一种基于串口的GOIP设备取证方法与系统转让专利
申请号 : CN202111116920.6
文献号 : CN113934669B
文献日 : 2022-08-05
发明人 : 洪志雄 , 黄庆发 , 沈长达 , 黄志炜
申请人 : 厦门市美亚柏科信息股份有限公司
摘要 :
本发明给出了一种基于串口的GOIP设备取证方法与系统,包括在针对GOIP设备暴露的内外部串口进行深入分析并做大量测试的基础上,利用暴露的内外部串口,通过相应的指令获取存储芯片镜像数据或者系统文件数据,通过取证分析装置直接解析,进而对GOIP设备的内外部接口、引导程序等进行深入分析,基于GOIP设备的内外部串口的取证方法,通过系统串口命令获取GOIP设备存储芯片镜像数据或者系统文件数据,从而保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,填补了GOIP设备取证技术方面的空白,对电子数据取证具有重大意义,为电子数据取证提供了有效的基础支撑。
权利要求 :
1.一种基于串口的GOIP设备取证方法,其特征在于,包括以下步骤:
S1:通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;
S2:在GOIP设备与PC机相连接前,通过windowsAPI接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windowsAPI接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;
S3:通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;
S4:重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;
S5:通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。
2.根据权利要求1所述的方法,其特征在于,所述判断GOIP设备的串口类型具体包括:先确认GOIP设备的串口类型是否是外部串口,若否,则通过分析GOIP设备的PCB板判断GOIP设备的串口类型是否为内部串口。
3.根据权利要求2所述的方法,其特征在于,所述确认GOIP设备的串口类型是否是外部串口,具体包括:先判断所述GOIP设备的串口是否有标识,所述标识包括Console,根据所述标识判断所述GOIP设备的串口类型是否为外部串口;
再使用对应的线材将所述GOIP设备的外部接口与PC机相连,根据PC机设备管理器弹出的新设备判断所述GOIP设备的串口类型是否为外部串口。
4.根据权利要求2所述的方法,其特征在于,所述通过分析GOIP设备的PCB板判断GOIP设备的串口类型是否为内部串口,具体包括:拆卸所述GOIP设备的外壳,分析所述GOIP设备的PCB板,所述分析具体包括:首先分析是否有包括TX、RX、GND在内的标识;再寻找连续3个到5个的板孔,分别通过万用表确定所述GOIP设备的串口类型是否为TX、RX、GND其中之一。
5.根据权利要求1所述的方法,其特征在于,所述根据GOIP设备的串口类型将GOIP设备与PC机相连接,具体包括:若GOIP设备的串口类型为内部串口,则利用串口硬件工具的TXD连接GOIP设备的内部串口的接口RX,串口硬件工具的RXD连接GOIP设备的内部串口的接口TX,串口硬件工具的GND连接GOIP设备的内部串口的接口GND,再将串口硬件工具的另外一端连接PC机;
若GOIP设备的串口类型为外部串口,则使用与所述外部串口相匹配的串口线将GOIP设备与PC机连接,所述串口线包括但不限于RJ45转USB、miniUSB、microUSB、双公头USB。
6.根据权利要求1所述的方法,其特征在于,所述GOIP设备的波特率集合中的波特率包括但不限于:9600、57600、115200,其中波特率的单位为位/秒。
7.根据权利要求1所述的方法,其特征在于,所述GOIP系统串口命令集合中的系统串口命令包括但不限于:md,ext2loadmmc1:2,flash_read。
8.根据权利要求1所述的方法,其特征在于,所述镜像数据储存在包括PC在内的存储介质中。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机处理器执行时实施权利要求1至8中任一项所述的方法。
10.一种基于串口的GOIP设备取证系统,其特征在于,包括:
串口类型识别模块:配置用于通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;
串口号识别模块:配置用于在GOIP设备与PC机相连接前,通过windowsAPI接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windowsAPI接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;
波特率识别模块:配置用于通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;
基于串口的数据下载模块:配置用于重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;
数据分析模块:配置用于通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。
说明书 :
一种基于串口的GOIP设备取证方法与系统
技术领域
[0001] 本发明涉及计算机取证技术领域,尤其是一种基于串口的GOIP设备取证方法与系统。
背景技术
[0002] 随着物联网时代高速发展,越来越多的不法分子利用物联网设备进行违法犯罪活动,如利用GOIP设备进行远程控制拨打电话,发送短信进行诈骗等违法犯罪活动。据了解,市面上绝大多数GOIP设备未有厂商等信息的标识,常规的去原厂提供技术支持的方式已行不通。目前GOIP设备常见取证方式有两种,一种是利用GOIP设备的网口,通过访问GOIP后台管理系统,进行数据提取,该方式获取的数据不全且不支持删除恢复等不足之处。另外一种通过拆卸外壳获取到通讯模组的IMEI号;该方式操作繁琐,市面上存在一些改号软件可修改IMEI号且获取数据不全等不足之处。本专利对GOIP设备内外部接口、引导程序等进行深入研究,提出基于GOIP设备的内外部串口的取证方法,通过命令获取GOIP设备存储芯片镜像数据或者系统文件数据,从而保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,为电子数据取证提供了有效的基础支撑。
