|
取證�,司法解釋是具有調(diào)查取證權(quán)的國家機關(guān)對于立案處理的案件,為查明案情��,收集證據(jù)�。電子取證��,顧名思義可理解為基于計算機的證據(jù)收集���。 對于電子取證的介紹�,百度是這樣回答的:電子取證是指利用計算機軟硬件技術(shù)�,以符合法律規(guī)范的方式對計算機入侵、破壞���、欺詐����、攻擊等犯罪行為進行證據(jù)獲取���、保存�����、分析和出示的過程��。從技術(shù)方面看���,計算機犯罪取證是一個對受侵計算機系統(tǒng)進行掃描和破解��,對入侵事件進行重建的過程�����。具體而言�����,是指把計算機看作犯罪現(xiàn)場��,運用先進的辨析技術(shù)����,對計算機犯罪行為進行解剖���,搜尋罪犯及其犯罪證據(jù)�����。 電子證據(jù)在很多年前已經(jīng)作為一種新興證據(jù)被列入法律�,但我實在是沒找到這個法律條文...... 現(xiàn)在的中華民族共和國刑事訴訟法,中華人民共和國刑法里的第四十八條里����,電子證據(jù)是在第八條,這八條依此是: 物證 書證 證人證言 被害人陳述 犯罪嫌疑人��、被告人供述和辯解 鑒定意見 勘探���、檢查、辨認����、偵查實驗等筆錄 視聽資料、電子數(shù)據(jù)
證據(jù)必須經(jīng)過查證屬實����,才能作為定案的根據(jù)。那么����,怎么去取證�����,下面我們來講講正確的取證姿勢����。 
上圖這個表����,就是在取證里,怎么去取證操作才能是合法的�,必須遵守公安機關(guān)電子取證鑒定規(guī)則,基于這條規(guī)定���,你的取證才能合法合理的�����。 現(xiàn)場取證����,涉及到計算機取證硬件���、軟件�����、移動智能取證工具����,這里我們分開詳講。 硬盤復制機��,它的功能就是對硬盤進行一個打鏡像�����,進行復制然后取證的工具��,因為取證過程是不允許對原硬盤進行直接操作�,都需要打鏡像�。如下圖: 
這就是一個正在運行的復制機,結(jié)構(gòu)根據(jù)廠商都有稍不同����。 硬盤只讀鎖 硬盤只讀鎖,來看看這是個什么玩意���。 
硬盤只讀鎖的功能就是�����,給硬盤加上一塊鎖���,阻止寫入通道��,有效的保儲存介質(zhì)中的數(shù)據(jù)在獲取和分析過程里不會被修改���,從而保證取證工作的司法有效性于數(shù)據(jù)完整性。簡單說就是�,確保我拿到手的硬盤數(shù)據(jù)是原生態(tài),沒有被二次修改過的一個設(shè)備���。 取證一體機
一體機這個比較好理解�����,基于拷貝克隆�、讀取���、銷毀于一體的取證設(shè)備�����。 取證塔���,和一體機的一樣的�,不過是多了一些ID分析接口和集合的大平臺�。
介質(zhì)修復設(shè)備
這個設(shè)備的作用就是個修復設(shè)備,可理解為“醫(yī)療兵”��,硬盤磁道壞了��,就用這個設(shè)備結(jié)合軟件進行修復���。工作環(huán)境必須無塵�����。
設(shè)備就介紹完了�����,接下來講講計算機取證軟件,計算機取證軟件分為國內(nèi)外�����,值得一提的是,硬盤隱藏數(shù)據(jù)以上設(shè)備也是能讀取出來的���,加不加鎖形同虛設(shè)����。 國外取證分析軟件: 國外取證分析軟件: 取證大師 盤石介質(zhì)取證分析系統(tǒng)
以上設(shè)備均可取證�����,比如一木馬制作者制作的木馬威脅用戶很多�����,在中途過程中他在瀏覽器IE里搜索過:怎么寫入注冊表實現(xiàn)開機自啟過殺毒���。那么以上軟件均可在讀取到你的搜索記錄����。 分布式�����,怎么理解,建立在網(wǎng)路之上的軟件系統(tǒng)�。
