【技术实现步骤摘要】
本专利技术属于电子取证领域,涉及一种iphone手机用户使用痕迹取证的方法,尤其涉及一种针对airdrop溯源证据链的方法。
技术介绍
1、当今的iphone手机用户众多,iphone手机给用户的生活带来方便的同时,也给社会和公众带来了麻烦。主要体现为:一些不法分子利用iphone手机便捷的airdrop功能,在人群聚集的地方投放黄色、淫秽、反动、侵犯隐私的图片、文件、视频等等,或者投放互联网病毒程序、以盈利为目的、以诈骗为目的的各种文件、app等。
2、如何通过一部使用过的iphone手机,并采用一种便利的方式去精确地核查iphone手机用户使用痕迹,成为了电子取证需要迫切解决的问题。
3、其中,关于iphone手机用户使用痕迹,针对iphone手机的airdrop取证,在电子取证界的现有技术中存在诸多不足:例如,需要在小范围内固定人群/嫌疑犯;或者是,如果人员离开,将无法固定历史人群/嫌疑犯进行一定程度地分析和处理。具体地,现有技术中有如下弊端:
4、1.将iphone手机的airdrop数据数据都复制出来,效率不高;或者是当在场人员离开或关闭airdrop,就不能找到全部的历史人群/嫌疑犯及其所发送的文件,增加了取证难度。
5、2.数据分析能力不够:针对某一文件,分析的效果往往达不到取证的要求,很难找到收发端的关联性。
6、3.分析结果不够准确。
7、4.操作过程及其复杂,需要专业的人员协同才能完成取证的工作。
8、综上所述,一种操作方便、
9、现有技术中,尚无一种针对airdrop溯源证据链的方法。
技术实现思路
1、本申请针现有技术的技术问题,提供一种针对airdrop溯源证据链的方法。本申请所提供的方法包括以下步骤:
2、s100:生成和汇总接收端iphone手机的系统日志;
3、s200:解压所述系统日志;
4、s300:查找解压后的系统日志并获取证据链信息,包括以下步骤:
5、s301:查找解压后的系统日志,获取airdrop的通信连接的日志并获取发送端iphone手机名称、airdrop id,并获取接收端iphone手机的任务id、文件临时存放路径;
6、s302:查找解压后的系统日志,判断airdrop过程中是否出现异常中断,如果是,执行步骤s303,否则,执行步骤s304;
7、s303:查找解压后的系统日志,获取airdrop的通信连接的日志中由于异常中断而关闭airdrop的信息,获取发送端iphone手机名称、airdropid及发送端中被发送文件存放路径、被发送文件个数、被发送文件名称、被发送文件类型,用以校准由于异常中断过程中证据溯源的闭环链,执行步骤s307;
8、s304:查找解压后的系统日志,判断airdrop过程中用户是否选择接受,如果是,执行步骤s305,否则,表示用户选择拒绝,执行步骤s306;
9、s305:查找解压后的系统日志,获取数据转存的日志并获取airdrop数据的类型标题、存放的链接地址、任务对象地址、任务id;
10、s306:查找解压后的系统日志,获取清理缓存的日志,确定当前airdrop完毕并核对任务id,所清理缓存的对应路径与接收端iphone手机的文件临时存放路径相同;
11、s307:输出所获取的airdrop过程中的证据链信息,包括发送端及接收端各自iphone手机名称、airdrop id、进程名、日期/时间,以及发送端被发送文件存放路径、被发送文件个数、被发送文件名称、被发送文件类型、接收端iphone手机的文件临时存放路径;
12、s400:针对所获取的接收端iphone手机的日志,获取发送端iphone手机系统日志中所对应数据,用以校准证据溯源的闭环链,其中,所对应数据包括接收端iphone手机名称、airdrop id及发送端中被发送文件存放路径、被发送文件个数、被发送文件名称、被发送文件类型。
13、优选地,步骤s100包括以下步骤:
14、s101:接收端及发送端iphone手机均安装apple公司官方所提供的profile证书;
15、s102:profile证书安装完毕后重启手机;
16、s103:触发并生成系统日志;
17、s104:等待第一时长,用以完成iphone手机系统日志的生成;
18、s105:将所生成的系统日志上传至电脑。
19、优选地,步骤s103包括以下步骤:
20、同时按住上、下音量键及侧键/顶部键,保持1秒钟以上,当iphone手机发出震动后,松开按键,iphone手机触发并生成系统日志。
21、优选地,所述第一时长不少于10分钟。
22、优选地,步骤s306中,确定当前airdrop完毕并核对任务id包括以下步骤:
23、以任务对象地址的开始及任务对象地址的结束的成对消息,作为划分当前airdrop消息体的标志,将任务对象地址的开始及任务对象地址的结束之间的系统日志,作为当前airdrop消息体并获取证据链信息。
24、优选地,作为可选的确定当前airdrop消息体方法,采用当前airdrop所对应的、唯一的任务id,用以筛选当前airdrop消息体。
25、本专利技术具有以下有益效果:
26、1、无需额外的硬件设备,操作方便,取证效率高,分析结果准确,成本低廉。
27、2、解决了现有技术中尚无一种针对airdrop溯源证据链的方法的技术问题。
本文档来自技高网...【技术保护点】
1.一种针对AirDrop溯源证据链的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种针对AirDrop溯源证据链的方法,其特征在于,步骤S100包括以下步骤:
3.根据权利要求2所述的一种针对AirDrop溯源证据链的方法,其特征在于,步骤S103包括以下步骤:
4.根据权利要求2所述的一种针对AirDrop溯源证据链的方法,其特征在于,所述第一时长不少于10分钟。
5.根据权利要求1所述的一种针对AirDrop溯源证据链的方法,其特征在于,步骤S306中,确定当前AirDrop完毕并核对任务ID包括以下步骤:
6.根据权利要求5所述的一种针对AirDrop溯源证据链的方法,其特征在于,作为可选的确定当前AirDrop消息体方法,采用当前AirDrop所对应的、唯一的任务ID,用以筛选当前AirDrop消息体。
【技术特征摘要】
1.一种针对airdrop溯源证据链的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种针对airdrop溯源证据链的方法,其特征在于,步骤s100包括以下步骤:
3.根据权利要求2所述的一种针对airdrop溯源证据链的方法,其特征在于,步骤s103包括以下步骤:
4.根据权利要求2所述的一种针对airdrop溯源证据链的方法,其特征在于,所述第...
【专利技术属性】
技术研发人员:梁效宁,姚龙,许超明,
申请(专利权)人:四川效率源信息安全技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。