□朱颮凱，劉三滿，張順利

(1.山西警察學(xué)院 太原 030401；2.山西省空間信息網(wǎng)絡(luò)工程技術(shù)研究中心，晉中 030600)

一、引言

隨著無線技術(shù)，移動(dòng)通信技術(shù)和新型傳感器技術(shù)的快速發(fā)展，[1]物聯(lián)網(wǎng)技術(shù)將“萬物互聯(lián)”變成了現(xiàn)實(shí)，無線節(jié)點(diǎn)能夠被大量部署在監(jiān)測區(qū)域，用以實(shí)現(xiàn)監(jiān)測區(qū)域感知信息的收集。[2]節(jié)點(diǎn)之間通過無線自組網(wǎng)的方式，通過多跳的傳輸方式，將感知信息傳回收集處或者基站系統(tǒng)處。[3]越來越多的物聯(lián)網(wǎng)技術(shù)被廣泛運(yùn)用于日常生活的各個(gè)領(lǐng)域，例如智能家居，[4]智慧醫(yī)療，[5]農(nóng)業(yè)監(jiān)測，[6]動(dòng)物檢測，[7]結(jié)構(gòu)體健康監(jiān)測，[8]智慧交通，[9]智慧警務(wù)，[10]智慧城市等領(lǐng)域。[11]

電子數(shù)據(jù)取證分為兩種，一種是可以作為犯罪認(rèn)定的一切以電子形式組成的文本、音視頻等電子數(shù)據(jù)材料，另一種定義是犯罪分子在進(jìn)行違法犯罪過程中，在網(wǎng)絡(luò)上或者電子設(shè)備上留下的痕跡。電子證據(jù)由于其特殊的性質(zhì)，具體特點(diǎn)如下：(1)易破壞性。電子證據(jù)通常處于電子設(shè)備、網(wǎng)絡(luò)中，很容易被人刪除或者惡意篡改；(2)不易恢復(fù)性。電子設(shè)備很容易受到暴力破壞或者腐蝕性破壞等，一旦破壞，將無法恢復(fù)；(3)無實(shí)物性。電子證據(jù)多數(shù)存于電子設(shè)備或者網(wǎng)絡(luò)中，這些數(shù)字編碼都是無形的，只有通過某些設(shè)備或數(shù)據(jù)呈現(xiàn)方式才能顯示出來；(4)高技術(shù)性。高級(jí)技術(shù)人員可以通過網(wǎng)絡(luò)將聯(lián)網(wǎng)的電子數(shù)據(jù)銷毀和篡改，好多技術(shù)都是最新黑客技術(shù)。[12]

在傳統(tǒng)的電子取證中，取證對(duì)象是我們?nèi)粘Ｉ钪休^為成熟的電子設(shè)備，例如，手機(jī)、筆記本、計(jì)算機(jī)、掌上電腦等。物聯(lián)網(wǎng)電子取證一方面是電子設(shè)備的取證，例如，可穿戴設(shè)備、聯(lián)網(wǎng)車輛、各種傳感器設(shè)備等；一方面包括物聯(lián)網(wǎng)設(shè)備在虛擬化網(wǎng)絡(luò)中共享網(wǎng)絡(luò)資源的云取證，此外還包括不同類型的網(wǎng)絡(luò)連接，例如，家庭網(wǎng)、小范圍局域網(wǎng)、工業(yè)控制網(wǎng)絡(luò)，城域網(wǎng)和廣域網(wǎng)等等。[13]

無線網(wǎng)狀網(wǎng)絡(luò)具有傳統(tǒng)的無線傳感器網(wǎng)絡(luò)的自組織網(wǎng)絡(luò)的優(yōu)點(diǎn)的同時(shí)，不需要依托基站或者接入點(diǎn)等設(shè)施就能夠?qū)崿F(xiàn)數(shù)據(jù)的傳輸。傳統(tǒng)的無線網(wǎng)絡(luò)采用的是中心式的網(wǎng)絡(luò)結(jié)構(gòu)，無線網(wǎng)狀網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)既可以作為用戶端，也可以作為其他節(jié)點(diǎn)用戶的接入端，能夠被用于其他節(jié)點(diǎn)用戶的通信中繼器。無線網(wǎng)狀節(jié)點(diǎn)采用雙網(wǎng)口設(shè)計(jì)，既可以獨(dú)立于傳統(tǒng)無線網(wǎng)絡(luò)，多節(jié)點(diǎn)之間自組織網(wǎng)絡(luò)完成數(shù)據(jù)的傳輸；又可以與傳統(tǒng)的無線網(wǎng)絡(luò)相融合。[14]鑒于網(wǎng)狀網(wǎng)絡(luò)這一特性，無線網(wǎng)狀網(wǎng)絡(luò)常被用于災(zāi)后通信、應(yīng)急通信等領(lǐng)域，降低了有線網(wǎng)絡(luò)建設(shè)和維護(hù)費(fèi)用。因此，無線網(wǎng)狀網(wǎng)絡(luò)也是當(dāng)前的研究熱點(diǎn)和無線接入的重要設(shè)施，所以有必要對(duì)網(wǎng)狀網(wǎng)絡(luò)的電子取證進(jìn)行研究。[15]

