取证技术 - 数据获取基础

查看内容

取证技术 - 数据获取基础

2021-3-16 10:04| 发布者: 龙华司鉴| 查看: 64| 评论: 0|来自: 乌海市龙华司法鉴定整理

优秀的电子数据取证人员

不但要能够了解操作系统和应用软件

熟知数字设备的硬件

更要懂得二者是如何协同工作的

这样才能操作取证工具

清晰明确地获取和分析电子数据

调查场景

在各类网络空间安全事件中,取证调查从“收集数据”开始

面对一台机器,该机器可能存在你需要寻找的证据

> 该机器可能是受害者的机器

> 也可能是犯罪嫌疑人的机器

> 需要客观地保持自己的判断力

> 因为我们还没有做任何事情

数据获取的需求

数据获取是制作取证时的证据副本

> 该证据可以是任何类型的存储介质(硬盘驱动器,USB,CD / DVD等)

为了避免未知的问题的出现,调查人员切勿对涉案物理机器(原始数据)进行直接的分析

怎么做?应该始终制作调查过程中遇到的计算机的镜像(同时拍照、录像等),以便事后进行分析(证明)

“原始性”要求

电子数据取证过程对电子数据有“原始性”要求

在取证过程中,杜绝(避免)对原始数据进行直接操作

> 首先,在搜索和工作时你可能会破坏证据

> 其次,在许多情况下,你会发现你所面对的状况不太可能让你保留机器直到调查结束

-- 想像一下,你正在调查网络服务器上的违规情况

-- 将整个服务器带回实验室以寻找证据往往是不可能的

-- 如果没有数据,想要进行指控,那也几乎是不可能的

数据获取 (Data Acquisition)

是从机器上获取镜像(Image)的过程

> 要求该镜像是存储机器上所有内容的副本

获取一个副本就可以了?

> 只有一个副本(或者是原始机器)

> 多个团队或调查人员无法并行处理同一案件


注意事项:不应对原始镜像进行分析和处理

原始镜像验证:将其与哈希参数一起保存以防止篡改

正确做法:所有工作需要在原始镜像的副本上完成

数据易失性 (Data Volatility)

易失性,又称波动性、挥发性

> 定义为数据集改变的速率或可能性

> 换句话说,改变存储在某种介质上的一组数据有多么容易

改变可能是更改或破坏

> 例如:存储在计算机RAM中的数据比存储在该硬盘中的数据更不稳定

> 重新启动会擦除RAM中存储的数据,这与硬盘上存储的数据不同

易失顺序 (Order of Volatility)

从机器获取数据时,调查人员应始终考虑易失的顺序

> 如前面的示例所述,RAM中的数据绝对比存储在机器HDD中的数据具有更高的优先级,因为它的易失性更高

从机器获取数据时应考虑顺序

存储介质的易失顺序排列方式(从最大到最小)

数据获取方法 (场景分类) 

动态获取——易失性数据

> 通常在机器仍在运行时收集易失数据

> 关心如果系统崩溃将丢失的数据

> 通常考虑内存数据等

静态获取——镜像数据及逻辑数据等

> 重在收集非易失性数据

> 也即收集在系统重新启动或出现故障后保持不变的数据

> 通常在硬盘和闪存盘等上执行

注:选择哪种方法取决于数据的波动性和情况

> 通常最好从实时数据获取开始,因为丢失数据的风险高于丢失磁盘上存储的数据的风险

> 值得一提的是,有时在进行静态数据采集时可能会遇到易失性数据

> 当调查人员从硬盘上的RAM中找到以前已分页的“内存”页时,通常会遇到这种情况

死采集 (Dead Acquisition)

是指在没有操作系统帮助的情况下,从可疑机器获取数据的尝试

通常是借助机器的硬件完成

与常规数据获取相比,需要进行死采集的原因

> 在许多情况下,犯罪嫌疑人的操作系统已无法信任

> 某些攻击者可能安装了操纵操作系统行为的工具(例如Rootkit)

这种情况下,嫌疑机器的操作系统已不可信任

> 在当前操作系统环境下,已无法完成正常的数据获取任务

内容页面Content
联系方式Contact
地 址:内蒙古乌海市海勃湾区
海北东街48-4
邮 编:016000 咨询热线:0473-2099000 服务投拆:138-4833-5527 传 真:0473-2099000 邮 箱:service@longhuasfjd.com
 
QQ在线咨询
售前咨询热线
0473-2099000
售后服务热线
13848335527
返回顶部