03.数字取证
数字取证用于确保真实性和完整性的方式查找、记录和保存数据证据。在数据取证的过程中需要面对技术、法律和管理的挑战,以确保证据的真实性、可接受性和可靠获取性。
一、取证数据采集
1、网络犯罪的要素
调查人员应进行初步调查,询问谁、什么、在哪里、何时、为什么以及如何确定犯罪的具体要素。
- 发生了哪些不良活动?(即什么罪)
- 活动发生在哪里?(例如,受害者的个人笔记本电脑、组织的电子邮件服务器)
- 谁是受害者?
- 谁是嫌疑人?
- 活动是如何发生的?(例如,本地用户操作、远程访问用户操作)
- 为什么会发生该活动?(例如,一个心怀不满的员工想证明一个观点)
- 网络犯罪的要素如何相互联系?(例如,在受害者的电子邮件中收到包含威胁消息的文件,其中包含指示嫌疑人姓名的元数据;嫌疑人的笔记本电脑拥有用于生成文档的软件的相同版本;生成相关文件时嫌疑人正在使用笔记本电脑;嫌疑人在附近发送了一封电子邮件, 在受害者收到包含该文件的电子邮件之前)
2、什么是数字取证?
数字取证是一个术语,包括对可用于创建、发送、接收、存储或转发数据的各种数字设备进行的取证调查。 数字设备上的数据是以某种方式到达的,无论是由用户或程序生成,还是原始输入的结果、从内部源或操作中检索的结果、外部源或操作的结果,或是任何或所有这些的组合。 数字取证调查人员必须了解数字设备的运行和通信方式。 在设备运行和通信过程中,各种功能通过不同的组件实现不同的目的。 取证人工制品是数字世界的 "脚印 "和 "指纹",提供了用户或程序如何相互作用的轨迹。
3、数字取证的种类
数字取证可以分为以下六种类型:
- 计算机取证:涉及从笔记本电脑、台式机或服务器收集和分析数据。从计算机提取的数据可能包括硬盘上的 Windows 注册表配置单元、从磁盘中删除的文件、网络配置设置或与涉及计算机的操作相关的其他详细信息。
- 记忆取证:侧重于易失性计算机组件(如 RAM)中存在的数据。RAM 中感兴趣的取证工件包括 Windows 注册表配置单元(因为它们显示为打开以在内存中使用)、网络连接信息以及解码后用于内存的文件中的数据字符串。
- 网络取证:涉及设备之间的通信,可能涉及来自计算机客户端、计算机服务器和网络基础结构设备的数据。与网络取证相关的项目可能包括防火墙日志文件、数据包捕获文件、数据包字符串数据和网络流记录。
- 电子邮件取证:专注于电子邮件发件人和收件人的归属。电子邮件日志记录、EML 文件、文件附件和电子邮件标头都是有价值的项目。
- 移动取证:包括 PDA、手机、平板电脑和可穿戴健康监测设备。移动数据可用于展示嫌疑人或受害者在给定时间的物理位置,并包含在笔记本电脑、台式机和服务器计算机上找到的其他工件(例如,IP 地址、浏览器历史记录、存储的文件)。
- 云取证:引入相对于刚才描述的其他数字取证学科的新近度。云取证可能包括多个计算机取证学科以及与云环境中的计算资源相关的记录的获取和分析。
4、数字取证与电子发现
数字取证与电子发现是使用相同的工具和技术的相关学科,但确定将主要使用哪个学科取决于预期结果和调查范围。
电子发现:用于非侵入性调查,其中刑事调查不是预期的结果,恢复已删除的数据不是必须的,证词完全基于事实而不是数字取证专家的解释。
数字取证:用于调查可能具有侵入性和密集性的情况。数字取证比电子发现需要更高程度的专业知识,适用于需要刑事调查的情况。
5、数字取证调查
数字取证貂蝉元遵循从识别和获取数字证据到上下文中同时呈现按权重所有数字证据的过程,以非技术人员可以理解的方式展示调查员对证据的解释。
数字取证调查遵循线性过程,将数字媒体中包含的原始数据转换为可用于民事或刑事案件的证据。NIST 在其将取证技术集成到事件响应指南 (800-86) 中介绍了简化的取证流程,如下所示。
收集(Collection):获得数字媒体设备的取证副本。复制第一份副本,第二份副本用于检查和分析。
检查(Examination):取证工具和技术用于从媒介副本中提取和组织数据。
分析(Analysis):客观地观察数据,用于指定假设,并提供问题的答案。
报告(Reporting):可证明支持或反驳假设的信息被记录为证据,与证据相关的法医人工制品推动了叙述的形成。
6、元数据
考虑到各种类型的数字设备,以及这些设备如何与数据交互,数字取证调查人员必须了解数据与给定设备交互的背景。数字取证调查人员需要了解数据和元数据之间的区别,以及它们对调查的价值。
数字取证上下文中的数据通常被组织为易失性和持久性数据。NIST(SP 800-53)将元数据定义为“描述数据特征的信息,包括例如数据结构的结构元数据和描述税局内容的描述性元数据。”
NIST将元数据分为四种不同的类型(和三种子类型):
- 描述性元数据(Descriptive Metadata):发现并标识资源;
- 管理元数据(Administrative Metadata):提供信息以帮助资源管理;
- 技术元数据(Technical Metadata):解码和呈现文件;
- 保留元数据(Preservation Metadata):提供文件的长期管理;
- 权限元数据(Rights Metadata):将知识产权附加到内容;
- 结构元数据(Structural Metadata):指示按形式排序的对象;
- 标记语言(Markup Languages):标识文档中其他结构或语义功能的单个元素;
7、调查方法
鉴于数字取证调查的性质,数字取证调查人员必须保持无可指责的行为和实践。撇开道德和伦理义务不谈,在调查期间必须始终注意保持客观性。与所有其他取证学科一样,数字取证是一在·门科学,因此遵循科学方法。
当研究人员需要测试软件或工具验证时,Daubert标准被用作指导。可以考虑五个因素来确定该技术的可靠性。
- 所讨论的技术或方法是否经过测试?
