安全矩阵

 找回密码
 立即注册
搜索
查看: 2237|回复: 0

取证技术 - 数据获取基础

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-17 22:22:50 | 显示全部楼层 |阅读模式
原文链接:取证技术 - 数据获取基础

优秀的电子数据取证人员

不但要能够了解操作系统和应用软件
熟知数字设备的硬件
更要懂得二者是如何协同工作的
这样才能操作取证工具
清晰明确地获取和分析电子数据


调查场景
在各类网络空间安全事件中,取证调查从“收集数据”开始
面对一台机器,该机器可能存在你需要寻找的证据
> 该机器可能是受害者的机器
> 也可能是犯罪嫌疑人的机器
> 需要客观地保持自己的判断力
> 因为我们还没有做任何事情
数据获取的需求
数据获取是制作取证时的证据副本
> 该证据可以是任何类型的存储介质(硬盘驱动器,USB,CD / DVD等)
为了避免未知的问题的出现,调查人员切勿对涉案物理机器(原始数据)进行直接的分析
怎么做?应该始终制作调查过程中遇到的计算机的镜像(同时拍照、录像等),以便事后进行分析(证明)
“原始性”要求
电子数据取证过程对电子数据有“原始性”要求
在取证过程中,杜绝(避免)对原始数据进行直接操作
> 首先,在搜索和工作时你可能会破坏证据
> 其次,在许多情况下,你会发现你所面对的状况不太可能让你保留机器直到调查结束
-- 想像一下,你正在调查网络服务器上的违规情况
-- 将整个服务器带回实验室以寻找证据往往是不可能的
-- 如果没有数据,想要进行指控,那也几乎是不可能的
数据获取 (Data Acquisition)
是从机器上获取镜像(Image)的过程
> 要求该镜像是存储机器上所有内容的副本
获取一个副本就可以了?
> 只有一个副本(或者是原始机器)
> 多个团队或调查人员无法并行处理同一案件

注意事项:不应对原始镜像进行分析和处理
原始镜像验证:将其与哈希参数一起保存以防止篡改
正确做法:所有工作需要在原始镜像的副本上完成
数据易失性 (Data Volatility)
易失性,又称波动性、挥发性
> 定义为数据集改变的速率或可能性
> 换句话说,改变存储在某种介质上的一组数据有多么容易
改变可能是更改或破坏
> 例如:存储在计算机RAM中的数据比存储在该硬盘中的数据更不稳定
> 重新启动会擦除RAM中存储的数据,这与硬盘上存储的数据不同
易失顺序 (Order of Volatility)
从机器获取数据时,调查人员应始终考虑易失的顺序
> 如前面的示例所述,RAM中的数据绝对比存储在机器HDD中的数据具有更高的优先级,因为它的易失性更高
从机器获取数据时应考虑顺序
存储介质的易失顺序排列方式(从最大到最小)

数据获取方法 (场景分类)
动态获取——易失性数据
> 通常在机器仍在运行时收集易失数据
> 关心如果系统崩溃将丢失的数据
> 通常考虑内存数据等
静态获取——镜像数据及逻辑数据等
> 重在收集非易失性数据
> 也即收集在系统重新启动或出现故障后保持不变的数据
> 通常在硬盘和闪存盘等上执行
注:选择哪种方法取决于数据的波动性和情况
> 通常最好从实时数据获取开始,因为丢失数据的风险高于丢失磁盘上存储的数据的风险
> 值得一提的是,有时在进行静态数据采集时可能会遇到易失性数据
> 当调查人员从硬盘上的RAM中找到以前已分页的“内存”页时,通常会遇到这种情况
死采集 (Dead Acquisition)
是指在没有操作系统帮助的情况下,从可疑机器获取数据的尝试
通常是借助机器的硬件完成
与常规数据获取相比,需要进行死采集的原因
> 在许多情况下,犯罪嫌疑人的操作系统已无法信任
> 某些攻击者可能安装了操纵操作系统行为的工具(例如Rootkit)
这种情况下,嫌疑机器的操作系统已不可信任
> 在当前操作系统环境下,已无法完成正常的数据获取任务

历史回顾(链接):
  > 话题:基本概念
  > 话题:取证基础
> 话题:法律规制





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 00:46 , Processed in 0.012420 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表