計算機信息獲取系統的設計與實現

孫麗霞，石春菊

山東外事翻譯職業學院

計算機信息獲取系統的設計與實現

孫麗霞，石春菊

山東外事翻譯職業學院

現如今利用計算機進行的犯罪事件正在不斷地增加，因此計算機取證技術成為了人們逐漸研究以及關注的重點課題。計算機取證作為計算機領域以及法學領域的交叉科學，能夠對各種計算機犯罪案件以及安全事故進行解決，本課題設計了計算機信息獲取系統的模塊結構，并對其關鍵技術的實現進行了重點研究。

計算機信息；獲取系統；計算機取證

隨著社會信息化的不斷發展，利用計算機犯罪的案件數量也在不斷的上升。近年來，利用網絡進行的違法犯罪活動發展速度越來越快，僅金融犯罪案件就已經出現了200余起，其中最大一起造成了近2100萬的經濟損失。

目前，現有的技術難以滿足新形勢的需求，因此利用法律的力量對網絡犯罪進行應對已經成為了十分重要的方式。同時由于國內取證機構長期使用國外軟件，這也一定程度上對國家機密的安全問題造成了影響。本課題項目基于計算機取證，對于國內這一方面的空白有著十分重要的作用。

與國外的產品相比，本課題研究的系統具有以下特點：

（1）快速，根據預定任務，U盤能夠快速的從嫌疑計算機上對數字證據進行獲取。

（2）隱形，利用本系統能夠在嫌疑人沒有察覺的情況下對證據進行獲取。

（3）支持各種即時通訊軟件以及電子郵件取證。

（4）由于U盤具有讀寫方便的特點，同時與光盤相比，U盤還能夠多次寫入，且體積更小，容易攜帶。

一、系統總體設計

本課題研究的系統共分為兩個部分，為后臺服務器以及U盤客戶端，后臺服務器主要有兩種功能，分別為取證定制以及證據分析，取證定制包含類型以及關鍵詞兩個方面的定制；而在證據分析當中則包含案件管理以及證據搜索。

U盤客戶端主要是利用U盤做主要的數據獲取設備，而快速信息提取系統的功能則主要包含有以下幾個方面：

（1）利用U盤的自動播放功能實現U盤對證據進行可選擇獲取。

（2）基于IKEY的安全登錄。

（3）磁盤備份。

（4）全盤加密。

（5）數字簽名。

（6）實現文件名、關鍵詞、WEB日志等搜索。

二、對常見文檔的搜索

1.Lucene介紹

作為一種對文件當中所有文本進行檢索的方法，全文檢索能夠利用計算機程序對文章的中的每一個單詞進行掃描并建立索引，并且對該詞匯在文章當中出現的位置以及次數進行指明。一旦用戶能夠根據索引進行查找，就可以利用檢索的過程來進行查詢。作為按照全文檢索理論建立的軟件系統，全文檢索系統具有索引、增加索引等不同的功能。

作為全文檢索引擎工具包，Lucene是全文檢索引擎的架構，但并不是完整的檢索引擎，它能夠對完整的查詢引擎、文本分析引擎進行索引。其目的在于為開發人員提供簡單的工具包，從而實現更好的全文檢索，或者將其作為全文檢索引擎的基礎。

2.對PDF文件內部文字的搜索

Lucene只能夠直接處理文本，但在計算機當中還存在PDF等其他的文件格式，在對這些文件進行檢索過程當中，需要將其轉換成統一格式。如果這些文檔中有些格式不公開或者是半公開的，缺乏外部操作接口，就需要逐一的進行解決。

PDF格式文件將文字、顏色等封閉在一個文件當中，如果想對其文本信息進行抽取，就需要解析其文件格式。PDFBox、Xpdf等是比較常見的解析工具。利用Xpdf能夠實現對PDF的相關操作，作為開源項目，Xpdf還可以利用Java來對PDF當中的部分內容進行抽取。

3.WORD文本的抽取

WORD文檔作為復合文檔，是基于對象連接嵌入技術定義的文件系統結構，除了格式信息，WORD文檔當中還有很多的附加信息。作為Apache軟件基金會的開放源碼庫，Apache POI能夠對Java程序提供出Microsoft Office格式的檔案的讀寫功能。利用Apache當中的POI能夠對WORD以及Excel文檔進行抽取，POI項目能夠提供對WORD、Excel進行訪問的組件，并提供純Java的解決方案。

要對WORD格式進行抽取，一般能夠采用以下兩種方法：

（1）利用POI，POI能夠對WORD的文件格式進行直接訪問。由于Lucene以及POI都是Apache的子項目，因此兩者能夠無縫連接。這種方法實施簡單，只要對封裝之后的POI包進行下載，就能夠對其進行正確的配置，從而實現對WORD文本的抽取。

（2）利用COM-Java的方法，微軟公司的WORD程序能夠以COM的形式存在，如果能夠對COM組件進行調用，就能夠利用組件來對文本信息進行獲取。一般來講，Jacob是COM最為常用的組件，Jacob是對Java以及COM進行連接的中間件，但是其不能夠對WORD文件進行直接的抽取，還需要對DLL等其他文件進行寫入。

