启动盘启动痕迹获取方法、取证设备及相关产品与流程

1.本技术涉及电子取证
技术领域：
：，具体涉及一种启动盘启动痕迹获取方法、取证设备及相关产品。
背景技术：
：：2.近年来，随着信息化建设的不断推进，信息技术广泛应用和快速普及，信息网络在促进经济发展、社会进步和科技创新的同时，也带来了十分突出的信息安全问题。在知识产权、商业秘密保护的过程中，各大机关企业通常使用计算机内置监控系统，对员工使用的计算机进行权限控制、画面截图或录像等，通过该种方法能一定程度上限制员工的行为，防止泄露商业秘密。3.但在现实情况中，依然存在某些员工制作启动盘，通过启动盘绕过计算机内置监控系统和操作系统，由于使用windowspe系统进入计算机后，相当于获得了该计算机的最高权限，可以任意复制存储介质中的文件，通过复制的方法窃取计算机中的秘密和信息，并且办案人员很难使用常规的取证软件进行取证，难以获取windowspe系统的启动痕迹，导致企事业单位在发现自身权益被侵害时却无法举证。4.因此如何获取启动盘启动计算机的痕迹是目前亟待解决的技术问题。技术实现要素：5.本技术实施例提供了一种启动盘启动痕迹获取方法、取证设备及相关产品，通过对计算机的存储介质进行复制，成功获取到启动盘启动过计算机的痕迹。6.第一方面，本技术实施例提供一种启动盘启动痕迹获取方法，包括：7.对目标计算设备的存储介质进行位对位复制，得到目标副本；8.获取所述目标副本的efi系统分区；9.基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；10.解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；11.根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。12.第二方面，本技术实施例提供取证设备，包括：复制单元和处理单元；13.所述复制单元，用于对目标计算设备的存储介质进行位对位复制，得到目标副本；14.所述处理单元，用于获取所述目标副本的efi系统分区；15.基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；16.解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；17.根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。18.第三方面，本技术实施例提供一种电子设备，包括：处理器和存储器，所述处理器与存储器相连，所述存储器用于存储计算机程序，所述处理器用于执行所述存储器中存储的计算机程序，以使得所述电子设备执行如第一方面所述的方法。19.第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序使得计算机执行如第一方面所述的方法。20.第五方面，本技术实施例提供一种计算机程序产品，所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，所述计算机可操作来使计算机执行如第一方面所述的方法。21.实施本技术实施例，具有如下有益效果：22.可以看出，在本技术实施例中，在验证启动盘有没有对目标计算设备启动过时，可以先对目标计算设备的存储介质，即硬盘进行对位复制，得到目标副本；然后，获取该目标副本中的efi系统分区，并从efi系统分区的目标文件夹，获取文件名为第一预设名称，且格式为第一预设格式的第一目标文件；然后解压第一目标文件，得到k个格式为第二目标文件，且文件名包含目标计算设备的序列号的第二目标文件。最后，基于该k个第二目标文件，确定出启动盘启动目标计算设备的痕迹，即确定出启动目标计算设备的启动次数、启动时间，以及启动盘的硬件信息，等等，弥补了现在无法获取启动盘启动计算机的痕迹的技术空白，使得电子取证覆盖面更加广泛和全面，更好地保护企业和用户的隐私信息。附图说明23.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。24.图1为本技术实施例提供的一种取证系统的流程示意图；25.图2为本技术实施例提供的一种启动盘启动痕迹获取方法的流程示意图；26.图3为本技术实施例提供的一种取证设备的功能单元组成框图；27.图4为本技术实施例提供的一种电子设备的结构示意图。具体实施方式28.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。29.本技术的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。30.