[0003] 目前GOIP设备常见取证方式有两种,一种是利用GOIP设备的网口,访问GOIP后台管理系统,进行数据提取,该方式存在一些不足之处:第一,获取数据不全面,并不能访问设备本身所有数据;第二,已删除的数据无法恢复。另外一种是通过拆卸外壳获取到通讯模组的IMEI号;该方式存在一些不足之处:第一:获取数据不全面;第二,市面上一些改号软件,可以更改IMEI号;第三,部分GOIP设备内部通讯模组没有标签。
发明内容
[0004] 本发明提出了一种基于串口的GOIP设备取证方法与系统,以解决上文提到的现有技术的缺陷。
[0005] 在一个方面,本发明提出了一种基于串口的GOIP设备取证方法,该方法包括以下步骤:
[0006] S1:通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;
[0007] S2:在GOIP设备与PC机相连接前,通过windows API接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windows API接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;
[0008] S3:通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;
[0009] S4:重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;
[0010] S5:通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。
[0011] GOIP设备作为新型诈骗设备,通常没有任何的标识,非技术人员接触此类型的设备往往无从下手;且不同GOIP厂商采用的硬件方案及系统也是不一致;本方案在针对GOIP设备暴露的内外部串口进行深入分析并做大量测试的基础上,提出GOIP设备基于串口取证的方法,本方案利用暴露的内外部串口,通过相应的指令获取存储芯片镜像数据或者系统文件数据,通过取证分析装置直接解析。填补了GOIP设备取证技术方面的空白,对电子数据取证具有重大意义。
[0012] 以上方案通过对GOIP设备的内外部接口、引导程序等进行深入分析,基于GOIP设备的内外部串口的取证方法,通过系统串口命令获取GOIP设备存储芯片镜像数据或者系统文件数据,从而保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,为电子数据取证提供了有效的基础支撑。
[0013] 在具体的实施例中,所述判断GOIP设备的串口类型具体包括:
[0014] 先确认GOIP设备的串口类型是否是外部串口,若否,则通过分析GOIP设备的PCB板判断GOIP设备的串口类型是否为内部串口。
[0015] 在具体的实施例中,所述确认GOIP设备的串口类型是否是外部串口,具体包括:
[0016] 先判断所述GOIP设备的串口是否有标识,所述标识包括Console,根据所述标识判断所述GOIP设备的串口类型是否为外部串口;
[0017] 再使用对应的线材将所述GOIP设备的外部接口与PC机相连,根据PC机设备管理器弹出的新设备判断所述GOIP设备的串口类型是否为外部串口。
[0018] 在具体的实施例中,所述通过分析GOIP设备的PCB板判断GOIP设备的串口类型是否为内部串口,具体包括:
[0019] 拆卸所述GOIP设备的外壳,分析所述GOIP设备的PCB板,所述分析具体包括:首先分析是否有包括TX、RX、GND在内的标识;再寻找连续3个到5个的板孔,分别通过万用表确定所述GOIP设备的串口类型是否为TX、RX、GND其中之一。
[0020] 在具体的实施例中,所述根据GOIP设备的串口类型将GOIP设备与PC机相连接,具体包括:
[0021] 若GOIP设备的串口类型为内部串口,则利用串口硬件工具的TXD连接GOIP设备的内部串口的接口RX,串口硬件工具的RXD连接GOIP设备的内部串口的接口TX,串口硬件工具的GND连接GOIP设备的内部串口的接口GND,再将串口硬件工具的另外一端连接PC机;
[0022] 若GOIP设备的串口类型为外部串口,则使用与所述外部串口相匹配的串口线将GOIP设备与PC机连接,所述串口线包括但不限于RJ45转USB、mini USB、micro USB、双公头USB。
[0023] 在具体的实施例中,所述GOIP设备的波特率集合中的波特率包括但不限于:9600、57600、115200,其中波特率的单位为位/秒。
[0024] 在具体的实施例中,所述GOIP系统串口命令集合中的系统串口命令包括但不限于:md,ext2load mmc 1:2,flash_read。
[0025] 在具体的实施例中,所述镜像数据储存在包括PC在内的存储介质中。
[0026] 根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上述方法。
[0027] 根据本发明的第三方面,提出一种基于串口的GOIP设备取证系统,该系统包括:
[0028] 串口类型识别模块:配置用于通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;
[0029] 串口号识别模块:配置用于在GOIP设备与PC机相连接前,通过windows API接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windows API接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;