在大數(shù)據(jù)、物聯(lián)網(wǎng)技術(shù)等網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)的安全問題已經(jīng)受到了廣泛的關(guān)注。在享受科技給我們生活帶來便利的同時(shí)，[13]這種便利也是一把雙刃劍，在網(wǎng)絡(luò)犯罪規(guī)模逐漸呈現(xiàn)上升趨勢的背景下，在傳統(tǒng)電子取證的基礎(chǔ)上，深入研究當(dāng)今時(shí)代較為火熱的物聯(lián)網(wǎng)技術(shù)，尤其是研究可以同時(shí)作為路由器和客戶端接入的網(wǎng)狀網(wǎng)絡(luò)，促使網(wǎng)狀網(wǎng)絡(luò)大面積普及帶來新的電子取證技術(shù)難度的提高，對(duì)適應(yīng)大數(shù)據(jù)、物聯(lián)網(wǎng)時(shí)代的犯罪新變化，維護(hù)社會(huì)和諧穩(wěn)定具有重要的意義。[16]

二、無線網(wǎng)狀網(wǎng)絡(luò)概述

(一)技術(shù)原理

無線網(wǎng)狀網(wǎng)絡(luò)是由無線網(wǎng)狀節(jié)點(diǎn)組成，多個(gè)節(jié)點(diǎn)之間通過多跳的連接方式，將數(shù)據(jù)信息從一個(gè)節(jié)點(diǎn)處到達(dá)另一個(gè)節(jié)點(diǎn)處。每個(gè)節(jié)點(diǎn)可以作為信息接收的接入端，也可以作為接入設(shè)備。無線網(wǎng)狀節(jié)點(diǎn)可以采用無線自組織網(wǎng)絡(luò)的方式傳遞信息，可以接入因特網(wǎng)，其工作方式與互聯(lián)網(wǎng)相似。但又不限于此，當(dāng)某條傳輸路徑阻塞無法傳輸信息時(shí)，網(wǎng)狀節(jié)點(diǎn)會(huì)自動(dòng)地改變信息傳輸路徑，保證信息的傳輸，即無線網(wǎng)狀網(wǎng)絡(luò)具有自愈合的特點(diǎn)。

在傳統(tǒng)的無線局域網(wǎng)中，用戶需要接入網(wǎng)絡(luò)時(shí)候，基本是訪問一個(gè)固定的接入端，用戶通過無線的接入方式實(shí)現(xiàn)網(wǎng)絡(luò)訪問，這個(gè)接入端的另一頭直接用網(wǎng)線與互聯(lián)網(wǎng)相連接。在無線網(wǎng)狀網(wǎng)絡(luò)中，每個(gè)無線節(jié)點(diǎn)可以與一個(gè)或者多個(gè)節(jié)點(diǎn)之間通信，在網(wǎng)絡(luò)中的節(jié)點(diǎn)既可以作為信息的接收者，也可以作為信息的發(fā)送者。這種多跳的方式能夠盡最大程度避免節(jié)點(diǎn)之間的延時(shí)，提高通信傳輸?shù)匿N量和系統(tǒng)的總吞吐量。

(二)網(wǎng)絡(luò)結(jié)構(gòu)

1.客戶端結(jié)構(gòu)

客戶端網(wǎng)絡(luò)結(jié)構(gòu)是單純的由網(wǎng)狀節(jié)點(diǎn)之間相互連接組成的對(duì)等網(wǎng)絡(luò)結(jié)構(gòu)，多個(gè)節(jié)點(diǎn)之間支持端到端的服務(wù)，應(yīng)用于在不使用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的情況下，提供一種節(jié)點(diǎn)之間的通信連接，如圖1所示。