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结果或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。31.为了便于理解本技术的技术方案，首先对本技术涉及到的相关知识进行说明。32.(1)windowspe33.windows预安装环境(windowspreinstallationenvironment，windowspe)，是带有有限服务的最小win32子系统，基于以保护模式运行的windowsxpprofessional及以上内核。它包括运行windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。windowspe用于安装、部署和修复windows桌面版(家庭版、专业版、企业版和教育版)、windowsserver以及其他windows操作系统。然而，windowspe并非为普通用户可以正常使用的操作系统，多数用于开发人员及维修主系统使用。34.(2)大白菜windowspe35.大白菜windowspe是基于windowspe系统改版的装机工具，通常安装在移动存储介质(例如u盘或者移动硬盘)中制作成启动盘，将启动盘连接到计算机中，可以通过bios选择该启动盘为计算机的启动方式，即可进入“大白菜windowspe”系统，此时可以在计算机中进行重装系统、复制文件等操作。“大白菜windowspe”系统是目前市面上使用最广泛的装机系统，通常用于新机装系统、重装系统或系统修复。本技术所涉及到的启动盘也都是以该启动盘中安装有大白菜windowspe系统为例进行说明。36.(3)存储介质取证软件37.3.1硬盘复制机38.硬盘作为计算机最主要的信息存储介质，是电子取证的重要获取内容。硬盘复制机可对存储在嫌疑硬盘中(包括已删除的文件、未使用空间和文件空白处)的所有数据按位拷贝，得到与嫌疑硬盘对应的副本。本技术所涉及到的硬盘复制机包括但不限于：dossir、td1、quest、hardcopy、solo、supersonix以及dc-8103。39.3.2电子数据取证软件40.电子数据取证软件可将已删除文件恢复和提取，对不同程度上的数据破坏进行恢复，以及将不可见区域的数据进行呈现。本技术涉及到的电子数据取证软件包括但不限于：winhex、dataextractor、pc-3000、easyrecover、finaldata以及r-studio。41.(4)efi系统分区(efisystempartition，esp)42.efi系统分区是一个fat16或fat32格式的物理分区，该分区在windows操作系统下一般是不可见的。uefibios引导efi系统的使用，存储bios/efinand芯片存储不下的那部分efi扩展功能。支持efi模式的电脑需要从esp启动系统，efi固件可从esp加载efi启动程序或者应用。43.(5)全局唯一标识分区表(guidpartitiontable，gpt)44.gpt是指全局唯一标识磁盘分区表格式。它是可扩展固件接口标准的一部分，被用于替代bios系统中的以32bits来存储逻辑块地址和大小信息的主引导记录(mbr)分区表。45.(6)文件签名恢复46.文件签名恢复提取技术用于数据恢复领域中。该项技术利用文件签名的唯一特征信息来找到不同格式的文件，再通过文件恢复技术来恢复丢失文件。47.(7)基本输入输出系统(basicinputoutputsystem，bios)48.biso它是一组固化到计算机内主板上一个rom芯片上的程序，它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序，它可从cmos中读写系统设置的具体信息。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。此外，bios还向作业系统提供一些系统参数。系统硬件的变化是由bios隐藏，程序使用bios功能而不是直接控制硬件。现代作业系统会忽略bios提供的抽象层并直接控制硬件组件。49.参阅图1，图1为本技术实施例提供的一种取证系统的示意图。如图1所示，取证系统包括目标计算设备10和取证设备20。50.首先取证设备20对目标计算设备10的存储介质进行对位复制，得到目标副本。然后，取证设备20获取所述目标副本的efi系统分区；基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。51.参阅图2，图2为本技术实施例提供的一种启动盘启动痕迹获取方法的流程示意图。该方法应用于上述的取证设备。该方法包括但不限于以下步骤内容：52.201：对目标计算设备的存储介质进行位对位复制，得到目标副本。53.