- Python数字取证
- Python数字取证 - 首页
- 简介
- Python入门
- 工件报告
- 移动设备取证
- 调查嵌入式元数据
- 网络取证-I
- 网络取证-II
- 使用电子邮件进行调查
- Windows重要工件-I
- Windows重要工件-II
- Windows重要工件-III
- 基于日志工件的调查
- Python数字取证资源
- 快速指南
- Python数字取证 - 资源
- Python数字取证 - 讨论
Python数字取证 - 简介
本章将为您介绍数字取证的本质及其历史回顾。您还将了解数字取证在现实生活中的应用场景及其局限性。
什么是数字取证?
数字取证可以定义为法证科学的一个分支,它分析、审查、识别和恢复驻留在电子设备上的数字证据。它通常用于刑事诉讼和私人调查。
例如,如果有人窃取了电子设备上的某些数据,您可以依靠数字取证提取证据。
数字取证简史
本节介绍了计算机犯罪的历史和数字取证的历史回顾,如下所示:
1970年代-1980年代:首次计算机犯罪
在此十年之前,尚未认识到计算机犯罪。但是,如果假设它发生了,那么当时现有的法律会处理它们。后来,在1978年,佛罗里达州计算机犯罪法案中首次承认了计算机犯罪,其中包括针对未经授权修改或删除计算机系统上数据的立法。但随着时间的推移,由于技术的进步,所犯的计算机犯罪范围也随之扩大。为了应对与版权、隐私和儿童色情相关的犯罪,颁布了其他各种法律。
1980年代-1990年代:发展十年
这个十年是数字取证的发展十年,这一切都归因于1986年的首次调查,克利夫·斯托尔在该调查中追踪了名为马库斯·赫斯的黑客。在此期间,发展了两种数字取证学科——第一种是在实践者将其作为爱好而开发的临时工具和技术的帮助下,第二种由科学界开发。1992年,术语“计算机取证”在学术文献中被使用。
2000年代-2010年代:标准化十年
在数字取证发展到一定程度后,需要制定一些在进行调查时可以遵循的具体标准。因此,各科学机构和组织发布了数字取证指南。2002年,数字证据科学工作组(SWGDE)发表了一篇名为“计算机取证最佳实践”的论文。另一个值得一提的是一项由欧洲主导的国际条约,即“网络犯罪公约”,由43个国家签署,16个国家批准。即使有这样的标准,研究人员也仍然需要解决一些问题。
数字取证流程
自1978年首次计算机犯罪以来,数字犯罪活动急剧增加。由于这种增长,需要以结构化的方式来处理它们。1984年,引入了一个正式的流程,此后开发了大量新的和改进的计算机取证调查流程。
计算机取证调查流程涉及三个主要阶段,如下所述:
阶段1:获取或成像证据
数字取证的第一阶段涉及保存数字系统的状态,以便以后对其进行分析。这与从犯罪现场拍照、采集血样等非常相似。例如,它涉及捕获硬盘或RAM的已分配和未分配区域的映像。
阶段2:分析
此阶段的输入是在获取阶段获取的数据。在这里,检查这些数据以识别证据。此阶段提供了三种证据,如下所示:
定罪证据 - 这些证据支持给定的历史。
开脱证据 - 这些证据与给定的历史相矛盾。
篡改证据 - 这些证据表明系统被篡改以避免识别。它包括检查文件和目录内容以恢复已删除的文件。
阶段3:展示或报告
顾名思义,此阶段展示了调查的结论和相应的证据。
数字取证的应用
数字取证处理收集、分析和保存任何数字设备中包含的证据。数字取证的使用取决于应用场景。如前所述,它主要用于以下两个应用场景:
刑法
在刑法中,收集证据是为了支持或反对法庭上的假设。取证程序与刑事调查中使用的程序非常相似,但具有不同的法律要求和限制。
私人调查
主要由企业界使用数字取证进行私人调查。当公司怀疑员工可能在其计算机上进行违反公司政策的非法活动时,就会使用它。当调查某人是否进行数字不端行为时,数字取证为公司或个人提供了最佳途径之一。
数字取证分支
数字犯罪不仅限于计算机,黑客和罪犯也在大规模使用平板电脑、智能手机等小型数字设备。有些设备具有易失性存储器,而其他设备则具有非易失性存储器。因此,根据设备类型,数字取证具有以下分支:
计算机取证
数字取证的这一分支处理计算机、嵌入式系统和静态存储器(如USB驱动器)。在计算机取证中可以调查从日志到驱动器上实际文件的各种信息。
移动取证
这处理从移动设备调查数据。该分支与计算机取证的不同之处在于,移动设备具有内置的通信系统,可用于提供与位置相关的有用信息。
网络取证
这处理监控和分析计算机网络流量(本地和广域网)以收集信息、收集证据或入侵检测的目的。
数据库取证
数字取证的这一分支处理数据库及其元数据的取证研究。
数字取证调查所需的技能
数字取证检查员帮助追踪黑客、恢复被盗数据、追溯计算机攻击的源头,并协助其他涉及计算机的调查类型。下面讨论成为数字取证检查员所需的一些关键技能:
杰出的思维能力
数字取证调查员必须具备杰出的思维能力,并且能够在特定任务中应用不同的工具和方法以获得输出。他/她必须能够找到不同的模式并在它们之间建立关联。
技术技能
数字取证检查员必须具备良好的技术技能,因为该领域需要网络知识,以及数字系统如何交互的知识。
对网络安全的热情
因为数字取证领域完全是关于解决网络犯罪,这是一项繁琐的任务,所以需要很多人对成为一名优秀的数字取证调查员充满热情。
沟通技巧
良好的沟通技巧对于与各个团队协调以及提取任何缺失的数据或信息至关重要。
熟练制作报告
在成功实施获取和分析后,数字取证检查员必须在最终报告和演示文稿中说明所有发现。因此,他/她必须具备良好的报告制作技能和对细节的关注。
局限性
数字取证调查存在某些局限性,此处讨论如下:
需要提供令人信服的证据
数字取证调查的主要障碍之一是,检查员必须遵守法庭证据所需的标准,因为数据很容易被篡改。另一方面,计算机取证调查员必须完全了解法律要求、证据处理和文件程序,以便在法庭上出示令人信服的证据。
调查工具
数字调查的有效性完全取决于数字取证检查员的专业知识和适当调查工具的选择。如果使用的工具不符合规定的标准,那么在法庭上,法官可能会否认这些证据。
受众缺乏技术知识
另一个局限性是,有些人并不完全熟悉计算机取证;因此,许多人无法理解这一领域。调查人员必须确保以一种有助于每个人理解结果的方式向法庭传达他们的发现。
成本
生成和保存数字证据的成本非常高。因此,许多负担不起成本的人可能不会选择此流程。