作用就是,采集單個設(shè)備的數(shù)據(jù)����,上傳云,在系統(tǒng)里搜索關(guān)鍵詞進行比對發(fā)現(xiàn)問題��,一般用于公安局省廳��。 人工分析 智能終端也跟的比較快�����,剛開始是人工分析的���,比如拍照或者手抄分析����,效率也普遍較低�。(人工分析) 邏輯分析 人才有邏輯,計算機邏輯也是人工編的邏輯��,一成不變��,也不知變通��。邏輯分析是用取證軟件對照手機電話本����、QQ、微信�����、郵箱等信息的獲取�����,進行人為邏輯分析��,也是等于給嫌疑人畫像����,即使你已經(jīng)見過他的樣子了。 JTAG分析 也就是十六制鏡像��。在電影里有這樣的情節(jié)���,一個犯罪團伙老大��,聯(lián)系了他的殺手后����,就把手機砸碎,放廁所里��,或者是丟水里�。以前看劉德華的一部電影,華仔是反派還是間諜身份��,公安組在手機上安裝了GPS定位���,團伙老大等華仔接完電話后就讓華仔把車扔對面水池里����,與此同時��,公安也失去的定位���。 講道理的話�����,手機砸碎和丟水里都是能夠取證的�����,如果利用JTAG芯片分析技術(shù)����,還是能做數(shù)據(jù)提取的��,因為手機芯片上是記錄了運動軌跡的�����。 iPhone����,iPod也都屬于移動智能終端,遇到人為損壞的�����,特殊情況下�����,照樣是能取的�����。 動態(tài)仿真 這個就比較前沿了,動態(tài)���,仿真�����,有沒有人能想到����?安卓模擬器用過吧���?這就是比較接近的�����,類似于模擬器進行手機仿真���,比如你在微信群里討論一些政治敏感的內(nèi)容,如果拿到了你的手機����,我是能夠還原你聊天的一幕幕�����,對你聊天的場景進行模擬�����,你做了什么,發(fā)了什么圖��,就好像是我自身在進行對話�����。 還有就是�,群里發(fā)送黃色視頻這種,如果影響大�,公安指定取證的話,是對你的微信QQ提取文件分析�����,轉(zhuǎn)發(fā)了多少����,影響范圍����,甚至還有播放數(shù)量�,查到源頭,也不是完全不可能��。 遠程勘驗取證技術(shù)包括也比較多���,有網(wǎng)絡取證和現(xiàn)場取證����,也有Web網(wǎng)頁取證和服務器取證技術(shù)等���,一一詳解���。 現(xiàn)場取證與網(wǎng)絡取證
這個圖就已經(jīng)說明是現(xiàn)場和網(wǎng)絡取證的不同和相關(guān)技術(shù)。 現(xiàn)場取證 分為靜態(tài)取證���,事后取證��。證據(jù)鏈的發(fā)端����,軟硬件的恢復技術(shù),數(shù)據(jù)格式分析于檢索技術(shù)?��,F(xiàn)場一般是靜態(tài)取證���,也就是事后取證,證據(jù)面的開始�����, 就會接觸到一些軟硬件的恢復���,對軟件進行數(shù)據(jù)的分析和檢索。 假設(shè)��,到現(xiàn)場 發(fā)現(xiàn)一臺電腦�,如果是開機狀態(tài),你就不能關(guān)機的����。只能對電腦進行開鑿然后進行數(shù)據(jù)提取,如果是關(guān)機狀態(tài)�����,就只能保持關(guān)機,直接對硬盤進行復制����,打鏡像。做到開機不關(guān)����,關(guān)機不開即可。 服務器如果取證的話��,取證的話����,是不能正常關(guān)機的,只能直接拔掉電源�。你也可以理解為,直接拔掉電源���,防止有人遠程連接服務器進行數(shù)據(jù)篡改��。 靜態(tài)取證�,是電腦已經(jīng)擺在面前了��,直接對數(shù)據(jù)進行分析。