《Guide to Computer Forensics and Investigation 5th Edition》读书打卡总结
一、了解电子数据取证专业和调查
- 2012年10月,国际标准化组织(ISO)批准了数字取证标准,ISO27037信息技术-安全技术-识别、收集、获取和保存数字证据指南,定义了获取和保存数字证据的人员和方法。为解决出现的跨国案件,每个国家的机构都应制定符合这一标准的政策和程序。
- 数字取证也不同于数据恢复,后者涉及检索因错误删除或在电脑或服务器崩溃期间丢失的信息。在数据恢复中,通常知道要查找什么。数字取证是一项恢复用户隐藏或删除的数据的任务,其目标是确保恢复的数据是有效的,从而可以作为证据使用。
- 20世纪80年代中期,出现了一种新的工具——Xtree Gold。它识别文件类型并检索丢失或删除的文件。很快成为查找和恢复被删除文件的首选工具。 ASR 创建了Expert Witness,才有了用于数字取证的商业GUI软件。该软件可以恢复已删除的文件和已删除文件的碎片。ASR数据合作伙伴之一后来离开并开发了EnCase,这成为了一个流行的数字取证工具。
- 不同操作系统所使用的取证工具不同,我们要多多练习使用不同的取证工具。不光能够学会使用工具,而且要了解取证工具的原理。