网络安全取证（一）定义和概念模型

网络安全取证（二）定义和概念模型之定义

网络安全取证（三）定义和概念模型之概念模型

网络安全取证（四）定义和概念模型之概念模型

网络安全取证（五）定义和概念模型之概念模型

网络安全取证（六）定义和概念模型之取证流程

---

《网络安全知识体系》

网络安全取证（七）

操作系统分析

---

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

2  操作系统分析

现代计算机系统通常仍然遵循原始的冯·诺依曼架构，该架构将计算机系统建模为由三个主要功能单元组成-CPU，主存储器和辅助存储器–通过数据总线连接。确切地说，实际的调查目标不是单个硬件，而是控制硬件子系统及其的不同操作系统（OS）模块。各自的数据结构。

我们的讨论从高层次的角度看待操作系统分析-深入研究不同类别的工程细节超出了知识领域的范围。分析设备。例如，智能手机在数据采集方面提出了额外的挑战。但是，它们仍然是商用计算机，其中绝大多数都运行在Linux内核上。这同样适用于其他类别的嵌入式设备，例如无人机和车载信息娱乐系统。

相对于用户应用程序，操作系统以更高的特权级别运行，并直接管理所有计算机系统的资源-CPU，主内存和I/O设备。应用程序通过系统调用接口从操作系统请求资源和服务，并利用它们来完成特定任务。（操作）系统维护各种会计信息，这些信息可以见证与查询相关的事件。

系统分析利用操作系统如何运作的知识，以便就案例感兴趣的事件和操作得出结论。普通用户对操作系统维护的有关其活动的信息类型知之甚少，并且通常不具备篡改系统记录的知识和/或权限级别，从而使它们在取证上有用，即使他们这样做不是安全和可信记录的正式定义。

---

原文始发于微信公众号（河南等级保护测评）：网络安全取证（七）操作系统分析