圖1 網(wǎng)狀節(jié)點(diǎn)客戶端網(wǎng)絡(luò)結(jié)構(gòu)圖

2.骨干網(wǎng)結(jié)構(gòu)

骨干網(wǎng)結(jié)構(gòu)是由網(wǎng)狀節(jié)點(diǎn)之間相互連接構(gòu)成，骨干網(wǎng)狀節(jié)點(diǎn)接入網(wǎng)絡(luò)提供商，此時(shí)網(wǎng)狀節(jié)點(diǎn)既充當(dāng)路由器的功能，又具有網(wǎng)關(guān)和中繼的功能。網(wǎng)狀節(jié)點(diǎn)之間通過無線多跳的傳輸方式，在低功率發(fā)射信息的同時(shí)，將數(shù)據(jù)信息傳輸出去，如圖2所示。

圖2 網(wǎng)狀節(jié)點(diǎn)骨干網(wǎng)絡(luò)結(jié)構(gòu)圖

3.混合網(wǎng)絡(luò)結(jié)構(gòu)

混合網(wǎng)絡(luò)結(jié)構(gòu)是客戶端結(jié)構(gòu)和骨干網(wǎng)結(jié)構(gòu)共同混合構(gòu)成的，網(wǎng)狀節(jié)點(diǎn)之間既能和其他網(wǎng)狀節(jié)點(diǎn)直接通信，形成網(wǎng)狀網(wǎng)絡(luò)，又能通過網(wǎng)狀節(jié)點(diǎn)充當(dāng)?shù)穆酚善鹘尤刖W(wǎng)絡(luò)。這種網(wǎng)絡(luò)結(jié)構(gòu)在實(shí)際網(wǎng)路連接時(shí)，增強(qiáng)了節(jié)點(diǎn)和網(wǎng)絡(luò)之間的連續(xù)性，擴(kuò)大了節(jié)點(diǎn)的通信范圍。

(三)工作模式

無線網(wǎng)狀網(wǎng)絡(luò)通信的工作模式，決定了網(wǎng)狀網(wǎng)絡(luò)中各節(jié)點(diǎn)之間的通信連接方式，具體的工作模式如下：Station模式，默認(rèn)工作模式，多個(gè)網(wǎng)狀節(jié)點(diǎn)之間不能互相連接，需要另一個(gè)工作在Access Point模式下的節(jié)點(diǎn)提供無線接入，多個(gè)網(wǎng)狀節(jié)點(diǎn)之間才能相互通信；Access Point模式，網(wǎng)狀節(jié)點(diǎn)可以作為接入設(shè)備，為其他節(jié)點(diǎn)提供網(wǎng)絡(luò)接入，需要維護(hù)和管理接入的設(shè)備列表；Monitor模式，能夠?qū)⑽唇?jīng)過濾的數(shù)據(jù)包全部傳入主機(jī)，任何故障都能在該種工作模式下查看，該種模式既可以實(shí)現(xiàn)數(shù)據(jù)包的注入，又可以實(shí)現(xiàn)媒體訪問控制層(Media Access Control ，MAC)的子層管理，進(jìn)而實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的有效監(jiān)控；Ad Hoc模式，對(duì)等網(wǎng)絡(luò)工作模式，兩臺(tái)節(jié)點(diǎn)在直接相連的過程中采用這種工作模式，節(jié)點(diǎn)直接發(fā)射的功率在彼此的接收范圍之內(nèi)，不需要搭建過多的設(shè)施就能夠?qū)崿F(xiàn)臨時(shí)性的節(jié)點(diǎn)之間的互通；Wireless Distribution System模式，這種工作模式能夠擴(kuò)展無線網(wǎng)絡(luò)部署，支持多個(gè)無線網(wǎng)絡(luò)的相互連接，能夠使無線接入點(diǎn)和無線路由器之間無線中繼橋接，在不影響設(shè)備覆蓋效果的同時(shí)，使節(jié)點(diǎn)之間相互通信，實(shí)現(xiàn)了大型無線網(wǎng)絡(luò)的延展和覆蓋。

三、無線網(wǎng)狀節(jié)點(diǎn)

