电子取证流程与技术

admin 2022年9月3日03:19:39取证分析评论10 views1994字阅读6分38秒阅读模式
免责声明
写在前面:内容仅用于学习交流使用;由于传播、利用本安全猎人所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全猎人安全及作者不为承担任何责任,一旦造成后果请使用者自行承担!如有侵权,请及时告知,我们会立即删除并致歉!

数据安全法律法规详解:数据安全法解读


电子取证流程与技术


根据大佬们的经验大佬们汇总出一系列取证流程、理论和模型;

在模型中,会详细介绍以下三种:

1、KRUSE和HEISER模型---称为""三模型",分为三个阶段,每个阶段名称都有字母A开头;

Acquire(获取)

Authentication(认证)

Analyze(分析)

2、耶鲁大学模型--由当时耶鲁大学IT系统的安全主管Casey开发,与应急响应相似,包括六个阶段;

初步考虑 规划 识别 固定、收集和记录 分类、比较和个性化处理 事件重构

3、Rodney McKemmish 模型--由澳大利亚的警察提出,是由调查中的四个阶段组成;

识别 固定 分析 记录

总结:

模型有很多,但相互之间都有相同之处;

每个模型都在强调特定的流程;

虽然主要有相似和不同之处,但主要目的都是提取可以用于法庭的电子证据;

注:法院只有在确认属违法行为后,才会对受理案件进行依法获取数据;

执法部门与法院之间的三个主要过程:

 

方法学模型核心内容:

阶段

内容

准备阶段

准备与案件相关的工具和设备

收集阶段

收集案件相关电子的数据

保存阶段

安全保存案件相关电子证据完整性

检验阶段

校验数据,计算hash值,在不损坏电子数据的情况下抽取元数据

分析阶段

分析数据,如:校验数据的时间线、寻找与案件相关的数据并记录结果

展示阶段

编写报告,内容为以上阶段收集信息及与案件相关数据,供法庭使用

方法学模型总结:


准备阶段

犯罪现场取证阶段

收集

固定

电子证据实验室阶段

检查

分析

重构

固定

详情讲解:

1、准备阶段:

找到最擅长此类案件的专家,针对犯罪现场需要哪些使用的工具和方法,勘察取证人员应对勘察现场的法律文书和明确目标等;

2、犯罪现场阶段:

此阶段包括两个环节(收集、固定),这些操作必须遵守严格的流程方式,尽可能保护现场的原始状态,最大程度保护潜在证据,多方面考虑处置措施;

可以从设备中提取数据到另在的介质上,以保证原始数据的完整性,防止损害再次发生;

固定电子数据是确定犯罪嫌疑人是犯罪行为人的;

对于传统手机和智能手机设备,在犯罪现场有以下基本流程:

1. 如果手机处于关机状态,无论任何原因请不要重新开机;

2. 如果手机是开机状态,请不要关闭手机,并检查电池电量,确保电量耗尽之前到达实验室

§ 将手机网络断开,如条件允许开启飞行模式,或将手机放置网络隔离设备中;

§ 拍照并录制屏幕上的信息及内容;

§ 尽可能记录手机序列号(诺基亚电话输入*#06#)参考链接:手机序列号查询 - 百度文库 (baidu.com)

§ 拔掉电源插头

§ 基于任何原因将手机中的SIM卡取出,都可能造成通话记录都涉及,包括拨打、接听或未接电话等信息记录;

§ 手机尽可能保存在适当条件下,避免不必要的外界因素导致手机丢失;

§ 在获取手机时接到新的来电,应立即断开手机网络,无论是什么原因,都会手机产生新的数据,可能会破坏手机中的重要数据;

§ 手机应移交给取证实验室,包括相关电源等关联物品;

§ 如果手机有密码一类,应及时与嫌疑人确定清楚,以节省时间和精力;

对于存储介质,在犯罪现场有以下基本流程:

1. 如果存储介质连接到手机或电脑设备,根据案例不同,有的可以稍等至数据复制完成;

但有的发现处于数据同步模式的备份,则意味着可能有很多数据需要复制,时间要久一些,没办法等待;

2. 如果存储介质未链接到任何设备上时

§ 做好记录,在什么位置发现该存储介质;

§ 把存储设备放在特制的防护箱中,移交至电子数据取证实验室;

3. 如果存储设备是移动硬盘一类,应记录其序列号并进行拍照,收集相关数据线信息;

犯罪现场勘查校验流程图示:

3、电子取证实验室阶段


未完~~待续~~


注:

封面来源于公共图库;

笔记内容来源于书籍-电子数据取证


欢迎师傅们加入我的 安全猎人资源整合群(添加好友拉群),一起学习进步~后面不定期发布更多资源,更多惊喜等着大家。

电子取证流程与技术

欢迎 点赞 + 在看、分享本公众号 给更多师傅们哈

❤️

----------------往期精选-----------------

取证常用工具

物联网安全-第五章

物联网安全测试-第四章

apk安全测试常用工具

代码审计报告模板

数据加密-密码学

apk安全测试笔记


电子取证流程与技术

  国内首本成体系的kerberos域网络安全教程,填补域网络安全书籍空白。域网络安全非常重要,但是市场上关于域网络安全的图书都是国外引进,并不完全适应我国企业需求,本书则从国内企业的实际需求出发,介绍符合实际的攻防对抗方案,更有参考价值。

原文始发于微信公众号(安全猎人):电子取证流程与技术

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月3日03:19:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  电子取证流程与技术 http://cn-sec.com/archives/1272661.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: