|
(一)觀察評估
在收集提取電子數(shù)據(jù)之前�����,或面對某一存儲電子數(shù)據(jù)載體時�,取證人員要觀察了解與取證目標(biāo)相關(guān)的情況,并對取證情況進(jìn)行初步的全面評估���。通過評估���,確定取證重點、順序���,選擇擬用的收集提取工具��、方法��,擬定取證方案�����。 在觀察評估過程����,具體會涉及以下內(nèi)容: (1)檢查準(zhǔn)備工作是否妥當(dāng)。比如�����,現(xiàn)場環(huán)境是否了解透徹��;取證難點能否克服���;器材設(shè)備是否備好;相關(guān)法律手續(xù)是否履行����;法律文書是否完備;見證人是否到位�;遇到意外緊急情況該如何應(yīng)對等。 (2)進(jìn)一步了解案情���。比如���,了解受害情況;受害人情況�����;犯罪嫌疑人情況;受害人計算機水平���;犯罪嫌疑人犯罪手法�����;取證目標(biāo)數(shù)據(jù)權(quán)限分配等���。 (3)確定取證范圍、目標(biāo)�。明確多大范圍內(nèi)的電子數(shù)據(jù)載體應(yīng)該收集提取���;明確是否需要展開網(wǎng)絡(luò)取證�;明確是否需要收集提取基站數(shù)據(jù)���;明確是否需要收集提取現(xiàn)場視頻數(shù)據(jù)�����;明確現(xiàn)場中哪些電子設(shè)備�����、電子數(shù)據(jù)是需要收集的�����;明確現(xiàn)場中哪些傳統(tǒng)痕跡��、物品應(yīng)連同電子數(shù)據(jù)一并提取��。 (4)觀察�、了解取證目標(biāo)���。觀察取證目標(biāo)所處環(huán)境�����,進(jìn)一步了解目標(biāo)情況�����。了解取證目標(biāo)是家庭單機��,還是IDC機房服務(wù)器集群�;了解是否涉及境外或異地遠(yuǎn)程電子數(shù)據(jù)取證;了解與取證相關(guān)的電子設(shè)備操作權(quán)限��。 (5)確定取證人員�。在前期準(zhǔn)備的基礎(chǔ)上,根據(jù)取證人員的特長和取證任務(wù)要求確定兩名以上取證人員具體取證�����。 (6)選定取證器材�����。根據(jù)取證任務(wù)備好器材設(shè)備��,如硬盤只讀設(shè)備、復(fù)制設(shè)備����、手機取證設(shè)備���、信號屏蔽設(shè)備��、備用電源��、備用存儲等�����。 (7)擬定取證方案。根據(jù)現(xiàn)場環(huán)境�����、具體取證任務(wù)、器材、取證人員情況等擬定具體的取證方案���,即應(yīng)采用怎樣的取證順序?選擇怎樣的取證方法�����? (二)固定獲取 存儲電子數(shù)據(jù)的載體是十分復(fù)雜的。電子數(shù)據(jù)不僅存在于單獨的文件中�,還會存在于系統(tǒng)日志、數(shù)據(jù)文件��、寄存器、交換區(qū)��、隱藏文件��、空閑硬盤空間、打印機緩存、網(wǎng)絡(luò)數(shù)據(jù)���、用戶進(jìn)程存儲、堆棧��、文件緩沖區(qū)���、文件系統(tǒng)本身等不同的位置���,電子數(shù)據(jù)遍布存儲介質(zhì)�。在對電子數(shù)據(jù)進(jìn)行提取之前,必須對存儲電子數(shù)據(jù)的介質(zhì)進(jìn)行拍照固定���。與犯罪有關(guān)的電子數(shù)據(jù)需要提取后再進(jìn)行分析����,不可以在原始存儲介質(zhì)上直接進(jìn)行分析。目前��,提取電子數(shù)據(jù)主要使用獲取的方法��。在具體獲取時���,需對具體的介質(zhì)進(jìn)行寫保護(hù)����。寫保護(hù)是獲取和分析電子數(shù)據(jù)的前提���。通過寫保護(hù)�,才能防止取證人員有意或無意地變動數(shù)據(jù),以保證所獲取數(shù)據(jù)真實可靠��。 