超级会员免费看
数字取证概述:技术、挑战与应用
1. 数字取证流程
数字取证是一个系统的过程,主要包括识别、收集与保存、检查与分析以及呈现四个关键阶段,各阶段的具体内容如下表所示:
| 阶段 | 描述 |
| — | — |
| 识别 | 定义证据管理的要求,明确证据是否存在、其位置、类型和格式 |
| 保存 | 确保证据数据保持不变或尽可能少地改变 |
| 分析 | 将收集到的数据解释并转化为证据 |
| 呈现 | 向法庭提供证据分析的专家证词,展示调查结果 |
下面对各阶段进行详细介绍:
- 识别阶段 :在调查的初始阶段,法医专家需要识别安全事件,判断是否发生了犯罪行为。调查人员要确定网络犯罪的类型、受影响的设备,并明确哪些设备需要进行数据收集。在云环境中,识别工作主要侧重于以符合取证要求的方式确定数据收集的条件。例如,可以从Dropbox、iCloud和Google Drive等云存储中识别证据。不过,美国国家标准与技术研究院(NIST)指出,在云实例中识别数据存在一些挑战,同时还需要在动态分布式环境中检测易失性的取证痕迹。
- 收集与保存阶段 :保存阶段的重点是使用合适的方法和工具,防止提取的痕迹被意外更改、修改或覆盖,以确保其原始形式。这一阶段的挑战包括选择确保数据完整性的方法,以及证明所使用技术(如加密哈希摘要)的有效性。需要对虚拟机(VM)和敏感数据在硬盘、随机存取存储器(RAM)、日志等中进行隔离,并建立跨多个地理位置的证据保管链。在检测到安全事件、确定感兴趣的数据源并采取措施确保收集数据的完整性后,即可进行数据收集。调查人员会关注提供用户访问服
订阅专栏 解锁全文
扫一扫
47
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