[0030] 波特率识别模块:配置用于通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;
[0031] 基于串口的数据下载模块:配置用于重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;
[0032] 数据分析模块:配置用于通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。
[0033] 本发明通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;在GOIP设备与PC机相连接前,通过windows API接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windows API接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;最终通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。本发明填补了GOIP设备取证技术方面的空白,能够全面地获取GOIP设备中的数据,并且通过系统串口命令获取GOIP设备存储芯片镜像数据或者系统文件数据的方式,能够保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,为电子数据取证提供了有效的基础支撑,对电子数据取证具有重大意义。
附图说明
[0034] 包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
[0035] 图1是本申请可以应用于其中的示例性系统架构图;
[0036] 图2是本发明的一个实施例的一种基于串口的GOIP设备取证方法的流程图;
[0037] 图3是本发明的一个实施例的一种基于串口的GOIP设备取证系统的框架图;
[0038] 图4是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
[0039] 下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
[0040] 需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0041] 图1示出了可以应用本申请实施例的一种基于串口的GOIP设备取证方法的示例性系统架构100。
[0042] 如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
[0043] 用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、数据可视化类应用、网页浏览器应用等。
[0044] 终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
[0045] 服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上展示的系统串口命令提供支持的后台信息处理服务器。后台信息处理服务器可以对获取的系统串口命令进行处理,并生成处理结果(例如GOIP设备中的数据)。
[0046] 需要说明的是,本申请实施例所提供的方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应的装置一般设置于服务器105中,也可以设置于终端设备101、102、103中。
[0047] 需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
[0048] 应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
[0049] 根据本发明的一个实施例的一种基于串口的GOIP设备取证方法,图2示出了根据本发明的实施例的一种基于串口的GOIP设备取证方法的流程图。如图2所示,该方法包括以下步骤:
[0050] S201:通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型。
[0051] 在具体的实施例中,所述判断GOIP设备的串口类型具体包括:
[0052] 先确认GOIP设备的串口类型是否是外部串口,若否,则通过分析GOIP设备的PCB板判断GOIP设备的串口类型是否为内部串口。
[0053] 在具体的实施例中,所述确认GOIP设备的串口类型是否是外部串口,具体包括:
[0054] 先判断所述GOIP设备的串口是否有标识,所述标识包括Console,根据所述标识判断所述GOIP设备的串口类型是否为外部串口;
[0055] 再使用对应的线材将所述GOIP设备的外部接口与PC机相连,根据PC机设备管理器弹出的新设备判断所述GOIP设备的串口类型是否为外部串口。
[0056] 在具体的实施例中,所述通过分析GOIP设备的PCB板判断GOIP设备的串口类型是否为内部串口,具体包括:
[0057] 拆卸所述GOIP设备的外壳,分析所述GOIP设备的PCB板,所述分析具体包括:首先分析是否有包括TX、RX、GND在内的标识;再寻找连续3个到5个的板孔,分别通过万用表确定所述GOIP设备的串口类型是否为TX、RX、GND其中之一。
[0058] S202:在GOIP设备与PC机相连接前,通过windows API接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windows API接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号。
[0059] 在具体的实施例中,所述根据GOIP设备的串口类型将GOIP设备与PC机相连接,具体包括:
[0060] 若GOIP设备的串口类型为内部串口,则利用串口硬件工具的TXD连接GOIP设备的内部串口的接口RX,串口硬件工具的RXD连接GOIP设备的内部串口的接口TX,串口硬件工具的GND连接GOIP设备的内部串口的接口GND,再将串口硬件工具的另外一端连接PC机;
