- Python數字取證
- Python數字取證 - 首頁
- 簡介
- Python入門
- 工件報告
- 移動裝置取證
- 調查嵌入式元資料
- 網路取證-I
- 網路取證-II
- 使用電子郵件進行調查
- Windows重要工件-I
- Windows重要工件-II
- Windows重要工件-III
- 基於日誌工件的調查
- Python數字取證資源
- 快速指南
- Python數字取證 - 資源
- Python數字取證 - 討論
Python數字取證 - 簡介
本章將為您介紹數字取證的本質及其歷史回顧。您還將瞭解數字取證在現實生活中的應用場景及其侷限性。
什麼是數字取證?
數字取證可以定義為法證科學的一個分支,它分析、審查、識別和恢復駐留在電子裝置上的數字證據。它通常用於刑事訴訟和私人調查。
例如,如果有人竊取了電子裝置上的某些資料,您可以依靠數字取證提取證據。
數字取證簡史
本節介紹了計算機犯罪的歷史和數字取證的歷史回顧,如下所示:
1970年代-1980年代:首次計算機犯罪
在此十年之前,尚未認識到計算機犯罪。但是,如果假設它發生了,那麼當時現有的法律會處理它們。後來,在1978年,佛羅里達州計算機犯罪法案中首次承認了計算機犯罪,其中包括針對未經授權修改或刪除計算機系統上資料的立法。但隨著時間的推移,由於技術的進步,所犯的計算機犯罪範圍也隨之擴大。為了應對與版權、隱私和兒童色情相關的犯罪,頒佈了其他各種法律。
1980年代-1990年代:發展十年
這個十年是數字取證的發展十年,這一切都歸因於1986年的首次調查,克利夫·斯托爾在該調查中追蹤了名為馬庫斯·赫斯的駭客。在此期間,發展了兩種數字取證學科——第一種是在實踐者將其作為愛好而開發的臨時工具和技術的幫助下,第二種由科學界開發。1992年,術語“計算機取證”在學術文獻中被使用。
2000年代-2010年代:標準化十年
在數字取證發展到一定程度後,需要制定一些在進行調查時可以遵循的具體標準。因此,各科學機構和組織釋出了數字取證指南。2002年,數字證據科學工作組(SWGDE)發表了一篇名為“計算機取證最佳實踐”的論文。另一個值得一提的是一項由歐洲主導的國際條約,即“網路犯罪公約”,由43個國家簽署,16個國家批准。即使有這樣的標準,研究人員也仍然需要解決一些問題。
數字取證流程
自1978年首次計算機犯罪以來,數字犯罪活動急劇增加。由於這種增長,需要以結構化的方式來處理它們。1984年,引入了一個正式的流程,此後開發了大量新的和改進的計算機取證調查流程。
計算機取證調查流程涉及三個主要階段,如下所述:
階段1:獲取或成像證據
數字取證的第一階段涉及儲存數字系統的狀態,以便以後對其進行分析。這與從犯罪現場拍照、採集血樣等非常相似。例如,它涉及捕獲硬碟或RAM的已分配和未分配區域的映像。
階段2:分析
此階段的輸入是在獲取階段獲取的資料。在這裡,檢查這些資料以識別證據。此階段提供了三種證據,如下所示:
定罪證據 - 這些證據支援給定的歷史。
開脫證據 - 這些證據與給定的歷史相矛盾。
篡改證據 - 這些證據表明系統被篡改以避免識別。它包括檢查檔案和目錄內容以恢復已刪除的檔案。
階段3:展示或報告
顧名思義,此階段展示了調查的結論和相應的證據。
數字取證的應用
數字取證處理收集、分析和儲存任何數字裝置中包含的證據。數字取證的使用取決於應用場景。如前所述,它主要用於以下兩個應用場景:
刑法
在刑法中,收集證據是為了支援或反對法庭上的假設。取證程式與刑事調查中使用的程式非常相似,但具有不同的法律要求和限制。
私人調查
主要由企業界使用數字取證進行私人調查。當公司懷疑員工可能在其計算機上進行違反公司政策的非法活動時,就會使用它。當調查某人是否進行數字不端行為時,數字取證為公司或個人提供了最佳途徑之一。
數字取證分支
數字犯罪不僅限於計算機,駭客和罪犯也在大規模使用平板電腦、智慧手機等小型數字裝置。有些裝置具有易失性儲存器,而其他裝置則具有非易失性儲存器。因此,根據裝置型別,數字取證具有以下分支:
計算機取證
數字取證的這一分支處理計算機、嵌入式系統和靜態儲存器(如USB驅動器)。在計算機取證中可以調查從日誌到驅動器上實際檔案的各種資訊。
移動取證
這處理從移動裝置調查資料。該分支與計算機取證的不同之處在於,移動裝置具有內建的通訊系統,可用於提供與位置相關的有用資訊。
網路取證
這處理監控和分析計算機網路流量(本地和廣域網)以收集資訊、收集證據或入侵檢測的目的。
資料庫取證
數字取證的這一分支處理資料庫及其元資料的取證研究。
數字取證調查所需的技能
數字取證檢查員幫助追蹤駭客、恢復被盜資料、追溯計算機攻擊的源頭,並協助其他涉及計算機的調查型別。下面討論成為數字取證檢查員所需的一些關鍵技能:
傑出的思維能力
數字取證調查員必須具備傑出的思維能力,並且能夠在特定任務中應用不同的工具和方法以獲得輸出。他/她必須能夠找到不同的模式並在它們之間建立關聯。
技術技能
數字取證檢查員必須具備良好的技術技能,因為該領域需要網路知識,以及數字系統如何互動的知識。
對網路安全的熱情
因為數字取證領域完全是關於解決網路犯罪,這是一項繁瑣的任務,所以需要很多人對成為一名優秀的數字取證調查員充滿熱情。
溝通技巧
良好的溝通技巧對於與各個團隊協調以及提取任何缺失的資料或資訊至關重要。
熟練製作報告
在成功實施獲取和分析後,數字取證檢查員必須在最終報告和簡報中說明所有發現。因此,他/她必須具備良好的報告製作技能和對細節的關注。
侷限性
數字取證調查存在某些侷限性,此處討論如下:
需要提供令人信服的證據
數字取證調查的主要障礙之一是,檢查員必須遵守法庭證據所需的標準,因為資料很容易被篡改。另一方面,計算機取證調查員必須完全瞭解法律要求、證據處理和檔案程式,以便在法庭上出示令人信服的證據。
調查工具
數字調查的有效性完全取決於數字取證檢查員的專業知識和適當調查工具的選擇。如果使用的工具不符合規定的標準,那麼在法庭上,法官可能會否認這些證據。
受眾缺乏技術知識
另一個侷限性是,有些人並不完全熟悉計算機取證;因此,許多人無法理解這一領域。調查人員必須確保以一種有助於每個人理解結果的方式向法庭傳達他們的發現。
成本
生成和儲存數字證據的成本非常高。因此,許多負擔不起成本的人可能不會選擇此流程。