前言
前几个月就一直想琢磨这个专题,这期间也有很多朋友在私信我,为什么要写这个专题,因为在如今数字化的时代网络犯罪日益猖獗,学习基本的计算机取证可以帮助我们打击网络犯罪、进行企业安全和风险管理以及保护我们个人隐私不被泄露。
整理期间我也收集了市面上很多的教程资料以及书籍,发现或多或少都需要学习者具备一定的计算机专业背景和编程能力,这篇文章以及后面的系列我会以最简单的视角,最通俗的语句,为大家讲解计算机取证这个领域,目的是启发入门。
电子数据取证又称数字取证(Digital Forensics),在国外,“Digital Forensics”(数字取证)是比较通用的术语。这个概念涵盖的范围很广,包括对各种数字设备(如计算机、移动电话、平板电脑、服务器、存储设备等)中的数据进行收集、分析和保存,以用于法律目的或调查目的。国内主要是以电子数据取证为主,在我国《刑事诉讼法》等法律明确规定了电子数据作为独立的证据类型,与之相关的取证活动就被称为电子数据取证。
了解电子数据取证行业,为什么要从计算机取证开始学呢,这个得从它的历史讲起了……
电子数据取证简史
20世纪40年代(1946),世界上第一台通用计算机“ENIAC”在美国宾夕法尼亚大学诞生,由莫克利和艾克特发明。ENIAC使用了18000个电子管,占地170平方米,重达30吨,每秒钟可进行5000次运算。尽管体积庞大且耗电量大,但它标志着电子计算机时代的开始。
20世纪70 年代(1970-1979) —— 数字数据的出现:数字取证最早可追溯至 20世纪 70 年代,当时数字数据开始变得愈发普遍。那时的计算机主要是一种工业设备,由公司、大学研究中心和政府机构拥有和操作。它们需要大量的物理基础设施,包括大量的电力和空调,以及高度熟练的专职人员。他们的功能主要是数据处理。正是在这种作用下,计算机首次成为信息安全、法律和执法界感兴趣的对象。
20世纪80 年代(1980-1989) —— 个人计算机的发展:随着 20 世纪 80 年代个人计算机的兴起,人们对调查计算机相关犯罪的方法的需求日益增加。早期的数字取证工作侧重于分析计算机系统以恢复证据。
20世纪90 年代(1990-1994) —— 技术的确立:20 世纪 90 年代见证了数字取证基础技术和工具的确立。执法机构和网络安全专家开始制定调查数字犯罪的规程和方法。
20世纪90 年代末(1995-1999) —— 互联网与网络犯罪:随着互联网变得更易访问且日益普及,网络犯罪成为一个主要问题。数字取证不得不适应网络犯罪带来的挑战,比如黑客攻击、身份盗窃和网络诈骗等。
21世纪初(2000-2003) —— 规范化与标准化:21 世纪初,数字取证流程变得更加规范化和标准化。诸如国际计算机调查专家协会(IACIS)和美国国家标准与技术研究院(NIST)等组织开始为数字调查提供指导方针和最佳实践范例。2001年我国从针对黑客入侵取证开始引入计算机取证技术,并逐步发展为针对计算机、网络、移动终端等方面的电子数据的取证。
21世纪00 年代中期(2004) —— 移动设备与数字媒体:移动设备以及数字媒体存储的增多拓展了数字取证的范围。分析人员必须研发从各类设备(包括手机、U 盘和存储卡等)中提取证据的技术。2004年开始,计算机取证工具功能逐步完善丰富,国产化产品逐步取代了国外取证产品。
21世纪00 年代末(2005-2009) —— 云计算与虚拟化:云计算和虚拟化的出现给数字取证带来了新的挑战。调查人员不得不适应数据存储的分散性以及虚拟环境的复杂性。2008年公安部网络安全保卫局颁发《公安机关网安部门电子数据检验鉴定实验室能力和装备分级标准》以来,计算机取证进入全面国产化。
2010年代(2010-2019)—— 大数据与先进技术:大数据的爆发以及机器学习、人工智能等先进技术的应用开始影响数字取证。这些技术使得对大量数据进行更高效的分析以发现规律和获取洞见成为可能。这十年国产取证软件迎来全面发展。
2020年代(2020-2024) —— 不断变化的格局:随着技术的进步,数字取证持续发展演变。加密技术、物联网、区块链、大模型以及其他新兴技术的日益广泛应用,给数字调查人员带来了新机遇的同时也带来了新挑战。
从 20 世纪 70 年代至今(2024年),电子数据取证已经走过了大约 50 多年的发展历程,在这期间,它不断随着技术的变革而演变,从最初应对简单的计算机系统相关问题,一步步拓展到应对各种复杂的新兴技术所带来的挑战,涉及的范围也越来越广,所运用的技术手段也越来越先进、多元,在打击各类数字犯罪等方面发挥着越来越重要的作用。
其实纵观其发展历程,电子数据取证已成为我们执法、网络安全以及法律诉讼中不可或缺的一部分。随着技术不断进步,电子数据取证也一直在发展演变。加密技术、物联网(IoT)、区块链、大数据、大模型、人工智能以及其他新兴技术日益广泛的应用,给调查人员带来了新的机遇与挑战。
电子数据取证发展到如今已有如下类型:
-
计算机取证
-
手机取证
-
云取证
-
网页取证
-
内存取证
-
数据库取证
-
数据分析:基于取证数据的分析软件
-
恶意应用程序分析:PC端、APP端
-
IoT(物联网)取证:如无人机、智能穿戴、智能家居设备等
-
......
