|
來源:天宇寧達(dá)(ID:CFlab010) 作者:王高陽(yáng)
電子取證一般分為以下六個(gè)流程: 準(zhǔn)備階段 現(xiàn)場(chǎng)勘查 證據(jù)獲取
證據(jù)固定 數(shù)據(jù)分析 生成報(bào)告
一��、準(zhǔn)備階段
準(zhǔn)備階段即調(diào)查機(jī)構(gòu)在受理案件時(shí)充分收集案件現(xiàn)場(chǎng)詳情��,全面了解可能與案件相關(guān)的電子證據(jù)材料���,并且根據(jù)掌握的現(xiàn)場(chǎng)電子證據(jù)相關(guān)情況以及可能存在的電子證據(jù)進(jìn)行證據(jù)固定或現(xiàn)場(chǎng)數(shù)據(jù)提取工作制訂方案,準(zhǔn)備可能用到的電子取證設(shè)備�。 二、現(xiàn)場(chǎng)勘查 現(xiàn)場(chǎng)勘查是電子取證最重要的一步����,未按嚴(yán)格的流程而取得的證據(jù)很難具有法律效應(yīng)。取證人員在進(jìn)入現(xiàn)場(chǎng)后�����,應(yīng)迅速封鎖現(xiàn)場(chǎng)�����,隔離人��、機(jī)��、物品���,保護(hù)電子證據(jù)物品譬如計(jì)算機(jī)����、移動(dòng)硬盤、U盤����、光盤、存儲(chǔ)卡�����、手機(jī)����、相機(jī)、錄音機(jī)�、打印機(jī)等電子設(shè)備,查看各設(shè)備的連接及使用情況�,在操作過程中應(yīng)避免任何可能造成數(shù)據(jù)、配置更改的情況發(fā)生���,保護(hù)證據(jù)的原始性�����。 
圖1 現(xiàn)場(chǎng)勘查步驟及方法 三���、證據(jù)獲取 電子證據(jù)非常脆弱�����,很容易遭到破壞,因此�����,在收集的過程中����,應(yīng)當(dāng)由專業(yè)的取證人員或請(qǐng)電子取證鑒定機(jī)構(gòu)或公司的專業(yè)人員進(jìn)行收集或提供專業(yè)咨詢,保證電子設(shè)備儲(chǔ)存的內(nèi)容不被破壞����。 3.1 只讀訪問 收集過程中,務(wù)必使用安全只讀接口對(duì)存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)備份��,可使用Tableau��、CFlab WB一體化只讀鎖保護(hù)存儲(chǔ)介質(zhì)數(shù)據(jù)��。 其中,對(duì)于計(jì)算機(jī)的數(shù)據(jù)獲取根據(jù)其是否開機(jī)我們分為開機(jī)獲取和關(guān)機(jī)獲取�,下文分別對(duì)這兩種獲取進(jìn)行描述。 3.2 開機(jī)獲取 3.2.1 獲取內(nèi)存鏡像 開機(jī)狀態(tài)時(shí)�,第一時(shí)間獲取目標(biāo)計(jì)算機(jī)的內(nèi)存鏡像,可使用Belkasoft Live
RAM Capture或者法證通Lift進(jìn)行獲取�。 
圖2 Belkasoft Live RAM Capturer獲取目標(biāo)計(jì)算機(jī)內(nèi)存 
圖3 鑒證大師Lift獲取目標(biāo)計(jì)算機(jī)內(nèi)存 3.2.3 敏感數(shù)據(jù)提取 很多數(shù)據(jù)只有在開機(jī)狀態(tài)下才可以提取,如一些系統(tǒng)信息�、桌面信息、進(jìn)程信息�����、網(wǎng)絡(luò)連接信息等等����,桌面和當(dāng)前時(shí)間等可以通過拍照方式進(jìn)行固定,其他不明顯的證據(jù)可借助在線提取工具進(jìn)行提取�����。 
圖4 鑒證大師Lift 在線提取 3.2.3 開機(jī)狀態(tài)下鏡像獲取 如果目標(biāo)計(jì)算機(jī)無法關(guān)機(jī)��,可在開機(jī)狀態(tài)下對(duì)其進(jìn)行物理鏡像獲取�。可使用的工具比較多����,如鑒證大師Lift��、法證通����、X-ways���、八爪魚�����、F-Response、Belkasoft�、IEF、FTK imager�、Encase imager等等。
