来源:https://online.norwich.edu/academic-programs/resources/5-steps-for-conducting-computer-forensics-investigations
https://www.dummies.com/computers/pcs/computer-security/computer-forensics-for-dummies-cheat-sheet/
https://qcert.org/services/digital-forensics
取证条件
取证条件
计算机取证调查领域正在发展,尤其是当执法部门和法律实体意识到信息技术 (IT) 专业人员在调查程序方面的价值时。随着网络犯罪的出现,跟踪恶意在线活动对于保护私人公民以及保护公共安全、国家安全、政府和执法部门的在线操作变得至关重要。跟踪数字活动使调查人员能够将网络通信和数字存储信息与犯罪活动的实物证据联系起来;计算机取证还可以让调查人员发现有预谋的犯罪意图,并可能有助于预防未来的网络犯罪。对于在该领域工作的人来说,计算机取证有五个关键步骤。
一、策略和程序制定Policy and Procedure Development
无论是与恶意网络活动、犯罪阴谋还是犯罪意图有关,数字证据都可能是微妙且高度敏感的 delicate and highly sensitive。网络安全专业人员了解这些信息的价值,并尊重这样一个事实:如果处理和保护不当,它很容易受到损害。因此,为与计算机取证调查相关的活动制定并遵循严格的指导方针和程序至关重要。此类程序可包括有关计算机取证调查员何时被授权authorized恢复潜在数字证据的详细说明recover potential digital evidence、如何为证据提取 evidence retrieval正确准备系统、在何处存储任何检索到的证据以及如何记录这些活动以帮助确保数据的真实性。
执法机构越来越依赖指定的 IT 部门,这些部门由经验丰富的网络安全专家组成,他们确定适当的调查协议并制定严格的培训计划,以确保以负责任的方式遵循最佳实践。除了为取证流程建立严格的程序外,网络安全部门还必须为组织内的所有其他数字活动制定治理规则。这对于保护执法机构和其他组织的数据基础设施至关重要。
使用计算机取证部门的执法组织的调查政策和程序的一个组成部分是编纂一套明确规定的行动,这些行动涉及什么构成证据、在哪里寻找所述证据以及一旦检索到如何处理它. 在进行任何数字调查之前,必须采取适当的步骤来确定手头案件的详细信息,并了解与案件有关的所有允许的调查行动;这包括阅读案件摘要、理解逮捕令warrants和授权authorizations,并在追查案件之前获得所需的任何许可 permissions。
二、证据评估Evidence Assessment
调查过程的一个关键组成部分涉及评估网络犯罪中的潜在证据。有效处理证据的核心是清楚了解手头案件的细节,从而对相关网络犯罪进行分类。例如,如果一个机构试图证明某人犯下了与身份盗窃有关的犯罪,计算机取证调查员会使用复杂的方法来筛选硬盘驱动器、电子邮件帐户、社交网站和其他数字档案,以检索和评估任何信息可以作为犯罪的可靠证据。当然,对于其他犯罪行为也是如此,例如从事在线犯罪行为,例如在 eBay 或 Craigslist 上发布假冒产品,旨在诱使受害者共享信用卡信息。在进行调查之前,调查人员必须定义所寻求证据的类型(包括特定平台和数据格式),并清楚了解如何保存相关数据。然后,调查人员必须在将其输入证据之前确定此类数据的来源和完整性。
三、取证Evidence Acquisition