了解其发展简史,要想真正的了解这个领域,必须走过前人走过的路,我们来看看这个领域有哪些认证证书,通过认证证书我们查找相关的培训教材,以此入手可以发现学习数字取证是也有迹可循的,为了不重复造轮子,我们先来看看全球的取证认证证书有哪些......然后我们选择其中一个教材给它掰开揉碎慢慢吸收,这样就能达到我们学习计算机取证的目的。
全球电子数据取证认证证书概览
(一)国际认可度较高的证书
GIAC 认证系列(Global Information Assurance Certification):由 SANS 机构推出,涵盖多个取证专项,如 GIAC 取证分析师(GCFA)专注于Windows 和 Linux 系统取证,从内存分析到文件恢复全方位考查,实战性超强,是国际企业与执法机构公认 “硬通货”,持证者堪称取证精英。
【GIAC 认证取证系列】
EnCE(EnCase Certified Examiner):依托知名取证软件 EnCase,现被opentext收购,深度聚焦该软件使用熟练度,涵盖数据采集、分析技巧,取证流程标准化作业,在司法取证圈备受尊崇,是使用 EnCase 开展工作的必备资质,是彰显持证人在传统计算机取证领域深厚功底。这个证书可以是计算机取证的教程鼻祖,我们后面的文章将大幅度参考EnCE的培训教材,为大家带来最地道的计算机取证。
【EnCE 认证证书】
(二)行业特定领域证书
CCFP(Certified Cyber Forensics Professional):国际电子商务顾问委员会(EC - Council)打造,围绕网络犯罪调查全流程,融入新兴技术如区块链取证,契合金融、电商行业取证需求,为打击行业专属网络犯罪量身定制,是踏入高薪行业取证岗位敲门砖。
ACE(AccessData Certified Examiner):适配 AccessData 取证工具生态,在手机取证、云端取证细分赛道发力,伴随移动与云时代崛起而备受瞩目,企业应对内部数据泄露、隐私纠纷时,对 ACE 持证者求贤若渴。
(三)国内权威证书
CISP -F(Certified Information Security Professional - Forensics):中国信息安全测评中心力推,贴合国内法规政策与网络安全态势,涵盖电子数据鉴定法规、取证实操规范,是国内政企单位招聘取证人才关键指标,助从业者扎根本土安全产业。
【CISP -F 认证证书】
计算机取证入门学习路径
我采用EnCase Certified Examiner的培训教材,简称 EnCE,由美国电子数据取证领域知名厂商 Guidance Software(现已被 OpenText 收购)主办,是国际计算机取证界极具权威性与影响力的专业认证。选择权威准没错,因为在领英的电子数据取证板块,EnCE 堪称最受尊崇、持证人数居首的商业认证,在网络安全领域含金量十足
以下是后续的学习路径,下一期将发布按章节发布
第一章:计算机硬件基础知识
第二章:文件系统基础
第三章:计算机网络基础
第四章:Windows 操作系统痕迹
第五章:数据恢复原理与擦除
第六章:现场合规取证
朋友们记得点个再看
将公众号设置为星标
可以保证稳定准时推送后期文章
另外每周一上午7:30准时推送《取证圈儿周刊》欢迎免费订阅
原文始发于微信公众号(Hunter取证):计算机取证零基础入门导读篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论