首先说明，本技术所涉及的目标计算设备为计算机，该计算机可以为平板电脑、掌上电脑、笔记本电脑，等各种类型的电脑，本技术不对目标计算设备的类型进行限定。54.示例性的，取证设备使用硬盘复制机对目标计算设备的存储介质进行对位复制，可得到目标计算设备的目标副本。应说明，为了统一描述，本技术所提到的目标计算设备的存储介质本质上就是目标计算设备的硬盘，两者在本质上是一致的，可以不用区分。55.202：获取所述目标副本的efi系统分区。56.示例性的，取证设备对目标副本的磁盘分区进行识别，得到efi系统分区。57.203：基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式。58.示例性的，本技术所提到的目标文件夹的文件名为：efi，第一预设名称为：硬件+分区信息备份，第一预设格式为：.7z。因此，取证设备对efi系统分区下的各个文件夹进行识别，找到文件名称为“efi”的目标文件夹；然后打开该目标文件夹，以获取第一目标文件。59.具体地，获取该目标文件中的各个文件的文件名，并确定各个文件的文件名是否为该第一预设名称；若某个文件的文件名为所述第一预设名称，确定该文件的格式是否为第一预设格式；若是，则将所述目标文件夹中文件名为所述第一预设名称，且格式为第一预设格式的文件作为第一目标文件，即将“硬件+分区信息备份.7z”文件作为第一目标文件。若目标文件夹中不包含有文件名为第一预设名称和/或格式为第一预设格式的文件，则获取与第一格式对应的文件特征，即获取.7z文件的文件特征，该文件特征可以为.7z文件的文件头尾；然后，基于该文件进行文件签名恢复，即通过该文件特征对存储介质中的数据进行搜索和重组，并将文件存储到一个文件夹中，该文件夹用于存储文件签名恢复过程中生成的文件，该文件夹可以为取证设备中的任意一个存储空间中的文件夹。然后，再从该文件夹中获取文件名为所述第一预设名称，且格式为以所述第一预设格式的第三文件。然后，获取该第三文件的原始存储路径，即该第三文件在存储介质中的原始存储位置；若该原始存储路径表征所述第三文件原始存放在所述目标文件夹(即文件夹efi)中，则将第三文件作为所述第一目标文件，也就是说文件签名恢复过程中，恢复出了存储在文件夹efi中的硬件+分区信息备份.7z。60.应说明，若目标文件夹中不包含第一目标文件，并且在对第三文件进行文件签名恢复过程中，也未生成第一目标文件，则结束对目标计算设备的取证过程，也就是说目标计算设备未被启动盘启动过。本技术中主要以成功获取到第一目标文件为例进行说明。61.204：解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式。62.其中，第二预设格式为“.dbc”。63.示例性的，取证设备解压该第一目标文件，得到多个第一候选文件，即解压出“硬件+分区信息备份.7z”文件中包含的所有文件；然后，从所述多个第一候选文件中筛选出格式为所述第二预设格式的多个第二候选文件，即筛选出格式为“.dbc”的文件。64.在本技术的一个实施方式中，取证设备可以先获取到目标计算设备的序列号。示例性的，在所述目标计算设备不包含所述存储介质的情况下，比如，测试人员将目标计算设备的硬盘取出，然后取证设备进入所述目标计算设备的bios，获取所述目标计算设备的基础信息，其中，所述基础信息包括所述序列号。应说明，该基础信息还可以包含获取目标计算设备的品牌、序列号、型号、bios发布时间、bios版本信息和处理器信息，等等，以便于后续与启动盘的启动信息进行比对，后续说明比对过程。65.最后，将多个第二候选文件中文件名包含所述目标计算设备的序列号的候选文件作为第二目标文件，得到所述k个第二目标文件，其中，k为大于或者等于1的整数。66.进一步地，每个第二目标文件的文件名中还包含每个第二目标文件的生成时间，以及固定内容，其中，固定内容包括“磁盘分区备份”、“【】”，以及“[]”，其中，“【】”和“[]”分别作用于序列号和生成时间。因此，每个第二目标文件为“【序列号】[生成时间]磁盘分区备份.dbc”。[0067]应说明，若取证设备在打开第一目标文件后，第一目标文件中各个文件的文件名均不包含目标计算设备的序列号命名，即未筛选出第二目标文件，则说明目标计算设备未被启动盘启动过，则结束取证过程。[0068]205：根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。[0069]其中，启动盘启动目标计算设备的痕迹包括启动盘启动目标计算设备的次数、每次启动目标计算设备的启动时间以及启动盘的硬件信息。[0070]可选地，将k个第二目标文件的数量作为启动盘启动目标计算设备的次数。[0071]可选地，取证设备以文本方式打开每个第二目标文件，得到每个第二目标文件中的文件内容。然后，根据每个第二目标文件中的文件内容，确定所述启动盘的硬件信息。其中，该硬件信息包括但不限于：启动盘的品牌和启动盘的系统版本。[0072]可选地，每个第二目标文件主要包含四部分内容，该四部分内容包括但不限于以下内容：[0073]第一部内容包括：目标计算设备的磁盘信息和磁盘的分区信息，即目标计算设备的磁盘信息和分区信息；[0074]第二部分包括：目标计算设备的基础信息，包括但不限于：目标计算设备的品牌、序列号、型号、bios发布时间、bios版本信息和处理器信息；[0075]第三部分包括：启动盘的信息，包括但不限于：启动盘的系统版本、品牌和启动时间；[0076]第四部分包括：目标计算设备的所有硬件信息，其中，该所有硬件信息包括“大白菜启动盘的硬件信息。[0077]因此，取证设备以文件方式打开每个第二目标文件后，可对第二目标文件的文件内容进行章节识别，得到第三部分，从第三部分中得到启动盘的硬件信息。当然，也可以从第四部分中得到启动盘的硬件信息。取证设备在从每个第二目标文件获取到启动盘的硬件信息后，可将任意一个目标文件获取到的启动盘的硬件信息，作为启动盘的硬件信息进行输出。当然，取证设备也可以对k个目标文件获取到的启动盘的硬件信息进行比对，确定是否一致；若一致，再输出启动盘的硬件信息。[0078]上面叙述了如何获取启动盘的硬件信息以及启动盘启动目标计算设备的次数的过程。但是对于启动盘的启动时间来说，是基于目标计算设备的系统时间生成的。非法人员在使用启动盘启动目标计算设备后，可以对目标计算设备的系统时间进行修改。因此，第二目标文件中记录的启动盘的启动时间(包括文件名中记录的启动时间或者文件内容中记录的启动时间)，并不一定是启动盘的真实启动时间。[0079]下面介绍如何获取每次启动目标计算设备的真实启动时间。[0080]示例性的，获取每个第二目标文件的生成时间。例如，取证设备可以直接从每个第二目标文件的文件名中获取每个目标文件的生成时间，或者，取证设备以文本方式打开每个第二目标文件后，从每个第二目标文件的文件内容中获取每个第二目标文件的生成时间。然后，根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间。具体地，从每个第二目标文件的生成时间前后，从目标副本中获取目标计算设备的多个日志，比如，获取位于该生成时间之前的第一预设时间段之前的日志，以及获取位于该生成时间之后的第二预设时间段内的日志，得到多个日志；然后，基于该多个日志的序号或者日志时间，确定该多个日志是否满足预设条件，其中，该预设条件为日志的序号无中断和/或日志时间连续无中断。[0081]可选地，当多个日志满足预设条件时，则说明启动盘在第i次启动目标计算设备过程中，目标计算设备的系统时间并未被更改，也就是说，该第二目标文件所对应的生成时间是可信的，故可将该第二目标文件对应的生成时间，作为启动盘第i次启动目标计算设备的启动时间，其中，启动盘第i次启动目标计算设备时生成该第二目标文件，即该第i次启动目标计算设备与该第二目标文件两者存在对应关系。[0082]可选地，当多个日志不满足预设条件时，也就是多个日志的序号有中断和/或日志时间有中断，则说明启动盘第i次启动目标计算设备过程中，目标计算设备的系统时间被更改，则说明第二目标文件所记录的启动时间是不可信的，因此根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间。示例性的，基于日志时间对多个日志进行排序，得到排序结果；然后，基于排序结果从多个日志中确定第一日志以及第二日志，其中，位于所述第一日志之前的日志与所述第一日志之间满足所述预设条件，所述第二日志为所述第一日志下一时刻的日志，且所述第一日志与所述第二日志之间不满足所述预设条件。[0083]举例来说，若存在日志1、日志2、日志3、日志4以及日志5，经过对这五个日志进行分析可知，日志1、日志2以及日志3之间满足预设条件，但日志3和日志4不满足预设条件，则可确定日志3为第一日志，日志4为第二日志。[0084]最后，根据每个第二目标文件对应的生成时间、所述第一日志的日志时间、所述第二日志的日志时间，确定所述启动盘第i次启动所述目标计算设备的启动时间。示例性的，与上述第二目标文件对应的启动盘第i次启动所述目标计算设备的启动时间可通过公式(1)表示：[0085]t真＝t1+(t启-t2)；[0086]其中，t真为启动盘第i次启动所述目标计算设备的启动时间，t1为第一日志的日志时间，t2为第二日志的日志时间，t启为每个第二目标文件对应的生成时间。[0087]在本技术的一个实施方中，取证设备还可以从每个第二目标文件的文件内容中获取到目标计算设备的基础信息；然后，将从每个第二目标文件的文件内容中获取到目标计算设备的基础信息，与进入目标计算设备的bios获取到的目标计算设备的基础信息进行比对，确定两者是否一致，若是，则进一步确定每个第二目标文件是启动盘启动该目标计算设备生成，也就更加证实启动盘启动过目标计算设备，进一步保证了获取到的启动盘启动目标计算设备的痕迹的可信度。[0088]可以看出，在本技术实施例中，在验证启动盘有没有对目标计算设备启动过时，可以先对目标计算设备的存储介质，即硬盘进行对位复制，得到目标副本；然后，获取该目标副本中的efi系统分区，并从efi系统分区的目标文件夹，获取文件名为第一预设名称，且格式为第一预设格式的第一目标文件；然后解压第一目标文件，得到k个格式为第二目标文件，且文件名包含目标计算设备的序列号的第二目标文件。最后，基于该k个第二目标文件，确定出启动盘启动目标计算设备的痕迹，即确定出启动目标计算设备的启动次数、启动时间，以及启动盘的硬件信息，等等，从而实现获取到启动盘启动计算机的痕迹，使得电子取证覆盖面更加广泛和全面，更好地保护企业和用户的隐私信息。[0089]参阅图3，图3为本技术实施例提供的一种取证设备的功能单元组成框图。取证设备300包括：复制单元301和处理单元302；[0090]复制单元，用于对目标计算设备的存储介质进行位对位复制，得到目标副本；[0091]处理单元302，用于获取所述目标副本的efi系统分区；[0092]基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；[0093]解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；[0094]根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。[0095]在本技术的一个实施方式中，在基于所述efi系统分区的目标文件夹，获取第一目标文件方面，处理单元302，具体用于：[0096]确定所述目标文件夹中是否包含有文件名为所述第一预设名称，且格式为所述第一预设格式的文件；[0097]若包含，则将所述目标文件夹中文件名为所述第一预设名称，且格式为以所述第一预设格式的文件作为所述第一目标文件；[0098]若不包含，则获取与所述第一格式对应的文件特征，基于所述文件特征进行文件签名恢复，在文件签名恢复后，从用于存储文件签名恢复过程中生成的文件的文件夹中获取文件名为所述第一预设名称，且格式为所述第一预设格式的第三文件，并获取所述第三文件的原始存储路径；若所述原始存储路径表征所述第三文件原始存放在所述目标文件夹中，则将所述第三文件作为所述第一目标文件。[0099]在本技术的一个实施方式中，在解压所述第一目标文件，得到k个第二目标文件方面，处理单元302，具体用于：[0100]解压所述第一目标文件，得到多个第一候选文件；[0101]从所述多个第一候选文件中筛选出格式为所述第二预设格式的多个第二候选文件；[0102]将所述多个第二候选文件中文件名包含所述目标计算设备的序列号的候选文件作为第二目标文件，得到所述k个第二目标文件。[0103]在本技术的一个实施方式中，在根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹方面，处理单元302，具体用于：[0104]将所述k个第二目标文件的数量作为所述启动盘启动所述目标计算设备的次数；[0105]根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间；[0106]以文本方式打开每个第二目标文件，得到每个第二目标文件中的文件内容；[0107]根据每个第二目标文件中的文件内容，确定所述启动盘的硬件信息。[0108]在本技术的一个实施方式中，在根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间方面，处理单元302，具体用于：[0109]基于每个第二目标文件的生成时间前后，从所述目标副本获取所述目标计算设备的多个日志；[0110]若所述多个日志满足预设条件，将每个第二目标文件对应的生成时间作为所述启动盘第i次启动所述目标计算设备的启动时间，其中，所述启动盘第i次启动所述目标计算设备生成该第二目标文件，所述预设条件为日志的序号无中断和/或日志时间连续无中断；[0111]若所述多个日志不满足所述预设条件，根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间。[0112]在本技术的一个实施方式中，在根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间方面，处理单元302，具体用于：[0113]基于日志时间对所述多个日志进行排序；[0114]基于排序结果，从所述多个日志中确定第一日志以及第二日志，其中，位于所述第一日志之前的日志与所述第一日志之间满足所述预设条件，所述第二日志为所述第一日志下一时刻的日志，且所述第一日志与所述第二日志之间不满足所述预设条件；[0115]根据每个第二目标文件对应的生成时间、所述第一日志的日志时间、所述第二日志的时间，确定所述启动盘第i次启动所述目标计算设备的启动时间；[0116]其中，所述启动盘第i次启动所述目标计算设备的启动时间满足以下公式：[0117]t真＝t1+(t启-t2)；[0118]其中，t真为所述启动盘第i次启动所述目标计算设备的启动时间，t1为第一日志的日志时间，t2为第二日志的日志时间，t启为每个第二目标文件对应的生成时间。[0119]在本技术的一个实施方式中，处理单元302，还用于：[0120]在所述目标计算设备不包含所述存储介质的情况下，进入所述目标计算设备基本输入输出系统bios，获取所述目标计算设备的基础信息，其中，所述基础信息包括所述序列号。[0121]参阅图4，图4为本技术实施例提供的一种电子设备的结构示意图。如图4所示，电子设备400包括收发器401、处理器402和存储器403。它们之间通过总线404连接。存储器403用于存储计算机程序和数据，并可以将存储器403存储的数据传输给处理器402。其中，电子设备400可以为上述取证设备300。[0122]处理器402用于读取存储器403中的计算机程序执行以下操作：[0123]通过收发器401对目标计算设备的存储介质进行位对位复制，得到目标副本；[0124]获取所述目标副本的efi系统分区；[0125]基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；[0126]解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；[0127]根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。[0128]在本技术的一个实施方式中，在基于所述efi系统分区的目标文件夹，获取第一目标文件方面，处理器402具体用于执行以下操作：[0129]确定所述目标文件夹中是否包含有文件名为所述第一预设名称，且格式为所述第一预设格式的文件；[0130]若包含，则将所述目标文件夹中文件名为所述第一预设名称，且格式为以所述第一预设格式的文件作为所述第一目标文件；[0131]若不包含，则获取与所述第一格式对应的文件特征，基于所述文件特征进行文件签名恢复，在文件签名恢复后，从用于存储文件签名恢复过程中生成的文件的文件夹中获取文件名为所述第一预设名称，且格式为所述第一预设格式的第三文件，并获取所述第三文件的原始存储路径；若所述原始存储路径表征所述第三文件原始存放在所述目标文件夹中，则将所述第三文件作为所述第一目标文件。[0132]在本技术的一个实施方式中，在解压所述第一目标文件，得到k个第二目标文件方面，处理器402具体用于执行以下操作：[0133]解压所述第一目标文件，得到多个第一候选文件；[0134]从所述多个第一候选文件中筛选出格式为所述第二预设格式的多个第二候选文件；[0135]将所述多个第二候选文件中文件名包含所述目标计算设备的序列号的候选文件作为第二目标文件，得到所述k个第二目标文件。[0136]在本技术的一个实施方式中，在根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹方面，处理器402具体用于执行以下操作：[0137]将所述k个第二目标文件的数量作为所述启动盘启动所述目标计算设备的次数；[0138]根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间；[0139]以文本方式打开每个第二目标文件，得到每个第二目标文件中的文件内容；[0140]根据每个第二目标文件中的文件内容，确定所述启动盘的硬件信息。[0141]在本技术的一个实施方式中，在根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间方面，处理器402具体用于执行以下操作：[0142]基于每个第二目标文件的生成时间前后，从所述目标副本获取所述目标计算设备的多个日志；[0143]若所述多个日志满足预设条件，将每个第二目标文件对应的生成时间作为所述启动盘第i次启动所述目标计算设备的启动时间，其中，所述启动盘第i次启动所述目标计算设备生成该第二目标文件，所述预设条件为日志的序号无中断和/或日志时间连续无中断；[0144]若所述多个日志不满足所述预设条件，根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间。