随着社会信息技术的不断提高，电子媒体技术快速升级且类型不断涌现，电子数据取证产品面临的应用类型逐渐增多。当用户遇到取证软件暂时不支持解析的电脑、手机、汽车、物联网等设备的新应用软件时，我们可以用什么方法来快速解析呢？

针对这种情况，美美的解决方案是使用简单易学、可灵活扩展的取证小程序进行分析。无需等待取证软件新版本更新。通过自己编写取证小程序，可以快速完成取证工作。

什么是取证小程序？

取证小程序是运行在取证软件上并使用脚本提取和分析电子数据的应用程序。用户可独立编程、共享，无需安装即可使用。它是用户参与和无限扩展取证能力的新解决方案。计划。

除了应用数据提取之外，取证人员还可以使用取证小程序开发常用的取证小工具，扩展取证软件本身的功能；还可以利用提供的数据采集接口读取已有的取证数据进行分析判断，实现高级分析功能。

如此实用便捷的取证工具怎能不大力推广呢？现，为进一步推进取证小程序共享平台建设，使其成为用户参与度较高的应用创新平台，美亚笔科将于2019年10月12日起开展为期一个月的电子数据取证小程序大赛。相信有些朋友对取证小程序不太了解，所以让美美通过第四届美亚杯中国电子数据取证大赛中FTP日志分析相关的一些问题给大家介绍一下如何使用取证（了解更多：）小程序摘录和分析电子数据！请在文章最后找到问题的答案！

第四届“美亚杯”中国电子数据取证大赛选题（部分）

快速编写取证小程序的技巧

1.熟悉取证小程序框架

新的小程序应用解析后，小程序功能会自动生成部分代码。这部分代码就是小程序的框架。框架分为三大功能模块，内容大致包括：

(1)定义取证小程序的表结构

(2)判断是否是要解析的文件

(3)自定义解析规则功能

在这些模块中添加相应的代码后，取证小程序会自动处理并执行。

2. 编写取证小程序应用程序

2.1 准备数据

首先准备好要解析的数据。我们在第四届美亚杯团体赛的证据文件中找到了需要解析的FTP日志文件路径“.E01\ 1[hda0]\var\log\pure-ftpd\.log”。

2.2 数据格式分析

从待解析的文件数据中分析想要获取的文件信息，包括：IP、用户、时间、命令、描述、状态、大小（字节）

2.3 编写取证小程序

接下来我们将开始依次编写这三个模块。

2.3.1 定义取证小程序的表结构

按照模块1的示例依次填写自定义取证小程序名称、数据库表名称、数据库存储字段名称等信息，填写时请注意，字段名称默认为英文书写，描述信息为用中文写的。

2.3.2 判断是否为待解析文件

根据待解析文件的父目录的文件名“pure-ftpd”和待解析文件的名称“.log”判断是否为待解析文件。

2.3.3 自定义解析规则功能

以上两个模块已经定义了取证小程序的表结构，并过滤出了需要解析的文件。最后一个模块是自定义解析规则。

(1)解析连接记录并存入数据库

遍历文件的每一行，将其分割成需要的数据，并将解析后的数据存储到字典中。

(2)在FTP日志解析节点下创建FTP日志信息索引节点用于数据展示，并调用解析连接记录模块解析数据。

如上图所示，第一行指向取证小程序的根节点，显示名称为中配置的条目，根节点id为函数“d”获取的数据。

如上所示，以“FTP日志分析”根节点为父节点，创建了“FTP日志信息”的子节点。并关联到数据库表

“”（已配置），因此，该节点显示数据库表的存储信息。

2.4 法医大师法医结果

取证大师的取证结果主要是指取证结果展示的树形结构，这在我们之前写的取证小程序教程中已经用到了。这里我们将介绍写完代码后如何解析数据并完成题目。

答案分析

问题5中的服务帐户是“User”字段的值。

问题9：只需对描述信息进行排序，即可快速确认网络摄像机镜头配置文件.bin的上传时间。

问题 10 按命令排序。你可以通过获取PUT命令的IP来找到答案。

这样，我们只需要编写几十行代码就可以完成取证小程序FTP日志分析，并且通过简单的排序就可以更快地得到答案。

未来，取证小程序将不断拓展新的接口，以便用户快速实现完全定制的取证功能和流程。也欢迎用户积极报名参加首届电子数据取证小程序大赛（），共同参与取证知识创新，共建取证小程序生态，赋能创建良好的取证技术生态。

星星 + 钉美亚柏科

一秒找到美美▼