【电子数据取证中调查员的5大失误】

电子数据取证（“Digital forensic”一词在国内部分文章中也会被译为“数字取证”，本文统一使用“电子数据取证”一词）是一项复杂具有挑战性的工作，而且由于技术的快速发展，包括无孔不入的加密、云存储、智能手机安全性的改进等，它将变得更加复杂。

即使是最简单的程序，也难免会出现错误，在电子数据取证（或应急响应）调查过程中也会出现错误，这不足为奇。

在这篇文章中，我们将回顾在DFIR（电子数据取证和应急响应）领域经常犯的5个最常见的错误。

无论是执法机构中的电子数据取证部门还是公司中的应急响应小组，其规模都有很大不同。有的拥有一个单独的电子数据取证实验室和专门的电子数据取证分析员和调查员，而有的则可以由各行业专家组成，执行几乎所有的任务。

由此看来，这意味着电子数据取证可能是由一个缺乏具体培训的多面手来执行的，他可能缺乏专业的培训，例如，关于特定移动设备采集方法的专门培训。

如果你认为有经验的调查员和审查员不会轻易犯这种错误，其实情况并非如此。如今，技术正以前所未有的速度发展，即使是最好的工具和方法的知识，在没有维持定期培训的情况下也会变得过时。

两年前，没有人知道iOS设备的checkm8漏洞——现在每个DFIR专家都必须知道它的术语，并在遇到相关设备时采用这种方法。

缺乏持续教育

电子数据取证领域的发展日新月异；调查人员和犯罪分子都倾向于使用新技术。这就是为什么电子数据取证从业人员应该始终处于最前沿，紧跟最佳实践并了解新兴行业的趋势。因此，正如在错误1中所表达的那样，专家将永远需要不断的学习和自我教育——无论是工作中还是在工作之外。

那些没有做到每天学习的人会怎样呢？他们的调查结果会变得越来越不完整。他们可能无法提取新数据，而这些数据可以使用最先进的采集方法提取。由于不知道特定供应商的最新安全措施而导致设备瘫痪。因此，在这些案件中正义可能无法伸张。

与DFIR专家进行在线和离线的交流是始终了解最新信息的最佳方式之一。人们可以提及IACIS和MDFA 列表服务器、各种Discord和Telegram频道、Twitter、LinkedIn和Facebook群组——无论是与供应商无关的还是特定于供应商的。

“push button forensics”一词是10多年前创造的，取证界认为它更像是对电子数据取证工具的讽刺性定义。（译者注：“push button forensics”一词类似国内的“智能化取证”，如果从讽刺性角度来讲，另一个词——“傻瓜式取证”更贴合一些）过去，从业者抵制供应商在自动化数字数据采集和分析上做的努力，因为他们认为自动化会难以记录、验证，并因此使得在法庭上进行科学的辩护变得更加困难。

然而，当硬盘达到1TB的范围时，Apple的iPhone出现并彻底改变了智能手机作为小工具的看法，存储媒体设备的数量增加（手机、游戏设备、外置硬盘、U盘等），大多数取证实验室最终积压了很长时间，延误了调查。

分析这些海量数据，并成为海量应用程序的分析专家不再可行。这就是每个DFIR专家现在最有可能掌握某种自动化的原因，并且使用基于这种工具的分析结果的方法得到了每个人的认可。（译者注：此处artifact-base指通过一键式取证工具所得的结果。）（顺便说一句，Belkasoft 于 2007 年左右在我们的 Forensic IM Extractor 中首次采用）

DFIR 工具允许调查人员开箱即用地提取数据，而无需深入研究数据源上原始数据的位和字节，可以将其视为“按钮”。使用这样的工具是错误的吗？

答案是未必。

很难将一键取证定义为错误。现在市场上出现的大多数电子数据取证工具都是这种类型。但是，没有任何工具可以取代其使用者的知识和技能。盲目使用工具得出的结果绝对是错误的。了解工具的优点和缺点，将所得的结果与类似工具进行比较，在有疑问的情况下手动重复分析，这样使用一键式取证工具绝对不是错误。