也许成功的计算机取证调查最关键的方面是制定严格、详细的取证计划。在取证acquisition过程之前、之中和之后都需要大量的文档;必须记录和保存详细信息,包括所有硬件和软件规格、调查过程中使用的任何系统以及被调查的系统。此步骤是与保持潜在证据完整性相关的政策最适用的地方。保存证据的一般准则包括物理移除存储设备、使用受控引导盘来检索敏感数据并确保功能性,以及采取适当步骤将证据复制和传输到调查员的系统。
必须以有意和合法的方式获取证据。在追求法庭案件时,能够记录和验证证据链至关重要,鉴于大多数网络安全案件的复杂性,这对于计算机取证尤其如此。
四、证据检查Evidence Examination
为了有效地调查潜在的证据,必须在适当的数据库中建立检索、复制和存储证据的程序。调查人员通常从指定的档案中检查数据,使用各种方法和途径来分析信息;这可能包括利用分析软件搜索特定关键字或文件类型的海量数据档案,以及检索最近被删除的文件的程序(过程)。带有时间和日期标记的数据对调查人员特别有用,被加密或有意隐藏的可疑文件或程序也是如此。
分析文件名也很有用,因为它可以帮助确定具体数据是在何时何地创建、下载或上传的,还可以帮助调查人员将存储设备上的文件连接到在线数据传输(如云存储、电子邮件或其他互联网通信)。这也可以以相反的顺序工作,因为文件名通常表明它们所在的目录。在线或其他系统上的文件往往指向上传文件的特定服务器和计算机,为调查人员提供了系统位于何处的线索;将在线文件名与嫌疑人硬盘上的目录进行匹配是验证数字证据的一种方法。在这个阶段,计算机取证调查人员与刑事调查人员、律师和其他合格人员密切合作,以确保彻底了解案件的细微差别、允许的调查行动,以及哪些类型的信息可以作为证据。
五、记录和报告Documenting and Reporting
除了全面记录与硬件和软件规格相关的信息外,计算机取证调查人员必须准确记录与调查有关的所有活动,包括用于测试系统功能和检索、复制和存储数据的所有方法,以及为获取数据而采取的所有行动,检查和评估证据。这不仅说明了如何保存用户数据的完整性,而且还确保各方遵守适当的政策和程序。由于整个过程的目的是获取可以在法庭上作为证据提出的数据,调查人员未能准确记录他或她的过程可能会损害证据的有效性,并最终损害案件本身。
对于电脑取证调查员而言,所有与个案有关的行动均应以数码格式记录,并保存在适当的档案中。这有助于确保任何发现的真实性,因为这些网络安全专家可以显示证据是在何时、何地以及如何被发现的。它还允许专家确认证据的有效性,方法是将调查人员的数字记录文件与潜在嫌疑人通过外部来源获取该数据的日期和时间进行匹配。
与以往任何时候相比,网络安全专家在这一关键角色上正在帮助政府和执法机构、公司和私人实体提高其调查各种类型的网络犯罪活动的能力,并正面应对日益增多的网络威胁。领导计算机取证调查的IT专业人员的任务是确定特定的网络安全需求,并有效地分配资源,以应对网络威胁,并追捕上述肇事者。网络安全硕士学位有许多实际应用,可以让IT专业人员掌握强大的计算机取证和维护监管链的实践,同时记录数字证据。在一个充满活力的职业领域中,具有成功管理计算机取证调查的人才和教育背景的个人可能会发现自己处于一个非常有利的位置。
来源:https://www.dummies.com/computers/pcs/computer-security/computer-forensics-for-dummies-cheat-sheet/
傻瓜计算机取证备忘单
计算机取证通常是艰苦的,但找到有助于定罪或无罪的电子证据可能会非常令人满意。了解计算机取证调查员的工作、证据在哪里、调查员在获取和准备电子证据时遵循的步骤以及如何使用这些证据。
一、计算机取证:在哪里可以找到电子证据
如果您从事计算机取证工作,知道在哪里寻找电子证据至关重要。计算机取证调查员在以下列表中的所有电子设备中寻找证据:
(1)计算机:数字记忆不会忘记任何东西。硬盘驱动器是一个金矿,用于查找在其中创建、保存、下载、发送或删除的每个文件,包括文档、电子邮件、图像和财务记录。您可以找到完整的文件内容,以及有关文件创建、访问和编辑时间的许多详细信息,您甚至可以找到以前的版本。简而言之,硬盘是完美的时光机。
