取证科学
- Forensic
- 法医的、用于法庭的、辩论学、法医学
- 为了侦破案件还原事实真相,收集法庭证据的一系列科学方法
- CSI:物理取证
- 指纹、DNA、弹道、血迹
- 物理取证的理论基础是物质交换原则
- 关注:数字取证/计算机取证/电子取证
- 智能设备、计算机、手机平板、IoT、有线及无线通信、数据存数
通用原则
- 维护证据完整性
- 数字取证相比物理取证,可以有无限数量的拷贝进行分析。
- 数字hash值验证数据完整性
- 维护监管链
- 物理证物保存在证物袋中,每次取出使用严格记录,避免污染破坏
- 数字证物原始版写保护,使用拷贝进行分析
- 标准的操作步骤
- 证物使用严格按照规范流程,即使事后证明流程有误(免责)
- 取证分析全部过程记录文档
数字取证者的座右铭
- 不要破坏数据现场(看似简单、几乎无法实现)
- 寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取
- 系统内存是主要的非易失性存储介质取证对象,不修改无法获取其中数据
- 非易失性存储介质通常使用完整镜像拷贝保存
证据搜索
作为安全从业者
- 通过取证还原黑客入侵轨迹
- 作为渗透测试和黑客攻击区分标准
活取证
- 抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息
- 使用未受感染的干净程序执行取证
- U盘、网络 存储手机到的数据
死取证
- 关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)
实操
