序言
计算机取证是应用调查和分析技术以适合在法庭上展示的方式从特定计算设备收集和保存证据。计算机取证的目标是执行结构化调查并维护记录的证据链,以准确找出计算设备上发生的事情以及谁对此负责。
计算机取证(也称为计算机取证科学)本质上是具有法律合规性准则的数据恢复,以使信息在法律程序中可以接受。数字取证和网络取证通常用作计算机取证的同义词。
数字取证始于以保持其完整性的方式收集信息。然后,调查人员分析数据或系统,以确定它是否被更改、如何更改以及谁进行了更改。计算机取证的使用并不总是与犯罪有关。取证过程还用作数据恢复过程的一部分,以从崩溃的服务器、故障驱动器、重新格式化的操作系统 (OS) 或系统意外停止工作的其他情况中收集数据。
计算机取证重要性
在民事和刑事司法系统中,计算机取证有助于确保法庭案件中提供的数字证据的完整性。随着计算机和其他数据收集设备在生活的各个方面更频繁地使用,数字证据它是用于收集、保存和调查它的取证过程,在解决犯罪和其他法律问题方面变得更加重要。
普通人没办法获取到现代设备收集的大部分信息。例如,汽车中的计算机不断收集有关驾驶员何时刹车、换档和改变速度的信息,而驾驶员却没有意识到。然而,这些信息在解决法律问题或犯罪方面可能被证明是至关重要的,并且计算机取证通常在识别和保存这些信息方面发挥作用。
数字证据不仅有助于解决数字世界的犯罪,例如数据盗窃、网络破坏和非法在线交易。它还用于解决物理世界的犯罪,例如入室盗窃、袭击、肇事逃逸和谋杀。
企业通常使用多层数据管理、数据治理和网络安全策略来保证专有信息的安全。如果数据受到调查,拥有管理良好且安全的数据有助于简化取证流程。
企业还使用计算机取证来跟踪与系统或网络受损相关的信息,这些信息可用于识别和起诉网络攻击者。企业还可以使用数字取证专家和流程来帮助他们在自然或其他灾难导致系统或网络故障时进行数据恢复。
取证类型分类
在各种类型的计算机取证检查。每个都会涉及信息技术的各个特定方面。它们主要类型包括:
数据库取证。检查数据库中包含的信息,包括数据和相关元数据。
电子邮件取证。恢复和分析电子邮件平台中包含的电子邮件和其他信息,例如日程安排和联系人。
恶意软件取证。筛选代码以识别可能的恶意程序并分析其有效负载。此类程序可能包括特洛伊木马、勒索软件或各种病毒。
内存取证。收集存储在计算机随机存取存储器 ( RAM ) 和缓存中的信息。
移动取证。检查移动设备以检索和分析其中包含的信息,包括联系人、传入和传出的短信、图片和视频文件。
网络取证。通过使用防火墙或入侵检测系统等工具监控网络流量来寻找证据。
计算机取证工作流程
取证调查员通常遵循标准程序,这些程序因法医调查的背景、被调查的设备或调查员正在寻找的信息而异。一般来说,这些程序包括以下三个步骤:
数据采集,必须以保持其完整性的方式收集以电子方式存储的信息。这通常涉及对正在调查的设备进行物理隔离,以确保它不会被意外污染或篡改。检查人员制作设备存储介质的数字副本(也称为取证图像),然后将原始设备锁定在安全或其他安全设施中以保持其原始状态。
分析,调查人员在无菌环境中分析存储介质的数字副本,以收集案件信息。各种工具用于协助完成此过程,包括用于硬盘驱动器调查的 Basis Technology 的 Autopsy 和 Wireshark 网络协议分析器。
介绍,取证调查员在法律程序中展示他们的调查结果,法官或陪审团使用它们来帮助确定诉讼结果。在数据恢复情况下,取证调查人员会展示他们能够从受损系统中恢复的内容。
取证使用的技术手段
调查人员使用各种技术和专有的取证应用程序来检查他们制作的受感染设备的副本。他们在隐藏文件夹和未分配的磁盘空间中搜索已删除、加密或损坏文件的副本。在数字副本上发现的任何证据都会在调查报告中仔细记录,并使用原始设备进行验证,以准备涉及发现、证词或实际诉讼的法律程序。
计算机取证调查结合了技术和专业知识。一些常见的技术包括:
反向隐写术,隐写术是一种常用策略,用于将数据隐藏在任何类型的数字文件、消息或数据流中。计算机取证专家通过分析相关文件包含的数据散列来逆转隐写术尝试。如果网络犯罪分子将重要信息隐藏在图像或其他数字文件中,在未经训练的人看来,前后可能看起来相同,但代表图像的底层哈希或数据字符串会发生变化。
随机取证,在这里,调查人员在不使用数字工件的情况下分析和重建数字活动。人工制品是数字过程中发生的数据的意外更改。人工制品包括与数字犯罪相关的线索,例如数据盗窃期间文件属性的更改。随机取证经常用于数据泄露调查,其中攻击者被认为是内部人员,他们可能不会留下数字工件。
交叉驱动分析,该技术关联和交叉引用在多个计算机驱动器上发现的信息,以搜索、分析和保存与调查相关的信息。将引起怀疑的事件与其他驱动器上的信息进行比较,以寻找相似之处并提供背景信息。这也称为异常检测。
实时分析,使用这种技术,当计算机或设备运行时,使用计算机上的系统工具从操作系统内分析计算机。该分析着眼于易失性数据,这些数据通常存储在缓存或 RAM 中。许多用于提取易失性数据的工具都需要计算机进入法医实验室,以保持证据链的合法性。
恢复被删除文件,该技术涉及在计算机系统和内存中搜索文件片段,这些文件片段在一个地方被部分删除,但在机器的其他地方留下了痕迹。这有时称为文件雕刻或数据雕刻。
结束
原文始发于微信公众号(安全架构):谈谈计算机取证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论