[0145]在本技术的一个实施方式中，在根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间方面，处理器402具体用于执行以下操作：[0146]基于日志时间对所述多个日志进行排序；[0147]基于排序结果，从所述多个日志中确定第一日志以及第二日志，其中，位于所述第一日志之前的日志与所述第一日志之间满足所述预设条件，所述第二日志为所述第一日志下一时刻的日志，且所述第一日志与所述第二日志之间不满足所述预设条件；[0148]根据每个第二目标文件对应的生成时间、所述第一日志的日志时间、所述第二日志的时间，确定所述启动盘第i次启动所述目标计算设备的启动时间；[0149]其中，所述启动盘第i次启动所述目标计算设备的启动时间满足以下公式：[0150]t真＝t1+(t启-t2)；[0151]其中，t真为所述启动盘第i次启动所述目标计算设备的启动时间，t1为第一日志的日志时间，t2为第二日志的日志时间，t启为每个第二目标文件对应的生成时间。[0152]在本技术的一个实施方式中，处理器402还用于执行以下操作：[0153]在所述目标计算设备不包含所述存储介质的情况下，进入所述目标计算设备基本输入输出系统bios，获取所述目标计算设备的基础信息，其中，所述基础信息包括所述序列号。[0154]具体地，上述收发器401可为图3所述的实施例的取证设备300的复制单元301，上述处理器402可以为图3所述的实施例的取证设备300的处理单元302。[0155]应理解，本技术中的电子设备可以包括各种计算设备，例如，平板电脑、掌上电脑、笔记本电脑、移动互联网设备mid等。上述电子设备仅是举例，而非穷举，包含但不限于上述电子设备。[0156]本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行以实现如上述方法实施例中记载的任何一种启动盘启动痕迹获取方法的部分或全部步骤。[0157]本技术实施例还提供一种计算机程序产品，所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，所述计算机程序可操作来使计算机执行如上述方法实施例中记载的任何一种启动盘启动痕迹获取方法的部分或全部步骤。[0158]需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本技术所必须的。[0159]在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。[0160]在本技术所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。[0161]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。[0162]另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件程序模块的形式实现。[0163]所述集成的单元如果以软件程序模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储器包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。[0164]本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储器中，存储器可以包括：闪存盘、只读存储器(英文：read-onlymemory，简称：rom)、随机存取器(英文：randomaccessmemory，简称：ram)、磁盘或光盘等。[0165]以上对本技术实施例进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。当前第1页12当前第1页12
技术特征：
1.一种启动盘启动痕迹获取方法，其特征在于，应用于取证设备，包括：对目标计算设备的存储介质进行位对位复制，得到目标副本；获取所述目标副本的efi系统分区；基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。2.根据权利要求1所述的方法，其特征在于，所述基于所述efi系统分区的目标文件夹，获取第一目标文件，包括：确定所述目标文件夹中是否包含有文件名为所述第一预设名称，且格式为所述第一预设格式的文件；若包含，则将所述目标文件夹中文件名为所述第一预设名称，且格式为以所述第一预设格式的文件作为所述第一目标文件；若不包含，则获取与所述第一格式对应的文件特征，基于所述文件特征进行文件签名恢复，在文件签名恢复后，从用于存储文件签名恢复过程中生成的文件的文件夹中获取文件名为所述第一预设名称，且格式为所述第一预设格式的第三文件，并获取所述第三文件的原始存储路径；若所述原始存储路径表征所述第三文件原始存放在所述目标文件夹中，则将所述第三文件作为所述第一目标文件。