[0061] 若GOIP设备的串口类型为外部串口,则使用与所述外部串口相匹配的串口线将GOIP设备与PC机连接,所述串口线包括但不限于RJ45转USB、mini USB、micro USB、双公头USB。
[0062] S203:通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率。
[0063] 在具体的实施例中,假设集合B={B1,B2,B3……}为GOIP设备的波特率集合,且所述GOIP设备的波特率集合中的波特率B1,B2,B3……包括但不限于:9600、57600、115200,其中各波特率为4的倍数,单位为位/秒。
[0064] S204:重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据。
[0065] 在具体的实施例中,假设集合D={D1,D2,D3……}为GOIP系统串口命令集合,所述GOIP系统串口命令集合中的系统串口命令D1,D2,D3……包括但不限于:md,ext2load mmc 1:2,flash_read。
[0066] S205:通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。
[0067] 在具体的实施例中,所述镜像数据储存在包括PC在内的存储介质中。
[0068] 图3示出了本发明的一个实施例的一种基于串口的GOIP设备取证系统的框架图。该系统包括串口类型识别模块301、串口号识别模块302、波特率识别模块303、基于串口的数据下载模块304和数据分析模块305。
[0069] 在具体的实施例中,串口类型识别模块301被配置用于通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;
[0070] 串口号识别模块302被配置用于在GOIP设备与PC机相连接前,通过windows API接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windows API接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;
[0071] 波特率识别模块303被配置用于通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;
[0072] 基于串口的数据下载模块304被配置用于重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;
[0073] 数据分析模块305被配置用于通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。
[0074] 本系统通过对GOIP设备的内外部接口、引导程序等进行深入分析,基于GOIP设备的内外部串口的取证方法,通过系统串口命令获取GOIP设备存储芯片镜像数据或者系统文件数据,从而保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,为电子数据取证提供了有效的基础支撑。
[0075] 下面参考图4,其示出了适于用来实现本申请实施例的电子设备的计算机系统400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
[0076] 如图4所示,计算机系统400包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有系统400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
[0077] 以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
[0078] 特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
[0079] 可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0080] 附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0081] 描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,并且这些单元的名称在某种情况下并不构成对该单元本身的限定。
[0082] 本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
[0083] 本发明通过分析GOIP设备的串口标识、分析GOIP设备的PCB板以及将GOIP设备与PC机相连接,判断GOIP设备的串口类型;在GOIP设备与PC机相连接前,通过windows API接口获取串口号集合U1,再根据GOIP设备的串口类型将GOIP设备与PC机相连接,连接后再通过windows API接口获取串口号集合U2,比对所述串口号集合U1和所述串口号集合U2的元素之差,所述元素之差即为识别到的串口号;通过所述识别到的串口号对GOIP设备上电,再通过取证工具遍历GOIP设备的波特率集合中的波特率,并根据遍历到的波特率依次获取所述GOIP设备中的数据,当获取到的数据为明文日志信息时,将此时使用的波特率作为GOIP设备的波特率;重新对GOIP设备进行上电,通过取证工具遍历GOIP系统串口命令集合中的系统串口命令,并根据遍历到的系统串口命令依次利用所述取证工具判断出与所述GOIP设备匹配的系统串口命令,循环使用与所述GOIP设备匹配的系统串口命令对所述GOIP设备中的取证数据通过串口进行下载,得到镜像数据;最终通过取证分析装置对所述镜像数据进行镜像重组和文件系统解析。本发明填补了GOIP设备取证技术方面的空白,能够全面地获取GOIP设备中的数据,并且通过系统串口命令获取GOIP设备存储芯片镜像数据或者系统文件数据的方式,能够保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,为电子数据取证提供了有效的基础支撑,对电子数据取证具有重大意义。
[0084] 以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。