31、便携式计算机取证数据可视化分析与智能电网通用软件平台研究

便携式计算机取证数据可视化分析与智能电网通用软件平台研究

1 便携式计算机取证数据可视化分析

1.1 便携式计算机取证数据概述

在数字取证领域，随着计算机存储容量的增大，需要搜索的数据量大幅增加。便携式计算机取证旨在利用便携式 USB 设备收集和分析与用户行为相关的数字证据，可收集的数据包括系统开关机记录、互联网浏览器使用记录、文件创建/修改/删除记录、USB 设备访问记录等。

通过注册表分析，能够获取 USB 设备的访问时间、供应商名称、产品名称和序列号等信息；分析 Windows 系统的预取文件，则可得到最近执行文件的修改、访问和创建时间、文件路径和文件名；分析 Windows 事件日志可获取系统开关机时间；进行网页浏览器分析能收集访问的网站、搜索的关键词及其时间信息；分析注册表可获取最近的文档文件。

1.2 现有数据表示方法的不足

现有的表示收集到的便携式取证数据的方法，通常是按时间顺序简单列出数据或采用表格形式分类呈现。然而，基于文本的表格形式无法展示数据之间的关系，尤其是当数据量非常大时，法医调查人员很难从这些数据中发现明显的取证信息，文本表格数据仅仅是数据，而非有价值的信息。

1.3 数据可视化的必要性与过程

为了将便携式取证数据转化为有意义的信息，可采用图形元素进行数据可视化。数据可视化是将数据以视觉形式呈现的过程，其创建抽象数据的视觉表示遵循以下步骤：
1. 数据转换 ：从便携式取证工具和计算机取证工具包等取证源获取原始数据，并将其转换为可用于视觉映射过程的数据结构。可对转换后的数据结构进行额外信息添加或预处理，如过滤不必要的