数字取证调查正变得越来越普遍。这是因为当今的数字社会到处都是怀有恶意的不良行为者——因此,通过利用数字取证,网络调查人员可以深入挖掘这个欺骗和诈骗的网络。
本指南旨在向您介绍您需要了解的有关数字取证的所有信息:从它是什么、如何执行,到使之成为可能的工具。
什么是数字取证?
数字取证涉及保存、识别、提取和记录来自电子设备的证据。从事数字取证的分析师试图从网络犯罪或信息技术立法所涵盖的其他犯罪活动中识别和收集证据,例如盗窃、欺诈、间谍活动和儿童保护犯罪。
数字取证的过程包括访问查获的硬件和使用专门的软件工具在调查期间搜索相关证据。取证团队分析和识别在各种类型的电子设备(如计算机和智能设备)上发现的数据。
数字取证的历史
植根于个人计算革命,数字取证的历史可以追溯到 70 年代末 IBM 发布其第一台个人计算机时。在 20 世纪 90 年代,世界各国将数字取证立法作为执法机构的重要工具。
今天,数字取证调查中有五个技术分支:
缉获、法医成像和媒体分析。
检查相关文物。
保存。
通过密码或令牌等身份验证机制进行访问控制。
法律咨询,例如文件审查或诉讼管理,用于事件响应或事件后工作流程的软件工具。
尽管数字取证与计算革命有关,但取证有着悠久而丰富的历史,可以追溯到 1800 年代后期。 1879 年,汉斯·格罗斯 (Hans Gross) 率先将科学研究用于刑事侦查。他是帮助建立法医学领域的德国法学家。
法医学史上的其他重要年份包括:
1932. FBI 建立了一个实验室,允许美国各地的执法人员访问他们的服务。正如我们今天所知,该实验室在开发数字取证方面发挥了重要作用。
1992 年,“计算机取证”一词首次出现在学术文献中。它出现在 Peter Sommer 和 Michael Goodman 撰写的一篇名为“计算机与法律:计算机在英国刑事调查中的使用”的文章中。
2000 年,第一个 FBI 区域计算机取证实验室 (RCFL) 成立。该实验室对执法人员进行数字取证技术和方法方面的培训。
2002 年,数字证据科学工作组 (SWGDE) 出版了第一本关于数字取证的书籍,名为“计算机取证最佳实践”。这本书概述了计算机取证调查员和审查员的最佳实践。
2010. Simson Garfinkel 确定了数字调查面临的问题。他的论文“Digital Evidence: A Forensic Science Perspective”强调了调查人员在处理数字证据时面临的许多挑战。
数字取证的类型
数字取证有多种类型,但最常见的是:
磁盘(文件雕刻)取证。
网络取证。
无线取证。
数据取证。
恶意软件取证,包括检查病毒和 Rootkit 等恶意软件感染,以查明它们是如何进入的以及它们是否已被根除。 (另请阅读:如何查找和删除相机恶意软件。)
电子邮件取证。
内存取证,用于检查随机存取存储器 (RAM)(主要易失性存储器)和只读存储器 (ROM)(主要非易失性存储器)的内容。内存取证可能非常棘手,需要专业知识和特殊设备。
移动取证。
在所有类型的数字取证中,调查人员都在寻找证据——无论多小——以构建事实图或寻找可能在更广泛的案件中连接点的线索。或者,调查人员可能会使用这些数据来寻找他们怀疑是恶意的某些类型的流量——例如一个封装的数据包,但实际上并不像它看起来的那样。
数字取证分析主要分为三种类型。他们是:
1.现场分析
实时分析是指使用取证工具实时处理数据。我们通常在端点安全产品或安全信息和事件管理 (SIEM) 系统中找到这些工具。他们在威胁发生时识别威胁并实时提醒管理员。
2. 取证分析
取证分析涉及使用取证工具在收集数据后对其进行处理。这些工具可在电子数据展示或数字取证平台中找到。他们分析从端点、磁盘或网络设备收集的数据。
3.混合分析
混合分析是指使用取证工具来处理实时数据和取证数据。
数字取证调查员做什么?