三、即時通訊證據獲取

1.QQ工具的證據獲取

作為一款即時通信軟件，QQ支持在線聊天、文件共享等許多功能。QQ用戶每天在線人數超過一千萬，已經成為了目前最廣泛使用的聊天軟件之一。

針對QQ信息的提取主要是通過客戶端的方式來進行獲取，其中涉及到漢字編碼轉換、安裝路徑等多種問題。QQ正常登錄之后，能夠對本機上的聊天記錄進行記錄。而對QQ的取證主要就是對其聊天記錄、群消息等數據庫文件進行獲取。

每一個用戶的資料都會保存在QQ號碼下的文件夾當中，其中，Ewh.db、MsgEX.db等是比較重要的文件，文件當中后綴為.db的文件都經過了算法加密。在MsgEX.db當中，保存著QQ聊天記錄，利用VC++復合瀏覽器，則能夠對其中的內容進行查看。

2.MSN的證據獲取

作為微軟網絡服務，MSN是微軟公司推出的及時消息軟件，能夠進行及時的文字聊天、視頻會議等。MSN當中的信息主要是依靠明碼發送的形式，并能夠對對話歷史記錄進行保存，xml文件當中對其記錄進行了全部的存放，“用戶昵稱+賬號代碼.xml”是其文件夾的名稱，與此同時，還能夠對用戶接受的文件信息進行記錄。因此，想要對MSN取證需要以下兩步：第一，對存放歷史記錄的文件夾進行獲取，第二，對MessageLog.xsl文件進行格式解析，通過對文件的讀取，就能夠對其歷史記錄當中的信息進行獲取。

當然在xml文件當中，可能會同時存在多個節點，xml文檔對象模型提供了標準的方法來對文檔當中的信息進行操作。比如利用MSxml解析器能夠生成DOM樹結構，并對文檔進行讀取。根據xml文檔內容對邏輯結構進行創建，文檔本身能夠包含其他的節點，我們通過解析器可以解析每個節點，并對需要的信息進行獲得。

四、郵箱證據獲取

作為優秀的國產電子郵件客戶端，Foxmail在郵件接發時利用了安全套接層協議，嚴格的對傳輸數據進行加密，能夠對數據的安全進行有效的保證。

對其郵件的獲取，主要分為以下兩個步驟進行實現：首先，將文件解析成為單個文件；第二，解析單個文件，對郵件當中的詳細信息進行獲取。在安裝目錄下，我們能夠看到mail文件夾中對各賬戶的郵件信息進行了存放，其中in.box、out.box、sent.box以及trash.box分別對應為收件箱、發件箱、已發送郵件以及廢件箱。

我們利用二進制查看器的方法能夠對.box當中的二進制信息進行查看，不管是什么郵件，其開頭都有16字節的特征信息，而在特征頭后面則為郵件的內容。因此可以對每個郵箱文件進行相應的二進制掃描，將郵箱特征頭寫到全新的.eml文件當中，最終實現對全部文件的解析。

五、利用WEB瀏覽器采集歷史數據

瀏覽器是能夠對網頁服務器當中的HTML文件進行顯示，并使得用戶與這些文件進行互動的軟件。Internet Explore等是個人電腦當中最常見的瀏覽器，為了對網頁訪問的速度進行提高，該瀏覽器通常會利用累計式加速的方法，將訪問過的網頁在電腦當中進行存放，我們將該空間稱之為IE緩存。用戶在日后每次對網站進行訪問時，IE都會對這個目錄進行搜索，如果有已經訪問過的內容，那么IE就不需要從網上直接下載，并直接從緩存當中進行調出，從而提高網站的訪問速度，并為信息提取提供相應的來源。默認的IE是安裝在Windows系統當中，此外還是很多用戶的默認瀏覽器。而在對網頁進行瀏覽的過程當中，IE會對歷史記錄進行保留，我們只要利用相應的工具就能夠對其上網行為進行分析，從而對證據進行獲取。

結束語

作為一門專業性、技術性極強的應用學科，隨著信息產業的不斷發展，計算機取證也給我國的司法工作人員提出了很大的挑戰。通過一定的研究我們發現，取證工具會與機器學習、安全技術、數據挖掘技術等開發技術相結合。與此同時，網絡協議的設計也需要考慮未來取證的需要。現如今，在實際的工作過程當中還比較缺乏適用的取證工具，但我國也正在投入巨大的人力、物力進行開發，相信通過不懈的努力，最終能夠創造出實用的取證工具。

[1]許存芝.檔案信息的采集[J].中國檔案，2011（03）

[2]陳奇軍.基于計算機網絡的企業信息應用價值及收集策略[J].中國商貿，2011（12）

[3]紀兆輝.本體的查詢與推理研究[J].微電子學與計算機，2011（10）

孫麗霞（1982-），女，漢族，山東乳山人，本科，講師職稱，主要研究方向：計算機軟件設計與信息服務；

石春菊（1981-），女，漢族，山東乳山人，本科，講師職稱。