计算机取证——简介

admin 2022年11月22日13:01:31取证分析评论4 views851字阅读2分50秒阅读模式



计算机取证——简介


前言

本节开始学习计算机取证
内容比较少,主要是了解

1、简介

取证(Forensic investigations)

  • 法庭取证调查

  • 事件响应调查:黑客攻击、渗透测试留痕

forensic 科学

  • 法医的、用于法庭的、辩论学、法医学

  • 为了侦破案件还原事实真相,收集法庭证据的一系列科学方法:参考本地法律要求,实践操作通用原则

CSI:物理取证

  • 指纹、DNA、弹道、血迹

  • 无力取证的理论基础是物质交换原则

本章关注:数字取证/计算机取证
智能设备、计算机、手机平板、loT、有线及无线信道、数据存储

2、通用原则

维护证据完整性

  • 数字取证比物理取证幸运的多,可以有无限数量的拷贝进行分析

  • 数字HASH值验证数据完整性

维护监管链

  • 物理证物保存在证物袋中,每次取出使用严格记录,避免破坏污染

  • 数字证物原始版本写保护,使用拷贝进行分析

标准的操作步骤

  • 证物使用严格按照按照规范流程,即使事后证明流程有误(免责)

  • 取证分析全部过程记录文档

数字取证者注意事项

  • 不要破坏数据现场(看似简单,实际几乎无法实现)

  • 寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取

  • 系统内存是主要的非易失性存储介质取证对象,不修改无法获取其中数据

  • 非易失性存储介质通常使用完整镜像拷贝保存

  • 正常关机还是直接拔掉电源(数据丢失破坏)

3、取证方法

活取证

  • 抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息

  • 使用未受感染的干净程序执行取证U盘/网络存储收集到的数据

死取证

  • 关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)

结语

主要是了解下计算机取证






   红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。其核心团队于2022年转型于信息安全研究院,并为政企提供安全服务与技术支持。


© Honker Security Commando


原文始发于微信公众号(中龙 红客突击队):计算机取证——简介

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月22日13:01:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  计算机取证——简介 http://cn-sec.com/archives/1422974.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: