6、基于預(yù)設(shè)的傳輸機(jī)制對目標(biāo)數(shù)據(jù)進(jìn)行取證傳輸，其中，所述目標(biāo)數(shù)據(jù)包括字符串?dāng)?shù)據(jù)與文件數(shù)據(jù)。

7、在本申請一個(gè)可能的實(shí)現(xiàn)方式中，所述獲取待取證設(shè)備搭載的系統(tǒng)版本，具體包括：

8、獲取建立通信連接的所述待取證設(shè)備對應(yīng)的系統(tǒng)屬性；

9、基于所述系統(tǒng)屬性進(jìn)行版本識別以獲取所述系統(tǒng)版本，其中，所述系統(tǒng)版本包括第一版本、第二版本以及無效版本。

10、在本申請一個(gè)可能的實(shí)現(xiàn)方式中，所述基于所述系統(tǒng)版本進(jìn)行識別以響應(yīng)對應(yīng)的取證機(jī)制，具體包括：

11、所述第一版本位于所述第一范圍內(nèi)，進(jìn)行所述第一取證響應(yīng)，其中具體包括安裝取證應(yīng)用、取證賦權(quán)、主動取證以及取證結(jié)束；

12、所述第二版本位于所述第二范圍內(nèi)，進(jìn)行所述第二取證響應(yīng)，其中具體包括安裝取證應(yīng)用、取證賦權(quán)、被動取證以及取證結(jié)束；

13、所述無效版本位于無效范圍內(nèi)，則不進(jìn)行取證響應(yīng)，輸出告錯(cuò)提醒。

14、在本申請一個(gè)可能的實(shí)現(xiàn)方式中，所述取證時(shí)，基于預(yù)設(shè)的目標(biāo)腳本跳過所述待取證設(shè)備的取證設(shè)限，具體包括：

15、進(jìn)行所述取證賦權(quán)時(shí)，基于執(zhí)行指令調(diào)用所述目標(biāo)腳本，其中，所述目標(biāo)腳本包括shell腳本；

16、基于所述目標(biāo)腳本啟動目標(biāo)文件以創(chuàng)建目標(biāo)進(jìn)程，其中，所述目標(biāo)進(jìn)程擁有shell權(quán)限；

17、在所述目標(biāo)進(jìn)程內(nèi)通過目標(biāo)指令來運(yùn)行以跳過所述待取證設(shè)備的取證設(shè)限，其中，所述目標(biāo)指令包括app_process。

18、在本申請一個(gè)可能的實(shí)現(xiàn)方式中，所述主動取證，具體包括：第一版本的所述待取證設(shè)備在跳過所述取證權(quán)限后，主動對所述待取證設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行提取以完成取證作業(yè)。

19、在本申請一個(gè)可能的實(shí)現(xiàn)方式中，所述被動取證，具體包括：第二版本的所述待取證設(shè)備在跳過所述取證權(quán)限后，通過獲取用戶端的取證響應(yīng)，被動對所述待取證設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行提取以完成取證作業(yè)。

20、在本申請一個(gè)可能的實(shí)現(xiàn)方式中，所述取證時(shí)，基于預(yù)設(shè)的傳輸機(jī)制對目標(biāo)數(shù)據(jù)進(jìn)行取證傳輸，具體包括：

21、對于所述字符串?dāng)?shù)據(jù)，在所述取證應(yīng)用中創(chuàng)建臨時(shí)文件以存儲所述字符串?dāng)?shù)據(jù)；

22、對于所述文件數(shù)據(jù)，基于所述取證應(yīng)用使用套接字雙向通信以傳輸文件描述符。

23、第二方面，本發(fā)明提供一種移動設(shè)備取證系統(tǒng)，所述系統(tǒng)包括：

24、獲取模塊，用于獲取待取證設(shè)備搭載的系統(tǒng)版本；

25、響應(yīng)模塊，用于基于所述系統(tǒng)版本進(jìn)行識別以響應(yīng)對應(yīng)的取證機(jī)制，其中，若系統(tǒng)版本位于第一范圍內(nèi)，則進(jìn)行第一取證響應(yīng)，若系統(tǒng)版本位于第二范圍內(nèi)，則進(jìn)行第二取證響應(yīng)；所述第一范圍以及所述第二范圍具體是指所述移動設(shè)備搭載的系統(tǒng)版本的版本型號范圍；

26、取證模塊，用于基于預(yù)設(shè)的目標(biāo)腳本跳過所述待取證設(shè)備的取證設(shè)限；以及基于預(yù)設(shè)的傳輸機(jī)制對目標(biāo)數(shù)據(jù)進(jìn)行取證傳輸，其中，所述目標(biāo)數(shù)據(jù)包括字符串?dāng)?shù)據(jù)與文件數(shù)據(jù)。

27、第三方面，本發(fā)明提供一種電子設(shè)備，所述電子設(shè)備包括：處理器和存儲器；

28、所述存儲器用于存儲計(jì)算機(jī)程序；

29、所述處理器用于執(zhí)行所述存儲器存儲的計(jì)算機(jī)程序，以使所述電子設(shè)備執(zhí)行上述的移動設(shè)備取證方法。

30、第四方面，本發(fā)明提供一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)程序，該程序被電子設(shè)備執(zhí)行時(shí)實(shí)現(xiàn)上述的移動設(shè)備取證方法。

31、如上所述，本發(fā)明所述的移動設(shè)備取證方法、系統(tǒng)、介質(zhì)及電子設(shè)備，具有以下有益效果：通過開啟權(quán)限提升服務(wù)，提升權(quán)限了的取證app通過向中轉(zhuǎn)服務(wù)發(fā)送請求指令，中轉(zhuǎn)服務(wù)則會跟據(jù)指令類型進(jìn)行文件瀏覽、文件提取、賦權(quán)等操作，并將獲取的數(shù)據(jù)發(fā)送回取證app，在實(shí)際取證場景下，辦案人員并不需要進(jìn)行過多的額外操作，即可得到和未被限制android/data目錄前的手機(jī)一樣的取證體驗(yàn)，保證取證效率的同時(shí)避免了數(shù)據(jù)丟失。

技術(shù)特征：

1.一種移動設(shè)備取證方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的移動設(shè)備取證方法，其特征在于，所述獲取待取證設(shè)備搭載的系統(tǒng)版本，具體包括：

3.根據(jù)權(quán)利要求2所述的移動設(shè)備取證方法，其特征在于，所述基于所述系統(tǒng)版本進(jìn)行識別以響應(yīng)對應(yīng)的取證機(jī)制，具體包括：

4.根據(jù)權(quán)利要求3所述的移動設(shè)備取證方法，其特征在于，所述取證時(shí)，基于預(yù)設(shè)的目標(biāo)腳本跳過所述待取證設(shè)備的取證設(shè)限，具體包括：

5.根據(jù)權(quán)利要求4所述的移動設(shè)備取證方法，其特征在于，所述主動取證，具體包括：第一版本的所述待取證設(shè)備在跳過所述取證權(quán)限后，主動對所述待取證設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行提取以完成取證作業(yè)。

6.根據(jù)權(quán)利要求4所述的移動設(shè)備取證方法，其特征在于，所述被動取證，具體包括：第二版本的所述待取證設(shè)備在跳過所述取證權(quán)限后，通過獲取用戶端的取證響應(yīng)，被動對所述待取證設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行提取以完成取證作業(yè)。

7.根據(jù)權(quán)利要求4所述的移動設(shè)備取證方法，其特征在于，所述取證時(shí)，基于預(yù)設(shè)的傳輸機(jī)制對目標(biāo)數(shù)據(jù)進(jìn)行取證傳輸，具體包括：

8.一種移動設(shè)備取證系統(tǒng)，其特征在于，包括：

9.一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)程序，其特征在于，該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1至7任一項(xiàng)所述移動設(shè)備取證方法。

10.一種電子設(shè)備，其特征在于，所述電子設(shè)備包括：處理器及存儲器；其中，所述存儲器用于存儲計(jì)算機(jī)程序，所述處理器用于執(zhí)行所述存儲器存儲的計(jì)算機(jī)程序，以使所述電子設(shè)備執(zhí)行如權(quán)利要求1至7中任一項(xiàng)所述移動設(shè)備取證方法。

技術(shù)總結(jié)
本發(fā)明提供一種移動設(shè)備取證方法、系統(tǒng)、介質(zhì)及電子設(shè)備，所述方法包括以下步驟：獲取待取證的移動設(shè)備搭載的系統(tǒng)版本；基于系統(tǒng)版本進(jìn)行識別以響應(yīng)對應(yīng)的取證機(jī)制，若系統(tǒng)版本位于第一范圍內(nèi)，進(jìn)行第一取證響應(yīng)，若系統(tǒng)版本位于第二范圍內(nèi)，進(jìn)行第二取證響應(yīng)；第一范圍與第二范圍具體是指移動設(shè)備搭載的系統(tǒng)版本的版本型號范圍；基于目標(biāo)腳本跳過待取證設(shè)備的取證設(shè)限；以及基于預(yù)設(shè)的傳輸機(jī)制對目標(biāo)數(shù)據(jù)進(jìn)行取證傳輸，目標(biāo)數(shù)據(jù)包括字符串?dāng)?shù)據(jù)與文件數(shù)據(jù)。本發(fā)明的移動設(shè)備取證方法、系統(tǒng)、介質(zhì)及電子設(shè)備，在應(yīng)用時(shí)，不需要進(jìn)行過多的額外操作，即可得到和未被限制Android/data目錄前的安卓手機(jī)設(shè)備一樣的取證體驗(yàn)，保證取證效率的同時(shí)避免了數(shù)據(jù)丟失。

技術(shù)研發(fā)人員：黃培俊,李靜,郭玥川,方煊楓,成宇,曹長健,王凱明,趙琴,汪?,滿廣慧,劉浩,林港,焦智圣,黃銳峰
受保護(hù)的技術(shù)使用者：上海弘連網(wǎng)絡(luò)科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6