数字取证调查员可以研究范围广泛的事物,包括网络犯罪和消费者保护服务。数字取证的过程还可能包括扣押设备或保存设备,以保存有人篡改后留下的证据,同时由现已离开现场的罪犯使用。
收集数字取证所需的证据需要付出很多努力。这包括查明诸如存在什么证据、存储在哪里以及如何存储之类的事情。
鉴别
当事件发生时,首要任务是查找和识别证据,并确定攻击者用来渗透组织的访问路径。 (另请阅读:揭露安全漏洞。)
保存
下一步涉及将证据数字化并防止人们篡改犯罪现场或事件。
这意味着拍摄所有东西——包括硬件、软件和文档——并对任何看似相关的东西做笔记。记录每张图片的拍摄时间和日期以及拍摄者的身份信息也很重要。
分析
数字取证调查人员使用软件创建数字媒体的精确副本,然后在不更改原件的情况下检查副本。
文档
记录数字取证调查结果是描述调查中发现的数字证据的重要步骤。一个完整的文档过程应该包括:
对收集到的所有证据的分析。
事件的时间表。
对如何收集证据的描述。
对所执行分析的描述。
一旦提取了证据,取证团队就可以开始嗅出不良行为者。这可能涉及恢复已删除的文件或远程检查机器的内容。
通过制定详细的文档计划,调查人员可以确保他们收集到足够的证据并维护监管链。
介绍
信息应该清晰易懂,并以参与者易于理解的方式书写。在任何摘要或解释中都没有任何歧义的余地。
取证团队需要使用最好的技术和工具来解决复杂的案件。为了有效地完成工作,取证分析师需要熟悉各种软件和硬件工具。他们还需要深入了解计算机的工作原理以及数据的存储方式。
数字取证的挑战
虽然今天的数字取证团队面临着许多挑战,但定义其中许多挑战的一个基本主题是高级威胁的复杂性和入侵速度的增加。还有令人难以置信的数据量以及识别和分析证据的需要。 (另请阅读:商业电子邮件妥协 (BEC) 攻击说明:您面临风险吗?)
最重要的是,多个网络安全事件可能同时发生——而且必须迅速管理这些事件以取得成功的结果,尤其是在执法机构中。组织的事件响应 (IR) 团队需要了解发生了什么、为什么会发生以及如何解决。
数字取证工具
数字取证工具的类型
数字取证工具分为七大类:
磁盘和数据捕获工具。
文件查看器。
互联网分析工具。
电子邮件分析工具。
移动设备分析工具。
网络取证工具。
数据库取证工具。
数字取证工具的历史
在当今的数字取证时代,数据量和分析需求比几年前翻了一番——如果不是三倍的话。因此,数字取证可以为任何组织迅速滚雪球,尤其是执法机构。
这意味着数字取证工具需要解决两个问题:
今天,绝大多数数据组织都在创建和存储。
数字取证过程的每一步都伴随着重大的法律影响,尤其是维护监管链。
联邦执法培训中心 (FLETC) 于 1989 年首次认识到对此类软件的需求。其名为 DIBS 的解决方案于 1991 年投入商业使用。
1990 年代之后,对数字证据的需求导致了 EnCase 和 FTK 等工具的开发,这些工具允许分析师在没有现场取证的情况下检查媒体副本。现在有一种趋势是在 WindowsSCOPE 等工具中进行实时内存取证。可以使用 Wireshark 和 Hashkeeper 等工具在移动设备上执行实时内存取证。
数字取证工具的未来
在过去几年中,数字取证工具取得了显着进步。已经开发出可以分析实时数据和取证数据的新工具,同时增强了遗留工具以允许进行新类型的分析。
一些最新的数字取证工具包括先进的机器人技术。这种集成允许执法部门通过不知疲倦地输入数千个 PIN 码组合来破解在调查期间捕获的智能设备。
许多组织,包括执法机构和企业,也在转向人工智能和机器学习来自动化分析过程并减少手动数据检查过程。 (另请阅读:机器人过程自动化:您需要了解的内容。)
自动化数字取证的好处
自动收集从证人到调查人员和检察官的法医证据展示,可以大大减少数字法医调查的时间和费用。
此外,收集证据后,自动化取证软件可以显着减少创建可辩护的证据演示(如报告和证物)所需的时间和人力资源。 (另请阅读:AI 提高企业生产力的 6 大方式。)
概括
随着机器人技术和自动化软件开发的进步,数字取证已经从一个艰苦的过程演变为一个更加自动化和更具成本效益的过程。
过去,取证专家必须手动从系统和设备中提取数据以进行数字取证调查。然而,现在,自动化软件工具使这个过程变得更容易、更快捷,可以在几秒钟内快速准确地对证据进行分类、评分和优先排序。
Cellebrite、Grayshift 和 Magnet Forensics 等专业取证公司在数字取证方面取得了新进展。 Basis Technology 已将最新的工具包从公文包大小缩小为简单的 USB 驱动器,从而为执法机构和企业组织腾出宝贵的时间。
