Python编程在电子数据取证分析中应用.docVIP

Python编程在电子数据取证分析中应用 　　摘 要：近年来，电子数据取证分析技术日益成熟，大部分电子数据取证分析工具都能对主流的应用程序数据进行提取解析，提高了电子数据取证分析人员工作效率的同时也降低了电子数据取证分析人员的技术门槛。然而，在实际电子数据取证分析工作中，目前基于预设策略的电子数据取证分析工具无法智能化、自动化地对新的应用程序数据进行提取解析。如何提取解析数据量大、数据复杂的应用程序数据，这给电子数据取证分析人员提出新的挑战，成为目前取证分析工作中的?y点。 　　关键词：Python；编程；电子数据取证；分析 　　中图分类号：DF793.2 文献标识码：B 　　The application of python programming in digtal forensics and analysis 　　Abstract： In recent years， the technology of digtal forensics and analysis is increasingly mature. The mainstream application data can be extracted and analyzed by most of the digtal forensics and analysis tools， so that it can improve digital forensic investigation works efficiency while also reducing the technical threshold. However， in practical work， tools which is based on default policies can not extracted and analyzed the new application data intelligently and automatically. For digital forensic investigators， its a big challenge to extracted and analyzed the large and complex application data. 　　Key words： python； programming； digtal forensics； analysis 　　1 引言 　　在电子数据取证分析工作中，我们常常遇到手头上的电子数据取证分析工具预设的数据提取策略无法满足提取解析个别小众的或基于违法犯罪目的开发的特别的应用程序数据，也无法进行数据恢复等操作，给取证工作的开展带来诸多不便。目前，通常的应对做法是使用Encase、X-Ways Forensics、UFED Physical Analyzer和Digatal Forensics Framework等电子数据取证分析工具自带的脚本编译器编程提取解析数据，但此种方法仍然会受到取证软件本身设计的一些限制导致有时不能达到理想的取证效果。为填补这一漏洞，使得对这一类特殊应用程序的取证可以达到最佳效果，满足不同实战环境的取证要求，本文以一种非典型“伪基站”的主程序日志文件的编程取证为例，提出了一种根据不同应用场景使用Python编程解决特殊应用程序数据提取的思路，在实战中取得较好的效果。当然，除此之外还可以使用C/C++、C#、Java甚至Linux Shell编程实现相同的效果。本文在此只介绍Python一种。 　　2 “伪基站”案件的取证要点 　　目前，国内办理的“伪基站”案件的行为性质大部分为非法使用“伪基站”设备干扰公用电信网络信号、危害公共安全，依照《刑法》第一百二十四条第一款的规定，以破坏公用电信设施罪追究刑事责任；同时构成虚假广告罪、非法获取公民个人信息罪、破坏计算机信息系统罪、扰乱无线电通讯管理秩序罪的，依照处罚较重的规定追究刑事责任。除法律、司法解释另有规定外，利用“伪基站”设备实施诈骗等其他犯罪行为，同时构成破坏公用电信设施罪的，依照处罚较重的规定追究刑事责任[1]。 　　针对非法使用“伪基站”设备干扰公用电信网络信号、危害公共安全行为，最高人民法院公布了相关司法解释：造成2000以上不满1万用户通信中断1小时以上，或者1万以上用户通信中断不满1小时的；在一个本地网范围内，网间通信全阻、关口局至某一局向全部中断或网间某一业务全部中断不满2小时或者直接影响范围不满5万（用户×小时）的；造成网间通信严重障碍，1日内累计2小时以上不满12小时的，属于刑法第一百二十四条规定的“危害公共安全”，依照刑法第一百二十四条第一款规定，以破坏公用电信设施罪处3年以上7年以下有期徒刑