(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114186247A(43)申请公布日2022.03.15(21)申请号202111306921.7(22)申请日2021.11.05(71)申请人写逸网络科技（上海）有限公司地址201801上海市嘉定区科福路358号4幢1层E区J323室(72)发明人程俊李文飞(74)专利代理机构上海骁象知识产权代理有限公司31315代理人赵俊寅(51)Int.Cl.G06F21/60(2013.01)权利要求书2页说明书4页附图3页(54)发明名称一种基于隐蔽数据流的数据采集方法(57)摘要一种基于隐蔽数据流的数据采集方法，包括以下步骤：步骤S1：通过对采集装置初始化完成各项配置；步骤S2：将配置完成的采集装置经过伪装成资料拷贝的形式，插入目标电脑，进行隐蔽数据采集；步骤S3：隐蔽数据采集完成后，将采集装置插入自有计算机，进行数据提取与恢复；步骤S4：完成数据提取与恢复后，进行采集装置的后处理流程，读写痕迹擦除。本发明克服了现有技术的不足，通过采用预配置采集选项，整个采集过程完全自动运行，给执法过程带来了极大的便利性和可操作性。且数据采集不仅做到隐蔽写入，更使用了高强度加密算法，在数据提取和恢复之后，进行系统的覆写擦除，保障了数据安全、防泄漏。CN114186247ACN114186247A权利要求书1/2页1.一种基于隐蔽数据流的数据采集方法，其特征在于，包括以下步骤：步骤S1：通过对采集装置初始化完成各项配置；步骤S2：将配置完成的采集装置经过伪装成资料拷贝的形式，插入目标电脑，进行隐蔽数据采集；步骤S3：隐蔽数据采集完成后，将采集装置插入自有计算机，进行数据提取与恢复；步骤S4：完成数据提取与恢复后，进行采集装置的后处理流程，读写痕迹擦除。2.根据权利要求1所述的一种基于隐蔽数据流的数据采集方法，其特征在于：所述步骤S1具体包括以下步骤：步骤S11：配置上网记录采集，包括浏览器的历史记录、地址栏URL、浏览器Cookie、浏览器收藏夹、浏览器临时文件；步骤S12：配置邮件客户端采集，包括本地客户端邮箱收件箱、已发送、草稿箱、已删除、垃圾箱、归档文件夹以及自定义文件夹；步骤S13：配置即时通讯记录采集，包括即时通讯记录的联系人列表、点对点消息列表、群聊列表、以及即时通讯软件的音视频文件；步骤S14：配置文档采集，包括配置目标采集的区域，全盘查找或指定一个或多个磁盘查找，配置文档采集的种类；步骤S15：配置密钥生成，配置密钥生成一对RSA公私钥，其中公钥用于数据采集过程中的隐蔽数据加密写入，私钥用于数据采集装置的数据提取和恢复过程。3.根据权利要求1所述的一种基于隐蔽数据流的数据采集方法，其特征在于：所述步骤S2具体包括以下步骤：步骤S21：采集程序自启动，采集装置通过基于计算机漏洞利用的方式进行自动启动，隐蔽运行无界面、无进程、无网络连接的采集程序；步骤S22：数据获取，采集程序根据初始化阶段的配置选项高速获取目标文件，包括上网记录、邮件客户端数据、即时通讯数据、文档数据；步骤S23：数据加密，采集程序使用高强度RSA密钥进行数据加密；步骤S24：隐蔽写入，采集程序使用NTFS数据流的形式直接将文件字节流以数据块的形式写入采集装置。4.根据权利要求3所述的一种基于隐蔽数据流的数据采集方法，其特征在于：所述步骤S24的数据块写入根据采集装置的特有硬件特征进行读写。5.根据权利要求1所述的一种基于隐蔽数据流的数据采集方法，其特征在于：所述步骤S3具体包括以下步骤：步骤S31：通过PC端软件识别采集装置并进行隐蔽NTFS数据块提取；步骤S32：加载密钥文件，PC端软件通过加载密钥文件将解密过程需要用到的私钥加载到程序内存中；步骤S33：数据解密，将第一步提取的加密数据块和第二步加载的密钥文件，采用多线程高并发的解密引擎，执行文件解密操作。6.根据权利要求1所述的一种基于隐蔽数据流的数据采集方法，其特征在于：所述步骤S4具体包括以下步骤：步骤S41：清除配置信息；2CN114186247A权利要求书2/2页步骤S42：清除数据块，对隐蔽数据采集过程中进行写入的NTFS数据块信息进行数据的清除；步骤S43：对整个采集装置进行磁盘的覆写擦除，恢复初始状态。7.根据权利要求1所述的一种基于隐蔽数据流的数据采集方法，其特征在于：所述步骤S41中配置信息包括采集装置初始化阶段生成的上网记录采集配置、邮件客户端采集配置、即时通讯记录采集配置、文档采集配置、密钥生成配置。3CN114186247A说明书1/4页一种基于隐蔽数据流的数据采集方法技术领域[0001]本发明涉及数据处理技术领域，具体涉及一种基于隐蔽数据流的数据采集方法。背景技术[0002]在国家有关部门执法过程中，通常