事后取證�,是已經(jīng)案發(fā)了,這個事情已經(jīng)發(fā)生了�,我們在進行一個取證調(diào)查過程。軟硬件恢復技術(shù)��,是對數(shù)據(jù)進行恢復��,因為你不知道他的硬盤是否進行了一次格盤操作�����,當你找不到相關(guān)的信息��,得到允許后���,你可對當前的硬盤進行一次數(shù)據(jù)恢復。 有個案子�,是一個制作外掛的,非法牟利百萬�����,嚴重影響了游戲廠商正常運營���,無奈選擇報案��,當公安局抓獲嫌疑人后����,在他的硬盤里沒有找到外掛源代碼或者是其他信息,取證方就可以思考�,是否在我們來之前,嫌疑人就已經(jīng)把硬盤數(shù)據(jù)刪掉了��,正常的取證你是取不到什么�,所以只能對硬盤做一次數(shù)據(jù)恢復然后嘗試取證。 數(shù)據(jù)格式分析檢索技術(shù)����,這個比較好理解,數(shù)據(jù)格式�����,比如是TXT�����,word�,PPT���,EXE都屬于一個格式,取證過程對你想要的數(shù)據(jù)進行格式檢索�,提高效率之用。 網(wǎng)絡取證 網(wǎng)絡取證����,他是區(qū)別于現(xiàn)場取證的,網(wǎng)絡取證都是動態(tài)的一種取證方式�����,現(xiàn)有大多數(shù)案子都是網(wǎng)絡取證的��。 數(shù)據(jù)抓取技術(shù):利用抓包工具(wireshark等)�����,對信息日子進行分析�����,過濾IP等等�����。 海量數(shù)據(jù)與協(xié)議分析:有關(guān)海量的����,必定是基于大數(shù)據(jù)平臺,海量數(shù)據(jù)與協(xié)議分析就是基于大數(shù)據(jù)平臺來獲取相關(guān)信息���。 網(wǎng)絡取證的內(nèi)容也比較多�����,首先你得對來源進行取證��,也就是犯罪嫌疑人所在的位置����,取證的內(nèi)容包括 IP地址��,MAC地址����,電子郵件(郵件頭有IP地址),一些軟件或者的互聯(lián)網(wǎng)的賬號等��。 有個案例是����,一黑客對手機用戶進行木馬植入�����,取證方對木馬APK進行反編譯�,從而發(fā)現(xiàn)黑客做數(shù)據(jù)提交的一個IP地址��,查閱后發(fā)現(xiàn)是某大型云服務器平臺���,從而提交到相關(guān)人員���,鎖定此人。 事實取證:確定犯罪事實的具體內(nèi)容和過程���。 這個取證的內(nèi)容包括網(wǎng)絡狀態(tài)和數(shù)據(jù)包分析����、日志文件分析����、然后對文件內(nèi)容進行調(diào)查、使用痕跡調(diào)查�����,軟件的功能分析等�。 數(shù)據(jù)包分析就和數(shù)據(jù)抓取一樣了,日志文件的分析���,像WIN系統(tǒng)都有運行日志�����,像偽基站系統(tǒng)����,他也會記錄日志���,什么時候向什么人發(fā)送了什么信息��,這些都是可以在日志里得到的�����。文件內(nèi)容調(diào)查�,取證時對相關(guān)文件進行調(diào)查分析����,比如一個商業(yè)機密的Word或者是合同��。 使用痕跡的分析���,就好比什么用戶,什么時候做了什么事�����。比如我在我電腦上插上U盤��,拔下���,拷貝錄入和刪除行為��,都屬于使用痕跡�。 軟件功能分析��,有可能涉及到對軟件進行OD反編譯���,如果有源代碼就對源代碼分析�,沒有就只能分析軟件運行后的行為,一步一步調(diào)試��。 這個一是自己搭建環(huán)境���,在環(huán)境里對功能進行分析。有點類似于分析一個病毒�,他運行后是調(diào)用了系統(tǒng)的什么進程。 二就是對源代碼分析了�����,也需要對編程有所了解�����,得看懂源碼才行����。 網(wǎng)絡取證相關(guān)技術(shù)