無線網(wǎng)狀節(jié)點(diǎn)主要包含主節(jié)點(diǎn)模塊、供電模塊和通信天線模塊，各模塊具體功能如下：

(1)主節(jié)點(diǎn)模塊主要包括：無線網(wǎng)卡和路由子板等，網(wǎng)卡可以根據(jù)實(shí)際覆蓋范圍的需要，具體調(diào)節(jié)網(wǎng)卡發(fā)射功率。路由支持自有網(wǎng)狀網(wǎng)絡(luò)協(xié)議、多跳自組網(wǎng)協(xié)議、多路徑協(xié)議、Qos路徑路由協(xié)議和多網(wǎng)關(guān)路由協(xié)議。

(2)供電模塊可以選擇移動(dòng)電源、太陽能電池或電源供電的方式，為網(wǎng)狀節(jié)點(diǎn)的正常工作提供持續(xù)電量供應(yīng)，POE(Power Over Ethernet)基于IP的終端提供傳輸數(shù)據(jù)與維持在12V的直流供電。

(3)通信天線為了避開通用頻段，選擇5.8GHz的全向天線和802.11n的工作模式。

網(wǎng)狀節(jié)點(diǎn)結(jié)構(gòu)如圖3所示。

圖3 網(wǎng)狀節(jié)點(diǎn)系統(tǒng)結(jié)構(gòu)圖

四、網(wǎng)狀節(jié)點(diǎn)電子取證

(一)文件存儲(chǔ)

無線網(wǎng)狀節(jié)點(diǎn)的內(nèi)部操作系統(tǒng)是Linux，文件結(jié)構(gòu)采用樹形方式，支持多種常用文件系統(tǒng)，其中包括ext，ext2，ext3，JFS，位于節(jié)點(diǎn)內(nèi)部的文件存儲(chǔ)中最上層為根目錄，其他目錄都是從根目錄處產(chǎn)生的，網(wǎng)狀節(jié)點(diǎn)目錄存放樹形結(jié)構(gòu)網(wǎng)狀節(jié)點(diǎn)常見目錄總結(jié)如下：

/根目錄，所有文件都是從此處產(chǎn)生的；/root超級(jí)用戶目錄，節(jié)點(diǎn)被授予最高的權(quán)限允許修改內(nèi)部的配置文件；/bin 存放節(jié)點(diǎn)系統(tǒng)中最基礎(chǔ)的操作命令，節(jié)點(diǎn)支持普通用戶可以使用此處命令；/dev 存放了節(jié)點(diǎn)必要的設(shè)備信息，例如聲卡，磁盤信息，調(diào)試信息等，此文件夾在電子取證中尤為重要，應(yīng)該重點(diǎn)關(guān)注文件夾中的每處信息；/etc 節(jié)點(diǎn)的配置文件存放處，該文件中應(yīng)該重點(diǎn)關(guān)注wireless子目錄，節(jié)點(diǎn)經(jīng)常作為無線設(shè)配的接入點(diǎn)，此處存放了無線的配置；/lib 是庫文件的存放處，提供了bin和sbin的庫文件存儲(chǔ)；/proc 提供了節(jié)點(diǎn)運(yùn)行中過程中的信息和內(nèi)核信息，例如，CPU信息、硬盤信息、分區(qū)信息和內(nèi)存信息等，這個(gè)文件在取證中尤為值得關(guān)注。

(二)節(jié)點(diǎn)信息收集

為了避免網(wǎng)狀節(jié)點(diǎn)原始數(shù)據(jù)的破壞，在電子取證時(shí)，不應(yīng)該使用原始介質(zhì)，需要對(duì)原始介質(zhì)的鏡像文件和字節(jié)流文件進(jìn)行備份。無線網(wǎng)狀節(jié)點(diǎn)的內(nèi)部操作性系統(tǒng)是Linux，我們可以使用很多專用工具對(duì)節(jié)點(diǎn)中的文件備份，方便下一步對(duì)于文件介質(zhì)和CRC數(shù)據(jù)信息的校驗(yàn)。常用工具包括：sleuth Kit，Autopsy和SMART for Linux等，[17]這些取證工具增加了對(duì)FAT和NTFS文件的支持。因此，我們在網(wǎng)狀節(jié)點(diǎn)的rrd數(shù)據(jù)庫中，對(duì)配置文件進(jìn)行收集，例如CPU、memory和interfaces信息等。

