宁波侦探取证调查[转载]什么是数字取证?数字取证,有时称为“计算机取证”[转载]什么是数字取证?,是将科学调查技术应用于数字犯罪和攻击领域的研究。 这是互联网时代法律和商业的一个重要方面,并且可以成为一条回报丰厚且利润丰厚的职业道路。DFIRLABS 首席取证科学家 Jason Jordaan 将数字取证定义为“使用科学认可和验证的流程对数字证据进行识别、保存、检查和分析,并最终在法庭上提交该证据以回答某些法律问题。”
这是一个非常好的定义,但需要注意的是,该术语有时用于描述任何类型的网络攻击调查,即使它不涉及执法或法院系统。 数字取证专家可以在公共部门和私营部门工作。 拥有自己的数字取证项目的尚普兰学院对数字取证有更笼统的描述,“当数据泄露发生时,数字取证专业采取行动并努力识别黑客攻击并了解事件原因。并恢复任何数据泄露”。数据受损。”
数字取证的历史
执法机构迟迟没有意识到将取证技术应用于计算机和高科技设备的必要性。 在 20 世纪 70 年代和 80 年代的大多数情况下,数字取证的早期先驱是在警察或联邦执法机构工作的人,他们中的大多数也恰好是计算机爱好者。 第一个引起执法部门注意的领域是数据存储,因为调查长期以来一直在努力扣押、保存和分析可疑文件; 数字取证的曙光开始在这个群体中显现,其中大多数都只是纸上谈兵。 1984 年, 调查启动了 Magnet Media 计划,重点关注这些数字记录,这是执法机构的第一个官方数字取证计划。
与此同时,许多用于跟踪和识别黑客入侵计算机系统的技术也是由私营部门开发的。 1986 年是一个公认的重大时刻,当时劳伦斯伯克利国家实验室的 Unix 系统管理员 Cliff Stoll 试图找出会计日志中 0.75 美元的差异,并最终指出了一个闯入敏感系统并将其出售给德国黑客的人。数据的。 在此过程中,斯托尔创建了可能是第一个蜜罐陷阱。
90 年代和 00 年代数字取证的专业化和专业很大程度上是对两个令人不快的现实的回应:在线传播儿童色情内容,导致扣押大量数字证据; 在战争中,美军常常会夺取敌方叛乱分子的笔记本电脑和手机,并从中提取有用的情报。 这一里程碑发生在 2006 年,当时美国政府彻底修改了《民事诉讼规则》以实施强制性数字取证制度。
如何在调查中使用数字取证
数字取证有许多过程模型,这些模型定义了取证检查员应如何收集和理解证据。 虽然这些流程可以根据具体情况进行定制,但大多数流程都遵循以下四个基本步骤:
· 收集,这个过程主要用于获取数字证据。 这通常涉及占用物理资产,例如计算机、电话或硬盘; 必须小心确保没有数据被损坏或丢失。 在此阶段可以对存储介质进行复制或成像,以保持原件原始状态以供参考;
· 检验,主要是利用各种方法来识别和提取数据。 该步骤可分为制备、提取和鉴定。 在这个阶段要做的一个重要决定是处理“活动”(例如,启动占用的笔记本电脑)还是“死”(例如,将占用的硬盘驱动器连接到实验室计算机)现场系统。 识别意味着确定个人数据是否与当前案件相关 - 特别是当涉及搜查令时,允许信息审查员了解的内容可能会受到限制;
· 分析,收集的数据主要用于证明(或反驳)审查员正在构建的案例的过程。 对于每个相关数据项,审查员将回答一些有关它的基本问题 - 谁创建了它? 谁编辑的? 它是如何创建的? 这一切是什么时候发生的? - 并尝试确定其与案件的关系;
· 报告,将数据和分析综合成外行人可以理解的形式。 对于任何对数字取证感兴趣的人来说,能够创建此类报告绝对是一项至关重要的技能。
数字取证工具
任何数字取证从业者都会使用其工具包中的各种工具。 一方面,您可能有一个单一用途的开源工具,例如数据包嗅探器 Wireshark 或 HashKeeper(一种免费使用的程序,可以加快数据库文件的检查速度)。 另一方面,您可能拥有一个强大的商业软件平台,具有多种功能和灵活的报告功能,例如 Encase 或 CAINE(专门为取证工作设计的 Linux 发行版)。