蜜罐取證技術(shù),也就是挖一個坑讓你跳����,跳了我就知道你的行為。也包括上面所講的網(wǎng)絡數(shù)據(jù)包分析取證技術(shù)���。還有一個數(shù)據(jù)挖掘技術(shù)����,也就是對數(shù)據(jù)進行恢復、提取�����、深入的分析�。 網(wǎng)絡數(shù)據(jù)包分析取證工具:
功能和優(yōu)勢都列舉出來了,需要體驗的請自行百度下載�。 網(wǎng)頁取證相關(guān)技術(shù) 查看網(wǎng)頁使用語言,網(wǎng)站信息����,利用爬蟲來獲取網(wǎng)站相關(guān)數(shù)據(jù)。 網(wǎng)站/服務器取證技術(shù) 遠程鏈接登陸服務器(如有需要��,獲取服務器賬號密碼的手段不限)查看日志���,截獲快照���,但是全程都必須屏幕錄制,是必須���。 新型取證技術(shù) 新型取證技術(shù)����,內(nèi)存取證,芯片取證����,云取證,物聯(lián)網(wǎng)取證�,邊信道于量子計算���。 內(nèi)存取證技術(shù) 內(nèi)存證據(jù)以及和硬盤證據(jù)成為打擊網(wǎng)絡違法犯罪的重要依據(jù)��。 內(nèi)存證據(jù)分析可被用于發(fā)現(xiàn)系統(tǒng)的各種關(guān)鍵信息和用戶行為特征�。 內(nèi)存取證技術(shù)也可被用戶惡意代碼檢測的分析����。
內(nèi)存取證實踐: 虛擬內(nèi)存文件 休眠文件 內(nèi)存轉(zhuǎn)儲 DMA 冷啟動
這是一個內(nèi)存取證的完整過程,1.2名詞請百度一下�����。 DMA的原理就是����,數(shù)據(jù)傳輸要經(jīng)過CPU然后再傳給電腦���,這時候直接轉(zhuǎn)到DMA,不經(jīng)過CPU�,數(shù)據(jù)傳輸非常快�,但是保存數(shù)據(jù)量比較小。 冷啟動����,按住電源鍵強制啟動或者關(guān)機,就是冷啟動�。但是可能會造成數(shù)據(jù)的丟失,這些數(shù)據(jù)都保存在內(nèi)存����,冷啟動取證就是對機器進行冷卻,盡快的恢復數(shù)據(jù)��。
以上就是對內(nèi)存進行噴冰處理�����。 內(nèi)存轉(zhuǎn)儲文件:內(nèi)存轉(zhuǎn)儲是用于系統(tǒng)崩潰時��,將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲保存在轉(zhuǎn)儲文件中,供給有關(guān)人員進行排錯分析用途�。而它所保存生成的文件就叫做內(nèi)存轉(zhuǎn)儲文件。 這個是針對現(xiàn)有手機取證工具無法解決的問題�,才會搬出芯片取證技術(shù),多涉及硬件����。 已損壞的手機(惡意破壞)可以用這種情況。 掩埋����,水浸等原因無法開機。 數(shù)據(jù)接口(USB等)無法使用的手機����,但屏幕可正常亮起�。 設(shè)置密碼且沒有辦法解鎖的手機。
以上情況都可用于芯片取證技術(shù)��。 現(xiàn)在來介紹一下芯片取證的相關(guān)流程:
這是個被摔壞的手機�����。將它拆解��,如下圖紅框里所示的就是芯片所在位置。
拆下芯片后�,連接取證工具,選擇芯片類型��,設(shè)置芯片鏡像文件�����,繼續(xù)對芯片鏡像進行讀取�。
鏡像讀取完以后就可操作解析恢復,以及仿真��。仿真他是模擬手機的實際運行環(huán)境�����。如下圖微信紅包所示��。