圖5 鑒證大師Lift制作磁盤鏡像 3.2.3 關(guān)機(jī)狀態(tài)下鏡像獲取 一般情況下�����,在進(jìn)行完鏡像獲取和敏感數(shù)據(jù)提取后�,應(yīng)立即切斷目標(biāo)計(jì)算機(jī)電源(臺(tái)式機(jī)可直接拔掉電源,筆記本若有電池可長(zhǎng)按關(guān)機(jī)鍵強(qiáng)制關(guān)機(jī))�。 對(duì)于關(guān)機(jī)狀態(tài)的鏡像獲取�,可分為拆機(jī)和不拆機(jī)兩種���。 3.2.3.1 不拆機(jī)鏡像獲取 對(duì)于某些無法拆卸硬盤的電腦或者拆卸硬盤很可能造成外觀損壞����,可通過類似PE啟動(dòng)的方式進(jìn)行鏡像獲取�����。一般推薦使用特制的Linux系統(tǒng)���,如Paladin�����。使用Windows法證PE也可以進(jìn)行��,如WinFE�����。 Linux下可使用DD命令獲取����,也可以使用Paladin的工具箱進(jìn)行圖形化的鏡像獲取。
圖6 Paladin工具箱制作磁盤鏡像 Windows PE環(huán)鏡下可使用X-Ways���、FTK imager����、八爪魚等制作鏡像��。
圖7 八爪魚多通道拷貝系統(tǒng)制作鏡像 3.2.3.2 拆機(jī)鏡像獲取 對(duì)于可拆卸硬盤的情況�����,可使用拷貝機(jī)進(jìn)行鏡像獲取��,如Logicube的Talon E����、Falcon����,Cflab的WBD,SMD等進(jìn)行鏡像獲取����。
圖8 拷貝機(jī) CFLAB WBD 四�����、證據(jù)固定 在收集證據(jù)的過程中以及取證完成后�,取證人員應(yīng)當(dāng)及時(shí)記錄涉及到的每一個(gè)設(shè)備的基本信息���、收集的時(shí)間�、地點(diǎn)���、數(shù)據(jù)來源��、提取的過程���、使用的方法、操作人以及見證人并簽字�����。在存儲(chǔ)證據(jù)時(shí)����,要妥善保管,避免被強(qiáng)磁��、高溫、灰塵����、潮濕等環(huán)境因素破壞存儲(chǔ)介質(zhì),導(dǎo)致證據(jù)和線索丟失���。手機(jī)等無線通訊設(shè)備需做信號(hào)屏蔽處理����。 五�、數(shù)據(jù)分析 在完成上述步驟后,取證人員會(huì)根據(jù)案件的訴求進(jìn)行數(shù)據(jù)分析�,以找到關(guān)鍵的證據(jù)或線索。數(shù)據(jù)分析的內(nèi)容可能會(huì)包括: 計(jì)算機(jī)基礎(chǔ)信息 刪除數(shù)據(jù)的恢復(fù) 文檔分析 瀏覽器記錄分析 郵件分析 聊天記錄分析 注冊(cè)表分析 文檔元數(shù)據(jù)分析 圖片圖片分析 視頻分析 時(shí)間分析 行為分析 … 因目前的磁盤容量大���,數(shù)據(jù)量大的特點(diǎn)�����,手工進(jìn)行數(shù)據(jù)分析已幾乎不可能,取證人員需掌握數(shù)種取證分析軟件進(jìn)行如上數(shù)據(jù)的分析�。如X-Ways、Encase���、FTK��、Nuix�、Belkasoft、取證大師����、法證通、取證先鋒�����、Recon���、BlackLight等�����。
圖9 X-ways 分析證據(jù)
圖10 法證通分析證據(jù)
圖11Encase 分析證據(jù)
圖12 FTK 分析證據(jù) 六��、生成報(bào)告 取證人員在取證完成后���,需要對(duì)整個(gè)取證分析過程生成一個(gè)完整的報(bào)告,包括證據(jù)的獲取過程、證據(jù)的整體情況����、接到的訴求、所使用的工具及其版本���、分析的步驟(筆錄)����、找到的線索�����、對(duì)訴求的結(jié)論等�����。報(bào)告中所記錄事項(xiàng)的原則包括合法性��、可采性����,結(jié)論有完整的證據(jù)鏈可進(jìn)行印證。
結(jié)后語(yǔ):
電子取證所遵循的原則可參考傳統(tǒng)的物證及司法鑒定��,在此之外我們?nèi)∽C人員需要掌握更多的相關(guān)知識(shí)使我們?cè)谌∽C的過程中少走彎路����,盡可能多的找到訴求相關(guān)線索,就目前而言�����,取證人員需盡可能多的掌握如下技能: 電子數(shù)據(jù)現(xiàn)場(chǎng)獲取基礎(chǔ)知識(shí) 現(xiàn)場(chǎng)勘驗(yàn)流程與規(guī)范 證據(jù)保全及固定 證據(jù)獲取設(shè)備��、取證分析工具 計(jì)算機(jī)����、手機(jī)等的一些基礎(chǔ)知識(shí) 計(jì)算機(jī)取證技術(shù) 智能移動(dòng)設(shè)備取證技術(shù) 網(wǎng)絡(luò)取證技術(shù) 數(shù)據(jù)恢復(fù)技術(shù) 加密解密技術(shù) 綜合分析技術(shù)與技巧 ……
|