- 该方法是否已提交同行评审和出版?
- 是否有任何已知或潜在的错误与该方法有关?
- 标准的存在和维护是否控制了技术的运行?
- 该方法是否得到相关科学界的认可?
NIST 为在计算机取证工具测试项目中开发通用工具规范、测试过程、测试标准、测试集和测试硬件建立了指南。对于取证调查人员来说,确保计算机取证工具的可靠性以满足执法界的需求至关重要。测试结果为调查人员提供了关键信息,以做出有关获取和应用计算机取证工具的明智选择。请记住,取证软件工具必须始终如一地产生准确客观的测试结果。
Computer Forensics Tool Testing Program (CFTT) | NIST
[Brunty, J. (2013). Best Practices for Digital Forensics.](https://www.radford.edu/content/dam/colleges/csat/ forensics/nij-chapters/brunty1.pdf)
二、数据采集和保存
1、取证数据采集
数据采集或收集是用于获取数字证书副本以用于调查期间分析的过程。
在规划阶段之后,进行数据采集是任何数字调查中要执行的步骤。数据采集步骤可以说是调查中最重要的步骤。调查人员可能只有一次机会正确获取数据。另一方面,分析可以由同一方或不同方对任何数字证据重复执行。只要证据可核实地保持其完整性,分析就应该是有效的。假设在分析期间采取的操作以某种方式篡改了数据完整性或损坏了正在分析的数字证据。在这种情况下,应制作原件的另一份副本。
如下显示了数据采集的相关步骤:
2、数据采集准备
涉及获取和分析易失性数据的数字取证调查被称为 "活 "取证。涉及获取和分析非易失性数据的数字取证调查称为 "死 "取证。事件响应可使用活取证对可能受影响的系统进行分流,然后再进行死取证,但活取证也可用于以各种方式补充死取证,包括检索加密驱动器的密码或系统上使用的账户的散列密码。
3、行动
1. 波动顺序——易失性数据
数字证据是通过生成数字媒体中包含的数据副本来获取的。收集数据的介质类型和正在执行的调查类型都会严重影响用于数据收集的工具和技术,以及调查人员将用于取证副本或图像的介质。从媒体收集数据的顺序应遵循称为“波动顺序”的概念。
波动性顺序是指收集数据时应按照从最不稳定到不稳定的顺序进行的原则。IETF RFC 3277 规范以统一的方式定义了挥发性顺序,数字取证调查人员通常遵循这一顺序,其中包括以下内容:
- 寄存器、缓存
- 路由表、ARP 缓存、进程表、内核统计信息、内存
- 临时文件系统
- 磁盘
- 与相关系统相关的远程日志记录和监控
- 物理配置
- 档案媒体
2. 波动顺序——非易失性数据
非易失性数据也被称为持久性数据,但如果认为波动率顺序不适用于非易失性数据,那将是一个 错误的假设。波动性顺序并不完全基于数据的实际波动性,还取决于数据类型或调查的可能值。
3、数据采集方法
1)内存采集
内存采集是从目标系统中收集易失性数据,也称为 "实时 "采集。内存采集和分析主要侧重于计算机 RAM 模块中保存的数据,但也有一些注意事项和调查人员可能会发现有用的附加数据,尤其是在要采集数据的系统电源已关闭的情况下。
内存转储(Memory Dump):计算机的内存就是 RAM。各种工具为调查人员提供了捕获和收集原始内存并将内存数据保存到文件(通常使用文件扩展名 .mem,但也使用 .raw 和 .img 以及一些专有格式)的方法。调查人员可将一个卫生(即除采集工具外为空)的 USB 优盘插入目标系统,或使用 CD 或 DVD 上的工具写入内存映像文件。将数据写入网络共享,或使用前面提到的工具 Netcat 通过网络将数据发送到运行 Netcat 并准备将数据写入文件的服务器上,这些方法都比将 U 盘插入系统要好,但最终必须以某种方式收集数据。