網(wǎng)狀節(jié)點(diǎn)還提供了采用Web瀏覽的方式訪問collected信息，例如在主機(jī)的瀏覽器采用如下方法：http://網(wǎng)狀節(jié)點(diǎn)IP/cgi-bin/目錄/文件名。但是，在電子取證中，不推薦采用這種操作方法。

(三)節(jié)點(diǎn)信息通用取證方法

無線網(wǎng)狀節(jié)點(diǎn)的操作系統(tǒng)是OpenWrt，該系統(tǒng)是Linux的嵌入式版本，結(jié)合網(wǎng)狀節(jié)點(diǎn)的特點(diǎn)和Linux操作，通用取證方法總結(jié)如下：

1.用戶登錄

網(wǎng)狀節(jié)點(diǎn)的系統(tǒng)是OpenWrt，該系統(tǒng)版本其實(shí)是一個(gè)嵌入式的Linux系統(tǒng)，Linux支持多任務(wù)、多用戶操作登錄，每個(gè)用戶登錄系統(tǒng)操作后，在系統(tǒng)中都有詳細(xì)記錄。當(dāng)執(zhí)法人員獲取網(wǎng)狀節(jié)點(diǎn)后，就能夠檢查節(jié)點(diǎn)上用戶的登錄情況，搜尋可能發(fā)現(xiàn)的犯罪線索。

2.檢驗(yàn)非授權(quán)用戶登錄

為了隱藏自己的犯罪記錄，犯罪人員在通過非法渠道登入系統(tǒng)后，會(huì)修改系統(tǒng)常用指令。但是，通過非法渠道進(jìn)入系統(tǒng)后，犯罪人員會(huì)留下很多痕跡，最常見的就是修改配置文件和安裝非法后門。執(zhí)法人員在執(zhí)法取證時(shí)，需要采用來源可靠的信息指令。

3.檢驗(yàn)系統(tǒng)配置

犯罪人員為了再次進(jìn)入系統(tǒng)，通常會(huì)在系統(tǒng)中啟動(dòng)非法進(jìn)程。執(zhí)法人員需要對(duì)系統(tǒng)的配置文件和目錄進(jìn)行篩查。檢查這些文件是否被篡改或者非法調(diào)用。同時(shí)，執(zhí)法人員在檢查的過程中，要注意應(yīng)用進(jìn)程的檢查，因?yàn)楣?jié)點(diǎn)的CPU與計(jì)算機(jī)的內(nèi)核體系不同，很多應(yīng)用程序不能直接從計(jì)算機(jī)中移植，這點(diǎn)尤為重要。

4.檢驗(yàn)網(wǎng)絡(luò)連接

犯罪人員通過非法入侵系統(tǒng)后獲取網(wǎng)絡(luò)數(shù)據(jù)，需要通過網(wǎng)絡(luò)將數(shù)據(jù)傳輸出去。執(zhí)法人員在執(zhí)法取證時(shí)尤其要注意網(wǎng)絡(luò)連接的狀態(tài)，必要情況下采取斷網(wǎng)操作。而且，對(duì)于OpenWrt系統(tǒng)沒有開放網(wǎng)絡(luò)組件的部分驅(qū)動(dòng)程序，對(duì)于ADSL一體無線路由模塊無法正常工作。

5.檢驗(yàn)操作日志

如果在上述檢查的過程中發(fā)現(xiàn)有非法人員侵入系統(tǒng)，執(zhí)法人員需要對(duì)犯罪人員的登錄情況進(jìn)行檢查，對(duì)節(jié)點(diǎn)系統(tǒng)中的操作日志文件進(jìn)行分析，檢查犯罪人員的具體操作。

6.檢驗(yàn)臨時(shí)文件

系統(tǒng)的臨時(shí)文件是系統(tǒng)臨時(shí)操作緩存的文件，很多臨時(shí)文件在系統(tǒng)再次啟動(dòng)時(shí)會(huì)被系統(tǒng)清空，執(zhí)法人員需要及時(shí)對(duì)臨時(shí)文件目錄進(jìn)行檢查，而且，此處的文件需要及時(shí)備份。

