【技术实现步骤摘要】
一种对服务器进行远程取证的方法和装置
[0001]本专利技术涉及信息安全
,尤其涉及一种对服务器进行远程取证的方法和装置。
技术介绍
[0002]服务器远程取证是指,通过远程对服务器中的数据进行证据获取、保存的过程。可以用做服务器远程取证的文件数据有多种,如系统日志、系统审计记录、网络监控流量、电子邮件、系统报错记录、操作系统文件等。
[0003]现有技术中,执法人员对远程的服务器进行取证时,通常需要使用远程工具对服务器进行连接,连接成功后再通过人工输入命令对服务器进行查看并远程固定磁盘镜像。因此,需要有一定技术基础的人员才能完成服务器远程取证的工作任务,且若远程服务器部署在境外,进行此项工作时还需要手动添加代理,否则无法稳定地访问境外服务器。
[0004]如何稳定地进行镜像数据流的传输,并获取完整的镜像数据流,是目前亟需解决的技术问题。
技术实现思路
[0005]本专利技术提供一种对服务器进行远程取证的方法和装置,用以解决现有技术中直接访问境外服务器获取镜像数据流时效率低且稳定性低的缺陷。
[0006]本专利技术提供一种对服务器进行远程取证的方法,用于客户端,所述方法包括:
[0007]在接收到取证指令的情况下,确定待取证的目标服务器以及所述目标服务器对应的目标中转存储服务器;其中,所述目标中转存储服务器预先设置在所述客户端和所述目标服务器之间,所述目标中转存储服务器存储有从所述目标服务器获取的目标镜像数据流;
[0008]访问所述目标中转存储服务器,获 ...
【技术保护点】
【技术特征摘要】
1.一种对服务器进行远程取证的方法,其特征在于,用于客户端,所述方法包括:在接收到取证指令的情况下,确定待取证的目标服务器以及所述目标服务器对应的目标中转存储服务器;其中,所述目标中转存储服务器预先设置在所述客户端和所述目标服务器之间,所述目标中转存储服务器存储有从所述目标服务器获取的目标镜像数据流;访问所述目标中转存储服务器,获取与所述取证指令对应的所述目标镜像数据流,以实现对所述目标服务器的取证。2.根据权利要求1所述的对服务器进行远程取证的方法,其特征在于,所述在接收到取证指令的情况下,确定待取证的目标服务器以及所述目标服务器对应的目标中转存储服务器之前,所述方法还包括:获取所述目标服务器的至少一个物理磁盘的镜像数据流;获取所述中转存储服务器的用户登录信息,基于所述用户登录信息访问所述中转存储服务器,以获取所述中转存储服务器的存储权限;基于所述存储权限将所述目标服务器的至少一个所述物理磁盘对应的镜像数据流存储到所述中转存储服务器中。3.根据权利要求2所述的对服务器进行远程取证的方法,其特征在于,所述物理磁盘具有对应的磁盘信息,所述镜像数据流具有对应的数据流信息;所述磁盘信息包括磁盘已用空间大小和磁盘已用空间中存储数据流对应的第一序列号,所述数据流信息包括数据流大小和所述镜像数据流对应的第二序列号;所述基于所述存储权限将所述目标服务器的至少一个所述物理磁盘对应的镜像数据流存储到所述中转存储服务器中之后,所述方法还包括:访问所述中转存储服务器,读取所述镜像数据流的数据流信息;将所述第二序列号与所述第一序列号,以及所述数据流大小与所述磁盘已用空间大小分别进行比对,若比对不成功,则重新存储所述镜像数据流至所述中转存储服务器中。4.根据权利要求3所述的对服务器进行远程取证的方法,其特征在于,所述将所述第二序列号与所述第一序列号,以及所述数据流大小与所述磁盘已用空间大小分别进行比对,若比对不成功,则重新存储所述镜像数据流至所述中转存储服务器中,包括:将所述第二序列号与所述第一序列号进行比对;若不存在与所述第二序列号一致的所述第一序列号,则删除所述第二序列号对应的所述镜像数据流;若存在与所述第二序列号一致的所述第一序列号,则读取所述第一序列号对应的所述物理磁盘的磁盘已用空间大小,与所述镜像数据流的所述数据流大小进行比对;若所述磁盘已用空间大小与所述数据流当前空间大小不一致,则重新存储所述镜像数据流至所述中转存储服务器中。5.根据权利要求4所述的对服务器进行远程取证的方法,其特征在于,所述中转存储服务器设置有至少一个对象容器;所述基于所述存储权限将所述目标服务器的至少一个所述物理磁盘对应的镜像数据流存储到所述中转存储服务器中,包括:读取所述物理磁盘的磁盘已用空间大小,判断所述磁盘已用空间大小是否超过第一阈值;
若所述磁盘已用空间大小超过所述第一阈值,通过所述目标服务器将所述镜像数据流按照预...
【专利技术属性】
技术研发人员:刘钊,韩争光,李亚洲,李小军,周广林,
申请(专利权)人:奇安盘古上海信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。