取证技术 - 数据获取基础

gclome

原文链接：取证技术 - 数据获取基础

优秀的电子数据取证人员

不但要能够了解操作系统和应用软件
熟知数字设备的硬件
更要懂得二者是如何协同工作的
这样才能操作取证工具
清晰明确地获取和分析电子数据
​
​
调查场景
在各类网络空间安全事件中，取证调查从“收集数据”开始
面对一台机器，该机器可能存在你需要寻找的证据
> 该机器可能是受害者的机器
> 也可能是犯罪嫌疑人的机器
> 需要客观地保持自己的判断力
> 因为我们还没有做任何事情
数据获取的需求
数据获取是制作取证时的证据副本
> 该证据可以是任何类型的存储介质（硬盘驱动器，USB，CD / DVD等）
为了避免未知的问题的出现，调查人员切勿对涉案物理机器（原始数据）进行直接的分析
怎么做？应该始终制作调查过程中遇到的计算机的镜像（同时拍照、录像等），以便事后进行分析（证明）
“原始性”要求
电子数据取证过程对电子数据有“原始性”要求
在取证过程中，杜绝（避免）对原始数据进行直接操作
> 首先，在搜索和工作时你可能会破坏证据
> 其次，在许多情况下，你会发现你所面对的状况不太可能让你保留机器直到调查结束
-- 想像一下，你正在调查网络服务器上的违规情况
-- 将整个服务器带回实验室以寻找证据往往是不可能的
-- 如果没有数据，想要进行指控，那也几乎是不可能的
数据获取 (Data Acquisition)
是从机器上获取镜像（Image）的过程
> 要求该镜像是存储机器上所有内容的副本
获取一个副本就可以了？
> 只有一个副本（或者是原始机器）
> 多个团队或调查人员无法并行处理同一案件
​
注意事项：不应对原始镜像进行分析和处理
原始镜像验证：将其与哈希参数一起保存以防止篡改
正确做法：所有工作需要在原始镜像的副本上完成
数据易失性 (Data Volatility)
易失性，又称波动性、挥发性
> 定义为数据集改变的速率或可能性
> 换句话说，改变存储在某种介质上的一组数据有多么容易
改变可能是更改或破坏
> 例如：存储在计算机RAM中的数据比存储在该硬盘中的数据更不稳定
> 重新启动会擦除RAM中存储的数据，这与硬盘上存储的数据不同
易失顺序 (Order of Volatility)
从机器获取数据时，调查人员应始终考虑易失的顺序
> 如前面的示例所述，RAM中的数据绝对比存储在机器HDD中的数据具有更高的优先级，因为它的易失性更高
从机器获取数据时应考虑顺序
存储介质的易失顺序排列方式（从最大到最小）
​
数据获取方法 (场景分类)
动态获取——易失性数据
> 通常在机器仍在运行时收集易失数据
> 关心如果系统崩溃将丢失的数据
> 通常考虑内存数据等
静态获取——镜像数据及逻辑数据等
> 重在收集非易失性数据
> 也即收集在系统重新启动或出现故障后保持不变的数据
> 通常在硬盘和闪存盘等上执行
注：选择哪种方法取决于数据的波动性和情况
> 通常最好从实时数据获取开始，因为丢失数据的风险高于丢失磁盘上存储的数据的风险
> 值得一提的是，有时在进行静态数据采集时可能会遇到易失性数据
> 当调查人员从硬盘上的RAM中找到以前已分页的“内存”页时，通常会遇到这种情况
死采集 (Dead Acquisition)
是指在没有操作系统帮助的情况下，从可疑机器获取数据的尝试
通常是借助机器的硬件完成
与常规数据获取相比，需要进行死采集的原因
> 在许多情况下，犯罪嫌疑人的操作系统已无法信任
> 某些攻击者可能安装了操纵操作系统行为的工具（例如Rootkit）
这种情况下，嫌疑机器的操作系统已不可信任
> 在当前操作系统环境下，已无法完成正常的数据获取任务
​
历史回顾（链接）：
  > 话题：基本概念
  > 话题：取证基础
> 话题：法律规制

​