值得一提的是，市面上有些工具提倡盲目使用。这些工具就像一个黑匣子，在不解释如何获得结果的情况下给出结果。毫无疑问，如果受到知识渊博的对方质疑，基于此类结果的结论将无法在法庭上经受住考验。举个例子，可能会被问到：“这个被删除的聊天是如何被软件A恢复的？”如果软件A对您来说是一个黑盒子，那么这个问题似乎很难回答。

电子数据取证人员必须清楚地了解，没有任何工具是灵丹妙药。即使是最好的工具也只是自动执行标准程序，一旦证据不属于“标准”的概念，将不得不进行手动分析。取证工具是否会找到嵌入到PDF文档中的加密ZIP文件，该文件是否附加到Outlook电子邮件中？它会在从内存转储中提取的内存进程中找到已删除的SQLite记录吗？

未能确保监管链和证据的完整性

确保电子证据的监管链和完整性比其他类型的证据（如枪支）更复杂。其中一个原因是电子数据可以在不留明显痕迹的情况下被更改。这就是为什么在法庭上，对方最可能会问的最自然的问题之一是：“你如何证明这些证据（聊天/文件/照片）不是伪造的？” 这就是为什么除了众所周知的保存监管链的方法（如维护监管链表格）外，还有其他电子数据取证方法的原因。

可能最著名的方法是哈希计算。在进行任何进一步分析之前，计算整个数据源和其中所有文件的哈希值是一种很好的做法。这里的常见错误可能有：

· 根本不计算哈希值。无需进一步说明。

· 仅使用 MD5。这种算法容易发生碰撞，如果使用，必须辅以另一种算法作为补充，例如 SHA-1 或 SHA-256

· 使用原始数据源而不是镜像副本。虽然这是可行的，但如果使用的是硬件只读锁，请记住，SSD无法通过此类设备得到保护。此外，众所周知，软只读工具不会因错误而阻止写入。另请参阅这篇关于许多其他事情的文章，这些事情可能会出错

· 使用克隆的硬盘但忘记对克隆进行杀毒。如果还没有完全擦除便开始将其作为证据证据进行克隆工作，可能会遇到来自旧案例的令人不快的“惊喜”。

监管链的重要性之一是不仅要保存接触证据的每个人的名单，还要确保没有其他人可以接触。由于电子证据是虚拟的，因此偶尔允许这种访问的方式比使用枪支的方式更多。例如，将克隆的硬盘留在其他调查人员同时工作的房间桌子上，会破坏监管链。同样，将计算机解锁可能会使存储在该计算机上的所有证据文件失效。

没有交叉检查 DFIR 工具的结果

继续做曾经令人产生满意的事情可能是人类大脑的习惯。在 DFIR中，它可能会导致过度依赖某个单一的工具。如果审查员习惯于某种特定产品，他们甚至可能会在该工具不能很好支持任务的情况下使用他。

实际上，没有一种工具可以涵盖电子数据取证和应急响应领域的所有内容。即使是在DFIR的某一特定部分表现非常出色的工具，也可能在处理特定文件或镜像时出现故障和问题。这就是为什么始终建议使用手动或辅助产品对主要工具结果进行交叉检查的原因。这就是为什么一个合适的电子数据取证工具集必须为每个特定的调查领域提供不止一种工具的原因。

过度依赖单一工具而不交叉检查结果可能会导致法庭上出现严重问题，同时在未经适当验证的情况下而为所获得的结果进行辩护。

结论

人非圣贤，孰能无过？过而能改，善莫大焉。在DFIR 领域，每一个错误都可能导致严重的后果，从已知错误中吸取教训尤为重要。学习这个领域。即使您觉得自己无所不知，也不要停止学习。熟悉您的工具并能够通过手工分析的方式验证其结果并解释该结果是如何获得的。知道如何维护监管链，特别是那些为数字证据必须采用的额外方法。