五、亟待解決的問題

(一)網(wǎng)絡(luò)接入的不確定性和安全性

無線網(wǎng)狀節(jié)點(diǎn)相比傳統(tǒng)的有線接入的組網(wǎng)方式更靈活，傳統(tǒng)的組網(wǎng)中，設(shè)備之間只能通過單一節(jié)點(diǎn)接入網(wǎng)絡(luò)，如果發(fā)生故障，需要人為手工操作。在無線網(wǎng)狀網(wǎng)絡(luò)中，只要節(jié)點(diǎn)部署下去，節(jié)點(diǎn)之間就能夠通過多跳自組網(wǎng)的方式進(jìn)行數(shù)據(jù)傳輸。如果有某個(gè)節(jié)點(diǎn)發(fā)生故障，節(jié)點(diǎn)的數(shù)據(jù)傳輸依然不會(huì)受到影響。但是，如果單純發(fā)送端和接收端來看的話，信息能夠正常傳輸，但是如果處于某個(gè)用戶覆蓋范圍內(nèi)的節(jié)點(diǎn)遇到故障，且其他節(jié)點(diǎn)的通信范圍又不包含用戶所在區(qū)域，則會(huì)造成用戶信息傳輸?shù)膯栴}。而且，無線網(wǎng)狀節(jié)點(diǎn)的操作系統(tǒng)其實(shí)是Linux的嵌入式版本，現(xiàn)階段安全軟件基本停留在Windows操作系統(tǒng)中，對(duì)Linux系統(tǒng)的研究較少，未來多用戶都要接入無線接入點(diǎn)，用戶使用無線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸和交易，對(duì)網(wǎng)狀節(jié)點(diǎn)的安全問題要極為慎重。

(二)分布式存儲(chǔ)與共享

網(wǎng)狀節(jié)點(diǎn)在有條件接入因特網(wǎng)時(shí)，可以與其他分部在各地的節(jié)點(diǎn)建立通信信道。在無條件接入網(wǎng)絡(luò)時(shí)，節(jié)點(diǎn)能夠同周圍的網(wǎng)狀節(jié)點(diǎn)建立本地局域網(wǎng)絡(luò)，進(jìn)行點(diǎn)對(duì)點(diǎn)通信，且這種局域網(wǎng)的私密性更高，網(wǎng)絡(luò)也更加穩(wěn)定。用戶能夠通過網(wǎng)狀節(jié)點(diǎn)將數(shù)據(jù)存儲(chǔ)在本地，無需多次上傳數(shù)據(jù)至服務(wù)器端。用戶只要根據(jù)實(shí)際情況設(shè)置訪問策略即可。這樣進(jìn)一步減少了資源的占用，同時(shí)，對(duì)個(gè)人隱私和安全性也得到了保證。

(三)流量分析及用戶行為特征分析

未來更多大型區(qū)域的無線網(wǎng)絡(luò)覆蓋采用網(wǎng)狀節(jié)點(diǎn)來組網(wǎng)，網(wǎng)狀節(jié)點(diǎn)中能夠存儲(chǔ)用戶的流量信息、網(wǎng)絡(luò)日志和數(shù)據(jù)、數(shù)據(jù)庫日志和數(shù)據(jù)等。用戶不斷的產(chǎn)生海量網(wǎng)絡(luò)日志，在未來的研究中需要對(duì)這些數(shù)據(jù)進(jìn)行數(shù)據(jù)發(fā)掘和關(guān)聯(lián)性分析，并對(duì)這些數(shù)據(jù)進(jìn)行分析，尤其是弱關(guān)聯(lián)分析，再配合傳統(tǒng)的電子取證方法，能夠?qū)Ψ缸锶藛T進(jìn)行更準(zhǔn)確的行為特征分析，讓網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù)發(fā)揮出更大的價(jià)值。

六、結(jié)語

本文對(duì)無線網(wǎng)狀節(jié)點(diǎn)的電子數(shù)據(jù)取證問題進(jìn)行了研究，介紹了無線網(wǎng)狀網(wǎng)絡(luò)的節(jié)點(diǎn)結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)和工作模式。在執(zhí)法人員對(duì)網(wǎng)狀節(jié)點(diǎn)電子取證的過程中，要注意做好數(shù)據(jù)保護(hù)，尤其是易失數(shù)據(jù)和臨時(shí)數(shù)據(jù)的保護(hù)，結(jié)合當(dāng)前的研究熱點(diǎn)，尤其是數(shù)據(jù)分析挖掘，查找犯罪人員留下的操作痕跡，進(jìn)一步提高取證工作的準(zhǔn)確性，對(duì)公安機(jī)關(guān)執(zhí)法人員實(shí)戰(zhàn)具有指導(dǎo)意義。