数据安全法律法规详解:数据安全法解读
电子取证流程与技术
根据大佬们的经验大佬们汇总出一系列取证流程、理论和模型;
在模型中,会详细介绍以下三种:
1、KRUSE和HEISER模型---称为""三模型",分为三个阶段,每个阶段名称都有字母A开头;
o Acquire(获取)
o Authentication(认证)
o Analyze(分析)
2、耶鲁大学模型--由当时耶鲁大学IT系统的安全主管Casey开发,与应急响应相似,包括六个阶段;
o 初步考虑 → 规划 → 识别 → 固定、收集和记录 → 分类、比较和个性化处理 → 事件重构
3、Rodney McKemmish 模型--由澳大利亚的警察提出,是由调查中的四个阶段组成;
o 识别 → 固定 → 分析 → 记录
总结:
o 模型有很多,但相互之间都有相同之处;
o 每个模型都在强调特定的流程;
o 虽然主要有相似和不同之处,但主要目的都是提取可以用于法庭的电子证据;
注:法院只有在确认属违法行为后,才会对受理案件进行依法获取数据;
执法部门与法院之间的三个主要过程:
方法学模型核心内容:
|
阶段 |
内容 |
|
准备阶段 |
准备与案件相关的工具和设备 |
|
收集阶段 |
收集案件相关电子的数据 |
|
保存阶段 |
安全保存案件相关电子证据完整性 |
|
检验阶段 |
校验数据,计算hash值,在不损坏电子数据的情况下抽取元数据 |
|
分析阶段 |
分析数据,如:校验数据的时间线、寻找与案件相关的数据并记录结果 |
|
展示阶段 |
编写报告,内容为以上阶段收集信息及与案件相关数据,供法庭使用 |
方法学模型总结:
|
准备阶段 |
|||
|
↓ |
|||
|
犯罪现场取证阶段 |
|||
|
收集 |
固定 |
||
|
↓ |
|||
|
电子证据实验室阶段 |
|||
|
检查 |
分析 |
重构 |
固定 |
详情讲解:
1、准备阶段:
找到最擅长此类案件的专家,针对犯罪现场需要哪些使用的工具和方法,勘察取证人员应对勘察现场的法律文书和明确目标等;
2、犯罪现场阶段:
此阶段包括两个环节(收集、固定),这些操作必须遵守严格的流程方式,尽可能保护现场的原始状态,最大程度保护潜在证据,多方面考虑处置措施;
可以从设备中提取数据到另在的介质上,以保证原始数据的完整性,防止损害再次发生;
固定电子数据是确定犯罪嫌疑人是犯罪行为人的;
对于传统手机和智能手机设备,在犯罪现场有以下基本流程:
1. 如果手机处于关机状态,无论任何原因请不要重新开机;
2. 如果手机是开机状态,请不要关闭手机,并检查电池电量,确保电量耗尽之前到达实验室
§ 将手机网络断开,如条件允许开启飞行模式,或将手机放置网络隔离设备中;
§ 拍照并录制屏幕上的信息及内容;
§ 尽可能记录手机序列号(诺基亚电话输入*#06#)参考链接:手机序列号查询 - 百度文库 (baidu.com);
§ 拔掉电源插头
§ 基于任何原因将手机中的SIM卡取出,都可能造成通话记录都涉及,包括拨打、接听或未接电话等信息记录;
§ 手机尽可能保存在适当条件下,避免不必要的外界因素导致手机丢失;
§ 在获取手机时接到新的来电,应立即断开手机网络,无论是什么原因,都会手机产生新的数据,可能会破坏手机中的重要数据;
§ 手机应移交给取证实验室,包括相关电源等关联物品;
§ 如果手机有密码一类,应及时与嫌疑人确定清楚,以节省时间和精力;
对于存储介质,在犯罪现场有以下基本流程:
1. 如果存储介质连接到手机或电脑设备,根据案例不同,有的可以稍等至数据复制完成;
但有的发现处于数据同步模式的备份,则意味着可能有很多数据需要复制,时间要久一些,没办法等待;
2. 如果存储介质未链接到任何设备上时
§ 做好记录,在什么位置发现该存储介质;
§ 把存储设备放在特制的防护箱中,移交至电子数据取证实验室;
3. 如果存储设备是移动硬盘一类,应记录其序列号并进行拍照,收集相关数据线信息;
犯罪现场勘查校验流程图示:
3、电子取证实验室阶段
未完~~待续~~
注:
封面来源于公共图库;
笔记内容来源于书籍-电子数据取证
欢迎
点赞 + 在看、分享本公众号 给更多师傅们哈----------------往期精选-----------------
国内首本成体系的kerberos域网络安全教程,填补域网络安全书籍空白。域网络安全非常重要,但是市场上关于域网络安全的图书都是国外引进,并不完全适应我国企业需求,本书则从国内企业的实际需求出发,介绍符合实际的攻防对抗方案,更有参考价值。
原文始发于微信公众号(安全猎人):电子取证流程与技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论