獲取作為提取電子數(shù)據(jù)的做法��,主要分為鏡像獲取和特定數(shù)據(jù)獲取兩種�。鏡像獲取是對源存儲介質(zhì)的逐比特位的復(fù)制。鏡像獲取是一種靜態(tài)獲取�,可以提取到所有的數(shù)據(jù)。當(dāng)然����,有時要獲取到所有的數(shù)據(jù)是不可能的。比如����,對正在運行的服務(wù)器,只能針對案件的需要去獲取相應(yīng)的數(shù)據(jù)����,不可能獲取所有的數(shù)據(jù)�����。特定數(shù)據(jù)獲取是針對特定的文件�����、數(shù)據(jù)進(jìn)行的獲取�����。特定數(shù)據(jù)獲取有靜態(tài)和動態(tài)獲取兩種方式���。靜態(tài)獲取是針對存儲介質(zhì)的特定文件進(jìn)行的提取。動態(tài)獲取是根據(jù)獲取策略,提取特定的數(shù)據(jù)��。動態(tài)獲取又稱“易失性數(shù)據(jù)提取”�����。 (1)鏡像獲取�����。一般的備份程序只能對單個的文件系統(tǒng)作備份����,無法捕獲到松弛區(qū)����、未分配空間及Swap文件。只有逐比特復(fù)制才能建立整個驅(qū)動器的鏡像���,確保得到所有需要的數(shù)據(jù)�,包括已被刪除或隱藏的文件����。鏡像獲取可以實現(xiàn)對原始驅(qū)動器每一個比特的精確鏡像。 因此��,獲取精確備份的最好方法是應(yīng)用鏡像工具�。鏡像工具從底層對硬盤進(jìn)行逐比特復(fù)制,可以實現(xiàn)全盤或分區(qū)逐比特復(fù)制���。鏡像工具大部分帶有只讀功能�����,鏡像時不改變原始內(nèi)容�。鏡像工具還具備壓縮、校驗�、時間戳日志等功能。 (2)特定數(shù)據(jù)獲取���。偵查中����,在一些特定情景下�����,只需獲取特定的文件即可����。此時,便可以進(jìn)行特定的文件獲取�����。根據(jù)文件屬性和文件簽名技術(shù),文件獲取可以快速地過濾��、搜索到特定的文件��,通過寫保護(hù)方式�����,將文件提取到外置的存儲器上�。偵查中����,有時會遇到有些重要的數(shù)據(jù)存在于犯罪嫌疑人機器的寄存器、緩存或內(nèi)存中�,比如,當(dāng)前登錄的用戶列表�、整個文件系統(tǒng)的時間/日期戳、當(dāng)前運行著的進(jìn)程列表����、當(dāng)前打開的套接字列表、在打開的套接字上監(jiān)聽的應(yīng)用程序等��,這些數(shù)據(jù)被稱為易消失數(shù)據(jù)�����,它們會隨著系統(tǒng)的關(guān)閉而消失且不可恢復(fù)。易消失數(shù)據(jù)的獲取要根據(jù)受害系統(tǒng)的性質(zhì)和安全管理的政策規(guī)定來決定在怎樣狀態(tài)下進(jìn)行就是說���,是讓可疑計算機繼續(xù)運行以進(jìn)行易失性數(shù)據(jù)的獲取�����,還是立即關(guān)閉電源或進(jìn)行正常關(guān)機�����,此須根據(jù)受害系統(tǒng)的性質(zhì)和安全管理規(guī)定來決定��。比如�,在互聯(lián)網(wǎng)入侵案件偵查中���,就需先進(jìn)行鏡像再切斷網(wǎng)絡(luò)或關(guān)機��,否則��,就會毀掉入侵者登錄的IP��、內(nèi)存中運行的程序信息等�����。獲取易失性數(shù)據(jù)通常要經(jīng)歷以下步驟:運行可信的程序一記錄系統(tǒng)時間����、日期一確定登錄信息一記錄所有文件的創(chuàng)建、修改和訪問時間一確定打開的端口一列出與打開端口相關(guān)的應(yīng)用程序一列出所有正在運行的進(jìn)程一列出所有當(dāng)前和最近的連接再次記錄系統(tǒng)時間和日期�。 (三)梳理分析 所獲取的電子數(shù)據(jù)與其他電子數(shù)據(jù)沒有什么區(qū)別,數(shù)據(jù)里含有的可以用于揭露�、證實犯罪的信息需要通過進(jìn)一步的梳理分析才能獲得。電子數(shù)據(jù)梳理分析的內(nèi)容包括系統(tǒng)數(shù)據(jù)��、文件數(shù)據(jù)��、隱藏數(shù)據(jù)等�。 對電子數(shù)據(jù)的梳理分析要依托分析研究工具��。梳理分析的專業(yè)工具包括 Encase�、FTK、X-way���、Forensic等�。面對一些特定的案件��,還需要用到一些特殊的分析工具。比如����,在大多數(shù)黑客入侵犯罪案件中,借助嗅探工具����,通過捕捉網(wǎng)絡(luò)流量并進(jìn)行分析,可以重構(gòu)網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)等行為��。 不同種類的案件�����,梳理分析數(shù)據(jù)的方法是不同的��?�?傮w而言���,電子數(shù)據(jù)的梳理分析方法包括文件過濾�����、關(guān)鍵詞查找����、數(shù)字校驗和文件簽名等。從易到難排序�����,電子數(shù)據(jù)的梳理分析步驟如下: (1)獲取目標(biāo)基本信息����。目標(biāo)基本信息包括系統(tǒng)類型、賬戶信息����、安裝時間、關(guān)機時間等��。目標(biāo)基本信息可以為電子數(shù)據(jù)取證人員提供目標(biāo)基本概況�,獲取基本情況可以為取證工作打好基礎(chǔ)����。目標(biāo)基本信息可以利用取證工具的腳本或自動提取功能來實現(xiàn)。 (2)文件過濾��。文件過濾依賴操作系統(tǒng)�����、文件系統(tǒng)和應(yīng)用程序,可以利用文件屬性���,如M-A—C時間���、后綴名、邏輯大小��、物理大小等屬性進(jìn)行�。 (3)關(guān)鍵詞搜索。關(guān)鍵詞搜索可以搜索到刪除文件����、文件松弛區(qū)和未分配空間的關(guān)鍵詞,以達(dá)找到數(shù)據(jù)之目的���。關(guān)鍵詞搜索不依賴文件系統(tǒng)��,通常是設(shè)置關(guān)鍵詞��,以二進(jìn)制的形式�����,在介質(zhì)中進(jìn)行遍歷��,直到命中結(jié)果�。 (4)文件分析。對過濾或查找到的文件的信息和元數(shù)據(jù)進(jìn)行分析�����。文件分析的內(nèi)容包括:查看文件信息����,含查看文件名、文件大小�、其他關(guān)聯(lián)文件;確定關(guān)聯(lián)文件的數(shù)量和類型���;檢查文件內(nèi)容����;檢查文件元數(shù)據(jù)���,通過分析文件數(shù)據(jù)結(jié)構(gòu),提取文件中隱含的數(shù)據(jù)���。 (5)數(shù)據(jù)恢復(fù)���。即對已刪除�、丟失的數(shù)據(jù)進(jìn)行恢復(fù)�。數(shù)據(jù)恢復(fù)可以恢復(fù)刪除文件、文件松弛區(qū)和未分析空間中的數(shù)據(jù)���。 (6)密碼破解���。當(dāng)找到的文件被密碼保護(hù)時需要利用密碼破解技術(shù)破解密碼。 (7)標(biāo)記找到的數(shù)據(jù)�����。對找到的文件和內(nèi)容通過書簽進(jìn)行標(biāo)記�����,以記錄分析動作����,也方便再次分析。 (四)形成報告 根據(jù)取證的原始記錄����,形成電子數(shù)據(jù)取證報告�����。電子數(shù)據(jù)取證報告的形成是法律的要求��,也是取證結(jié)果的直觀體現(xiàn)報告里通常要體現(xiàn)犯罪行為的時間�����、空間����、直接證據(jù)信息����、系統(tǒng)環(huán)境信息,還要體現(xiàn)取證過程�、對電子數(shù)據(jù)的分析結(jié)果等。 原文載《偵查中電子數(shù)據(jù)取證》��,李雙其���、林偉著���,知識產(chǎn)權(quán)出版社,2018年6月第一版�。P84-88.
|