一個芯片取證到這里就算結(jié)束了�����。 iOS取證實踐: 取證工具 硬件/系統(tǒng)漏洞 iCloud 社會工程學 暴力破解
iOS取證國內(nèi)外都有工具��,但是是比較難的�,在沒有越獄的情況下��。限制比較多�。線下取證的話�����,可使用iOS的備份功能����,將應用數(shù)據(jù)一起備份出來。然后再解析數(shù)據(jù)���。原理實現(xiàn)就是iCloud的備份功能����,用過iPhone的都知道�,連上了就會問你備不備份 可下載到本地�。 漏洞/硬件漏洞,iPhone能被越獄��。 iCloud���,用戶名和密碼�。 社會工程學:這方面用的很少,主要是利用欺騙手段進行活動��。 暴力破解:暴力破解現(xiàn)只支持iOS7以下的版本��,高于7 都是無法破解的���。 吹下iPhone flash芯片并使用復制設(shè)備制作副本���。 講副本使用測試架橋接至iPhone主板 然后開機。 窮舉密碼�����,進行暴力破解額�����,5-10次為一輪����。 如果觸發(fā)了iOS安全機制,被鎖定或者是數(shù)據(jù)抹除�����,那么更換副本繼續(xù)測試。 直到解鎖�����。
網(wǎng)絡取證上����,iOS比較難,因為要越獄���。線下取證����,越不越獄沒關(guān)系的���,都可直接取證�。 云端數(shù)據(jù)的保全和遷移:把數(shù)據(jù)從一個云端轉(zhuǎn)移到另一個云端��,保證數(shù)據(jù)的完整性����。 云端服務重現(xiàn):對他的服務里找到相關(guān)數(shù)據(jù)��。 云數(shù)據(jù)恢復:數(shù)據(jù)被刪了,想恢復 就必須找到他的云服務商�,找到服務器進行數(shù)據(jù)的恢復,涉及到硬盤恢復等技術(shù)���。 在線取證:遠程提取數(shù)據(jù)進行取證��。 客戶端現(xiàn)場取證:和在線取證一個意思�����。 物理安全�。 物理俘獲固件器件等修改�����。 接入層安全�����。 網(wǎng)絡層安全�。 應用層安全(數(shù)據(jù)安全、隱私保護)����。
有興趣的朋友可自行查閱資料����,物聯(lián)網(wǎng)沒怎么接觸過�。 物聯(lián)網(wǎng)取證相關(guān)技術(shù)物聯(lián)網(wǎng)黑匣子技術(shù)。 物聯(lián)網(wǎng)分布式IDS技術(shù)�。 物聯(lián)網(wǎng)嗅探取證技術(shù)。
物聯(lián)網(wǎng)黑匣子技術(shù)��,是通過訪問他的日志���,固件更新日志���,操作日志,用入侵檢測(分布式IDS)的方式進行操作取證�。 物聯(lián)網(wǎng)嗅探取證技術(shù),大多指攝像頭監(jiān)控���,什么人在什么地點做什么事���,進行取證。 新手段�����,邊信道攻擊簡稱SCA�,是針對加密電子設(shè)備在運行過程中的時間消耗或者功率消耗之類、電磁輻射造成的信息泄露來進行攻擊�。如果想得到你的數(shù)據(jù),是根據(jù)這幾種來實現(xiàn)攻擊����。說明白一點 就是竊聽監(jiān)聽你的數(shù)據(jù)然后進行破譯。感興趣的朋友可以百度了解一下��。
還沒普及���,就跳過吧......... 到此電子取證技術(shù)基礎(chǔ)就結(jié)束了,硬盤數(shù)據(jù)恢復這個�,軍方的條件是格式化37次,基本上無法提取數(shù)據(jù)了���,最簡單的方法是格式化后用大文件覆蓋硬盤空間�,大文件也就指垃圾文件�����。
GitChat 是一種全新的閱讀/寫作互動體驗產(chǎn)品。一場 Chat 包含一篇文章和一場為文章的讀者和作者定制的專屬線上交流����。本文出自 Chat 話題《電子取證技術(shù)探秘》。
|
