2021-03-30

读书笔记打卡
Guide to Computer Forensics and Investigation 5th Edition
电子邮件调查程序：
1.对于基于计算机的电子邮件数据文件，如Outlook.pst或.ost文件，请使用本书中描述的标准取证分析技术和过程进行驱动器检查。2.对于基于服务器的电子邮件数据文件，请与电子邮件服务器管理员联系，并获取嫌疑人和受害人的电子邮件文件夹或数据的电子副本。3.对于基于Web的电子邮件（例如Gmail）调查，可以使用诸如Forensic Toolkit的Internet关键字搜索选项之类的工具提取所有相关的电子邮件地址信息。4.检查与调查有关的所有消息的头数据。以下列表显示了执行ACP案例的基本步骤：1.要求律师给你一份备忘录，指示你开始调查。备忘录必须说明调查是特权通信，并列出你的名字和任何其他同伙的名字分配给案件。2.请求一份与调查相关的关键字列表。3.收到备忘录后，开始调查和分析。你在收到备忘录之前所做的任何调查结果都会被对方律师发现。4对于驱动器检查，请为每个图像使用不同的工具制作驱动器的两个位流图像（本章稍后讨论），例如第一个图像使用EnCase，第二个图像使用ProDiscover或FTK Imager。这种方法是可取的，因为每种工具都有其优缺点。如果有足够大的存储驱动器，请对每个位流图像进行解压缩，以便在其损坏时，仍可以使用首选的取证分析工具检查未损坏的区域。5.验证原始磁盘和重新创建的磁盘上所有文件的哈希值。6.系统地检查驱动器的每个部分（包括已分配和未分配的数据区域）并提取所有数据。7.在已分配和未分配的磁盘空间上运行关键字搜索。跟踪搜索结果以确定搜索结果是否包含支持该案例的信息。8.对于Windows操作系统，使用专用工具来分析和提取注册表中的数据，如AccessData Registry Viewer或Registry Viewer程序（在第5章中详细讨论）。例如，使用注册表编辑器中的“编辑，查找”菜单选项来搜索与调查相关的关键字。对于驱动器检查，可为每个图像使用不同的工具制作驱动器的两个位流图像，例如第一个图像使用EnCase，第二个图像使用ProDiscover或FTK Imager。这种方法是可取的，因为每种工具都有其优缺点。如果有足够大的存储驱动器，可以对每个位流图像进行解压缩，以便在其损坏时，仍可以使用首选的取证分析工具检查未损坏的区域。注意系统地检查驱动器的每个部分（包括已分配和未分配的数据区域）并提取所有数据。在已分配和未分配的磁盘空间上运行关键字搜索。跟踪搜索结果以确定搜索结果是否包含支持该案例的信息。对于Windows操作系统，使用专用工具来分析和提取注册表中的数据，如AccessData Registry Viewer或Registry Viewer程序（在第5章中详细讨论）。例如，使用注册表编辑器中的“编辑，查找”菜单选项来搜索与调查相关的关键字。
对于二进制文件（如CAD图纸），找到正确的程序。如果可能，打印二进制文件内容。如果文件太大，可以将恢复的二进制文件加载到单独的工作站上，以便查看它们。对于未分配的数据恢复 ，可以使用删除或替换不可打印数据的工具，如X-Ways Forensics Specialist Gather Text函数，将从证据位流图像恢复的所有数据合并到组织良好的文件夹和子文件夹中。存储恢复的数据输出，使用逻辑和易于遵循的存储方法。
记住数据恢复和数字取证之间的区别。在数据恢复中，通常情况下，客户或您的公司只是想要回数据。另一个关键区别是，在数据恢复中，您通常知道要检索什么。在数字取证中，你可能知道你在搜索什么，但不一定。如果在检查硬盘时启动任何操作系统，操作系统会通过将数据写入回收站来更改证据盘，并破坏试图保存的证据的质量和完整性。第5章介绍了Windows在启动时自动更新的文件。WindowsXP和更新的WindowsOSS还将硬盘和CPU的序列号记录在一个文件中，这可能很难恢复。在所有的微软操作系统中，对磁盘的干扰最小（就更改数据而言）的是MS-DOS6.22。然而，随着微软OSs的不断发展，使用较旧的MS-DOS平台并不总是切实可行的。许多旧的数字取证采集工具在MS-DOS环境下工作。这些工具可以在Windows 98的MS-DOS窗口中操作，也可以在Windows 2000及更高版本的命令提示符中操作。但是，当在这些操作系统中运行时，它们的一些功能被禁用或生成错误消息。较新的文件系统格式，例如NTFS，可以访问，也就是说，只能从Win-DOWSNT和更高版本或任何Linux操作系统中读取。我们可以使用几种写入阻止程序中的一种，这些程序使我们能够引导到Windows，而无需将数据写入驱动器。