页面文件(Page File):计算机通常会分配一部分硬盘空间来扩展 RAM。在收集易失性数据时,不应忽略页面文件和交换空间,因为它们可能包含相关数据,否则仅从 RAM 获取数据可能会遗漏这些数据。
故障转储文件(Crash Dump File):当系统崩溃时,操作系统会创建崩溃转储文件,以便使用内存中的信息来帮助识别和解决导致崩溃的问题。崩溃文件数据可能包括登录计算机的用户、时间戳数据和其他详细信息。
休眠文件(Hibernation File):当系统进入休眠状态时,设置为休眠状态的计算机似乎会关闭电源,但当计算机重新启动后,又会从用户离开时的位置继续运行。这似乎与前面所说的内存和数据不稳定性背道而驰,但它之所以能够发生,是因为使用了一种名为 "hiberfil.sys "的技巧。具有休眠模式的计算机会将内存中的数据拷贝写入磁盘上的一个特殊文件,一旦计算机再次接通电源,就会将该文件读回内存。休眠文件使调查人员有机会查看系统在内存提供的即时 "机会窗口 "之外执行了哪些操作。
虚拟机快照(Virtual Machine Snapshot):虚拟机快照提供磁盘保存状态,使管理员能够恢复到以前的状态。快照可在更改配置前、安装更新前或仅仅作为备份措施使用。虚拟机快照可能包含已修改或删除的文件以及页面文件和其他数据。
2)磁盘采集
磁盘成像和磁盘克隆是两种具有相同目的的方法。它们可以创建硬盘内容的精确记录。首先,我们应该区分数据镜像和数据克隆。
磁盘镜像(Disk Imaging)
磁盘镜像用于创建驱动器的数字副本文件。法证磁盘镜像文件将是真实的,在法证上是可靠的,是磁盘上比特的可验证的相同副本。法证磁盘镜像文件需要特殊软件才能读取镜像。 图像文件格式有很多,但主要分为两类:原始图像和证据文件格式。
原始图像是磁盘的逐位拷贝,但数据被写入原始图像文件。原始图像文件(如 .raw、.img、.dd)不包含文件头、文件脚或元数据。记录图像元数据的采集工具会将元数据存储到另一个文件中。
证据文件格式是为法证成像开发的专有图像格式,通常在各自的图像文件中包含文件头、文件脚和元数据。较常用的专有图像格式包括 .e01、.aff 和 .ex01。
磁盘克隆(Disk Cloning)
磁盘克隆用于以另一个物理驱动器的形式对位复制一个物理驱动器。克隆磁盘不需要特殊软件来读取数据,也不包含任何额外的页眉、页脚或元数据。
4、结论
1)证据处理和监管链
证据保存是指保护和保证数字证据不被篡改。监管链应包括记录与每种形式证据的所有接触(如收集期间的介质、检查期间的数据、分析期间的信息和可报告的证据工件)。破坏监管链很可能会降低任何证据在法庭上的可采性。证据处理不当、证据贴错标签或文件中的任何其他不一致或漏洞都无法支持保存证据的一贯要求。
2)证据真实性
确保证据的真实性应该是证据获取之前、期间和之后的持续考虑因素。采集过程不应更改任何数据,包括已分配空间中的数据、未分配空间中的数据和元数据。应努力尽可能少地与目标系统进行交互,并应勤奋保存文档,数字调查人员记录他们采取的每一个行动,并记录每个行动的时间。调查人员采取的任何行动(例如,捕获内存进行分析并将内存图像写入USB拇指驱动器)必须根据监管链进行考虑。监管链支持证据的物理保存,记录证据交互的人员、内容、时间、地点、原因和方式。证据真实性的尽职调查需要一种机制来证明原始媒体与分析的证据一致、完整且未被篡改。
5、审查
数字调查中可能存在许多可能导致调查工作失败的问题。刑事调查中,检方和辩方经常会试图从对方的工具或技术中找出漏洞,以排除证词或导致证据不可采纳。调查人员还可能会遇到无法完全或完全获取数据,或调查没有结果的情况。认识到数字调查员可能面临的挑战类型,并了解一些有助于避免或准备应对某些挑战的注意事项,将有助于规划和准备工作。规划、准备和实践将有助于支持及时、成功的调查。