3.根据权利要求1或2所述的方法，其特征在于，所述解压所述第一目标文件，得到k个第二目标文件，包括：解压所述第一目标文件，得到多个第一候选文件；从所述多个第一候选文件中筛选出格式为所述第二预设格式的多个第二候选文件；将所述多个第二候选文件中文件名包含所述目标计算设备的序列号的候选文件作为第二目标文件，得到所述k个第二目标文件。4.根据权利要求1-3任一项所述的方法，其特征在于，所述根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹，包括：将所述k个第二目标文件的数量作为所述启动盘启动所述目标计算设备的次数；根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间；以文本方式打开每个第二目标文件，得到每个第二目标文件中的文件内容；根据每个第二目标文件中的文件内容，确定所述启动盘的硬件信息。5.根据权利要求4所述的方法，其特征在于，所述根据每个第二目标文件的文件名中的生成时间，确定所述启动盘每次启动所述目标计算设备的启动时间，包括：基于每个第二目标文件的生成时间前后，从所述目标副本获取所述目标计算设备的多个日志；若所述多个日志满足预设条件，将每个第二目标文件对应的生成时间作为所述启动盘第i次启动所述目标计算设备的启动时间，其中，所述启动盘第i次启动所述目标计算设备生成该第二目标文件，所述预设条件为日志的序号无中断和/或日志时间连续无中断；
若所述多个日志不满足所述预设条件，根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间。6.根据权利要求5所述的方法，其特征在于，所述根据所述多个日志的日志时间以及每个第二目标文件对应的生成时间，确定所述启动盘第i次启动所述目标计算设备的启动时间，包括：基于日志时间对所述多个日志进行排序；基于排序结果，从所述多个日志中确定第一日志以及第二日志，其中，位于所述第一日志之前的日志与所述第一日志之间满足所述预设条件，所述第二日志为所述第一日志下一时刻的日志，且所述第一日志与所述第二日志之间不满足所述预设条件；根据每个第二目标文件对应的生成时间、所述第一日志的日志时间、所述第二日志的时间，确定所述启动盘第i次启动所述目标计算设备的启动时间；其中，所述启动盘第i次启动所述目标计算设备的启动时间满足以下公式：t
真
＝t1+(t
启-t2)；其中，t
真
为所述启动盘第i次启动所述目标计算设备的启动时间，t1为第一日志的日志时间，t2为第二日志的日志时间，t
启
为每个第二目标文件对应的生成时间。7.根据权利要求1-6任一项所述的方法，其特征在于，所述方法还包括：在所述目标计算设备不包含所述存储介质的情况下，进入所述目标计算设备的基本输入输出系统bios，获取所述目标计算设备的基础信息，其中，所述基础信息包括所述序列号。8.一种取证设备，其特征在于，包括：复制单元和处理单元；所述复制单元，用于对目标计算设备的存储介质进行位对位复制，得到目标副本；所述处理单元，用于获取所述目标副本的efi系统分区；基于所述efi系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。9.一种电子设备，其特征在于，包括：处理器和存储器，所述处理器与所述存储器相连，所述存储器用于存储计算机程序，所述处理器用于执行所述存储器中存储的计算机程序，以使得所述电子设备执行如权利要求1-7中任一项所述的方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行以实现如权利要求1-7中任一项所述的方法。

技术总结
本申请实施例公开了一种启动盘启动痕迹获取方法、取证设备及相关产品。该方法包括：对目标计算设备的存储介质进行位对位复制，得到目标副本；获取所述目标副本的EFI系统分区；基于所述EFI系统分区的目标文件夹，获取第一目标文件，其中，所述第一目标文件的文件名为第一预设名称，且格式为第一预设格式；解压所述第一目标文件，得到k个第二目标文件，其中，每个第二目标文件的文件名包含所述目标计算设备的序列号，且格式为第二预设格式；根据所述k个第二目标文件，确定所述启动盘启动所述目标计算设备的痕迹。本申请实施例能够成功获取到启动盘启动目标计算机的痕迹。启动盘启动目标计算机的痕迹。启动盘启动目标计算机的痕迹。


技术研发人员：杨炎
受保护的技术使用者：广西云数字媒体集团有限公司
技术研发日：2023.05.31
技术公布日：2023/9/14