读书笔记打卡
Guide to Computer Forensics and Investiagtions
一、采取系统的方法:
准备案例时,可以应用标准系统分析步骤,如下所述列表,解决问题。
•对正在调查的案件类型进行初步评估,以评估处理的案件类型,与其他涉案人员交谈并提出关于这件事的问题。执法人员或公司安全人员是否已经被扣押计算机、磁盘、外围设备和其他组件?需要去办公室或者别的地方?这台电脑是用来犯罪的,还是含有另一起犯罪的证据?
•确定案例的初步设计或方法,概述一般步骤需要跟踪调查这个案子。如果嫌犯是雇员若要获取他或她的系统,请确定是否可以在执行过程中占用计算机工作时间或必须等到晚上或周末。如果你在准备刑事案件,确定执法人员已经掌握了哪些信息聚集。
•创建详细的检查表通过创建详细的检查表来完善总体轮廓步骤数和每个步骤的估计时间量。这个提纲有助于坚持下去在调查过程中跟踪。
•根据正在调查的计算机的操作系统确定所需的资源,列出计划用于调查的软件,注意任何其他软件,可能需要的工具或专家帮助。
•获取并复制证据驱动器在某些情况下,可能会占用多台计算机以及CD、DVD、USB驱动器、移动设备和其他可移动媒体。(对于在本章的示例中,您仅使用USB驱动器。)制作磁盘的法医副本。
•识别风险,列出您通常预期的问题处理。此列表称为标准风险评估。例如,如果嫌疑犯似乎对计算机很了解,他或她可能设置了登录方案当有人试图关闭计算机或覆盖硬盘上的数据时更改登录密码。
•降低或最小化风险确定如何将风险最小化。例如,如果你使用的电脑上嫌疑人可能有密码保护在硬盘上,可以在开始之前复制多个原始媒体的副本。如果在从磁盘检索信息的过程中销毁了一个副本,你还有其他副本。
•测试设计审查所做的决定和完成的步骤。如果已经复制了原始媒体,这是测试设计的标准部分包括比较散列值(在第3章和第4章中讨论),以确保正确复制了原始媒体。
•使用软件工具和其他资源分析和恢复数字证据你已经聚集起来,并确保已经解决了任何风险和障碍,检查找到数字证据的磁盘。
•调查恢复的数据查看从磁盘恢复的信息,包括现有文件、已删除文件、电子邮件和Web历史记录,并将文件组织为帮助查找与案件相关的信息。
•完成报告。写一份完整的报告,详细说明你做了什么,做了什么,你找到了什么。
•对案例进行评论自我评估和同行评审是专业评估的重要组成部分增长。完成一个案例后,回顾它以确定成功的决策和行动并确定如何提高。
二、
1.了解需取证的对象:
On the USB drive retrieved from George’s computer, you’re looking for any information related to Web sites, ISPs, or domain names. You know that the USB drive uses the NTFS file system.To duplicate the USB drive and find deleted and hidden files, you need a reliable digital forensics tool. Because the USB drive has already been retrieved, you don’t need to seize the drive yourself.
在从乔治电脑(案例所述需取证的对象)检索到的USB驱动器上,查找与网站、ISP或域名相关的任何信息。***知道USB驱动器所使用的文件系统该案例使用的是NTFS文件系统。
要复制USB驱动器并查找已删除和隐藏的文件,需要一个可靠的数字取证工具。因为USB驱动器已经被检索,所以您不需要自己占用驱动器。
2.取证步骤:
1)从IT部门获取U盘,IT部门将证据打包并贴上标签。
2)填写一份证据表并建立一个监管链。
3)把证据送到你的数字鉴证实验室。
4)将证据放在经批准的安全容器中。
5)准备好你的法医工作站。
6)从安全的容器里取回证据。
7)制作证据驱动器的法医副本(在本例中为USB驱动器)。
8)将证据驱动器放回安全容器。
9)使用数字取证工具处理复制的证据驱动器。
在第4步中,您需要的安全容器应该是一个上锁的防火储物柜或柜子,其访问权限有限。受限访问意味着只有您和其他授权人员才能打开安全容器。
**所有调查的第一条规则是保存证据,这意味着证据不应该被篡改或污染。**为了记录证据,你需要记录有关媒体的细节,包括谁找到了证据,什么时候,谁拥有了证据,什么时候。使用证据保管表,也称为证据链表,它可以帮助您记录对原始证据和证据的法医副本所做的和未做的事情。
•注意案件性质——对案件的简短描述。例如,在私营部门环境中,可能是“公司诉讼数据恢复”或“员工违反政策案例”
•获取位置证据收集证据的确切位置。如果您使用的是多证据表单,则应为每个位置创建一个新表单。
•证据描述-证据项目列表,如“硬盘驱动器,250 GB”或“一个USB驱动器,8 GB”。在多证据表上,为您获得的每项证据写下描述,可能包括照片。
•供应商名称计算机组件制造商的名称。例如,将250 GB硬盘驱动器列为“Maxtor 250 GB硬盘驱动器”,或将USB驱动器描述为“SanDisk 8 GB USB驱动器”。在后面的章节中,您将了解制造商之间的差异如何影响数据恢复。
•型号或序列号列出计算机组件的型号或序列号(如果可用)。许多计算机部件,包括硬盘驱动器、内存芯片和扩展槽卡,都有型号,但没有序列号。
•以恢复证据的调查员的名字恢复的证据。证据的保管链从这些信息开始。例如,如果你插入你的名字,你就是在宣布你已经控制了证据。现在你有责任确保没有任何东西损坏证据,也没有人篡改证据。将其姓名写在这条线上的人负责保存、运输和保护证据。
•日期和时间证据被拘留的日期和时间。这些信息准确地确定了监管链何时开始。
•存放在储物柜中的证据指定使用哪一个经批准的安全容器存放证据,以及何时将证据存放在容器中。
•项目#/证据处理人/证据处置/日期/时间当您或其他授权调查员从证据柜中检索证据进行处理和分析时,请列出项目编号和您的姓名,然后描述对证据所做的处理。
•页码用于对每个位置的所有证据进行分类的表格应具有页码。列出页码,并指出这组证据的总页数。
你可以在调查中使用多证据和单一证据两种形式。通过使用两种形式,您可以将单一证据形式与证据一起保存,并将多证据形式保存在报告文件中。两种形式也提供了冗余,可以作为证据的质量控制。确保你的证据计算调查需要你调整你的程序,以适应案件。例如,如果一个案件的证据包括整个计算机系统和相关的存储介质,如闪存驱动器和大型外部硬盘驱动器,你必须灵活考虑所有这些项目。有些证据很小,足够装进证据袋。其他项目,如CPU柜,显示器,键盘和打印机等太大。
为了保护大型计算机组件中包含的证据并对其进行分类,可以使用大型证据袋、磁带、标签、标签和其他产品。收集产品以保护计算机证据时,确保它们安全有效地用于计算机组件。处理任何计算机组件时要小心,以免损坏组件或接触静电,因为静电会破坏数字数据。因此,在收集电脑证据时,一定要使用防静电袋。也可以考虑使用带有腕带的防静电垫。两者都有助于防止计算机证据受损。
本文详述了计算机取证和调查的过程,包括初步评估案件、制定调查策略、创建检查表、确定所需资源、复制证据、风险评估与管理、使用软件分析证据、撰写报告以及后期的自我评估。在实际案例中,涉及对乔治电脑USB驱动器的取证,寻找与网站、ISP和域名相关的信息。整个过程强调了证据保全的重要性,以及如何通过证据链表来跟踪证据的处理和流转。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
