不但要能够了解操作系统和应用软件 熟知数字设备的硬件 更要懂得二者是如何协同工作的 这样才能操作取证工具 调查场景 在各类网络空间安全事件中,取证调查从“收集数据”开始 面对一台机器,该机器可能存在你需要寻找的证据 > 该机器可能是受害者的机器 > 也可能是犯罪嫌疑人的机器 > 需要客观地保持自己的判断力 > 因为我们还没有做任何事情 数据获取的需求 数据获取是制作取证时的证据副本 > 该证据可以是任何类型的存储介质(硬盘驱动器,USB,CD / DVD等) 为了避免未知的问题的出现,调查人员切勿对涉案物理机器(原始数据)进行直接的分析 怎么做?应该始终制作调查过程中遇到的计算机的镜像(同时拍照、录像等),以便事后进行分析(证明) “原始性”要求 电子数据取证过程对电子数据有“原始性”要求 在取证过程中,杜绝(避免)对原始数据进行直接操作 > 首先,在搜索和工作时你可能会破坏证据 > 其次,在许多情况下,你会发现你所面对的状况不太可能让你保留机器直到调查结束 -- 想像一下,你正在调查网络服务器上的违规情况 -- 将整个服务器带回实验室以寻找证据往往是不可能的 -- 如果没有数据,想要进行指控,那也几乎是不可能的 数据获取 (Data Acquisition) 是从机器上获取镜像(Image)的过程 > 要求该镜像是存储机器上所有内容的副本 获取一个副本就可以了? > 只有一个副本(或者是原始机器) > 多个团队或调查人员无法并行处理同一案件 注意事项:不应对原始镜像进行分析和处理 原始镜像验证:将其与哈希参数一起保存以防止篡改 正确做法:所有工作需要在原始镜像的副本上完成 数据易失性 (Data Volatility) 易失性,又称波动性、挥发性 > 定义为数据集改变的速率或可能性 > 换句话说,改变存储在某种介质上的一组数据有多么容易 > 例如:存储在计算机RAM中的数据比存储在该硬盘中的数据更不稳定 > 重新启动会擦除RAM中存储的数据,这与硬盘上存储的数据不同 易失顺序 (Order of Volatility) 从机器获取数据时,调查人员应始终考虑易失的顺序 > 如前面的示例所述,RAM中的数据绝对比存储在机器HDD中的数据具有更高的优先级,因为它的易失性更高 从机器获取数据时应考虑顺序 存储介质的易失顺序排列方式(从最大到最小) 数据获取方法 (场景分类) 动态获取——易失性数据 > 通常在机器仍在运行时收集易失数据 > 关心如果系统崩溃将丢失的数据 > 通常考虑内存数据等 > 重在收集非易失性数据 > 也即收集在系统重新启动或出现故障后保持不变的数据 > 通常在硬盘和闪存盘等上执行 注:选择哪种方法取决于数据的波动性和情况 > 通常最好从实时数据获取开始,因为丢失数据的风险高于丢失磁盘上存储的数据的风险 > 值得一提的是,有时在进行静态数据采集时可能会遇到易失性数据 > 当调查人员从硬盘上的RAM中找到以前已分页的“内存”页时,通常会遇到这种情况 死采集 (Dead Acquisition) 是指在没有操作系统帮助的情况下,从可疑机器获取数据的尝试 通常是借助机器的硬件完成 > 在许多情况下,犯罪嫌疑人的操作系统已无法信任 > 某些攻击者可能安装了操纵操作系统行为的工具(例如Rootkit) 这种情况下,嫌疑机器的操作系统已不可信任 > 在当前操作系统环境下,已无法完成正常的数据获取任务 |