(2)访问过的网站:可以搜索用于访问 Internet 的任何数字设备,以查找用户访问过 Web上的位置和时间的列表。没有人匿名上网。
(3)PDA:手持设备可以像其他设备一样记录一个人的生活。要了解一个人的生活在哪里、做什么、与谁在一起以及生活的多少,请查看他的 PDA。
(4)MySpace、Facebook 或其他社交网络:私人聊天的完整记录和社交网络中的帖子正逐渐成为电子证据的主要来源。注:这些聊友聊天了很多,不使用标点符号或易于识别的语言。
(5)手机或智能手机:就像在 PDA 上一样,您可以在用户手机上找到的信息可以是您需要的电子证据,也可以引导您找到其他电子证据。您可以找到传入和传出消息和短信的详细日志;短信抄本;通讯录、日历;还有更多。
(6)聊天室:可悲的是,掠夺者和其他罪犯在世界各地的聊天室里闲逛。
(7)电子邮件: 一切,无论多么有罪或多么愚蠢,都是通过电子邮件发送和接收的。事实上,没有什么比电子邮件更容易受到搜索的影响。它充当真相血清,正因为如此,电子邮件和监狱之间臭名昭著的联系通常被忽略。
(8)任何有内存的设备:数码相机、iPod、闪存驱动器、SIM 卡——如果它使用内存,它可能有证据。
(9)GPS 设备:跟踪技术已被用于备受瞩目的法庭案件。要查找某人的行踪,请检查GPS 设备。
(10)网络或 Internet 服务提供商 (ISP): ISP 是数字污垢digital dirt和细节的丰富来源。如果字节通过它,每个网络设备都会记录它。
二、计算机取证调查的步骤
计算机取证是一项细致的实践。当怀疑涉及电子产品的犯罪时,计算机取证调查员会采取以下每个步骤来达成(希望如此)一个成功的结论:
(1)Obtain authorization to search and seize获得搜查和扣押的授权。
(2)保护可能是犯罪现场的区域。
(3)记录扣押的每件物品的监管链chain of custody。
(4)装袋、标记tag并安全运输设备和电子证据。
(5)通过使用取证健全的方法和工具从设备中获取电子证据,以创建电子证据的取证镜像image。
(6)将原始材料保存在安全可靠的位置。
(7)设计您的电子证据审查策略,包括关键字和搜索词列表。
(8)根据您的策略检查和分析电子证据的取证镜像(绝不是原始镜像image!)。
(9)根据从电子证据收集的事实来解释和推断。检查你的工作。
(10)在易于理解且书写清晰的报告中描述您的分析和发现。
(11)在证词或法庭上宣誓作证。
三、计算机取证在法律案件中的应用
计算机取证科学越来越多地用于法律案件。电子证据可以决定检察官案件的成败。以下是电子证据发挥作用的一些法律案件的样本:
(1)证明发生了什么事。你可能会在一封电子邮件中发现性骚扰的证据;在财务文件中显示欺诈或违反国税局规定;或者在文件传输中表明知识产权被盗,例如。
(2)证明某人没有做某事。由于个人电脑没有密码或防火墙保护,个人电脑上利用儿童的图像文件可能已经被其他人下载。
(3)弄清楚事实证明了什么。您可能会发现私人电子邮件消息、短信、财务账户或其他在线活动,这些活动表明违反合同或专利、隐藏资产、不忠、盗窃知识产权、滥用公司网络或非法活动。
四、计算机取证调查员的角色
作为法律系统的一部分,计算机取证调查员帮助建立支持或反对被控不法行为的个人或公司的案件。计算机取证调查员可能承担的工作包括以下列表:
(1)检查控方或对方律师的电子证据以获取替代解释。收集到的电子证据可能无法支持有关被告操纵会计软件的指控。
(2)评估针对嫌疑人的电子证据的强度。有时,客户和被告需要知道控方知道什么才能决定采取认罪协议是否是正确的选择。认罪比被判有罪的入狱时间少 。
(3)审查专家报告是否存在不一致、遗漏、夸大和其他漏洞。仔细检查这些文件,看是否能发现错误。
网友评论