【取证技术】数据获取的方法

优秀的电子数据取证人员
不但要能够了解操作系统和应用软件
熟知数字设备的硬件
更要懂得二者是如何协同工作的
这样才能操作取证工具
清晰明确地获取和分析电子数据
数据获取与复制
相比普通的复制,数据获取有更为严格的要求
> 镜像不是普通意义上的复制,镜像和复制之间的主要区别在于
对于存储介质进行数据获取,形成镜像是最佳方案
> 例如:如果使用了60%的硬盘容量,而其余40%是垃圾(删除的文件和随机字节),则对该磁盘进行镜像将在已使用和未使用的部分上都镜像字节
> 另一方面,复制将仅镜像使用的60%部分
注:请稍微注意区分一下镜像在这里分别作为名词和动词的区别,名词表示结果,动词表示方法
数据获取需注意的问题
调查人员不应处理所获取的原始镜像/数据集
> 相反,应保留并镜像(复制)它
> 这应有助于建立监管链,并允许调查人员制作所需数量的镜像
调查人员在制作镜像时需要考虑一些问题
> 在制作时,确保副本与原始镜像完全相同
> 确保原始来源不受篡改
> 拒绝所有在镜像上完成的工作,因为将无法证明所提供的证据是真实的
> 确保镜像(复制)过程不会更改或破坏原始镜像
获取方法  Acquisition Methods
可以执行数据获取的两种主要方法
> 从磁盘驱动器到镜像文件(镜像,imaging)
> 从磁盘驱动器到磁盘驱动器(克隆,cloning)
镜像,imaging
> 创建数据镜像文件,优点是可伸缩性和效率
> 可只对感兴趣的特定分区制作,数据镜像可以存储在任何地方
克隆,cloning
> 逐比特位进行复制,与源磁盘完全一致(相似)
> 也可进行逻辑磁盘驱动器到磁盘驱动器的采集
稀疏获取 Sparse Acquisition
稀疏获取(采集)是指调查人员未镜像所有磁盘内容
> 调查人员有选择性地复制指定的文件夹及文件列表
> 也可复制HDD中未使用(未分配)部分的字节
应用场景
> 对于无法将可疑程序的系统脱机
> 或源硬盘驱动器的卷容量非常大,可能需要花费数小时来镜像或克隆
缺点及可能存在的问题
> 调查人员必须知道要选择什么来进行采集并有列表清单
> 否则,将留下一些可能的证据
选择获取方式
磁盘与镜像
> 镜像更为有效,但有时会由于缺陷或错误而无法生成硬盘的镜像
> 使用“磁盘到磁盘”方法更安全,每个数据采集都需要一个新的物理硬盘
稀疏与逻辑磁盘(通常前者更快)
> 时间有限时,稀疏获取和逻辑磁盘到磁盘镜像都是不错的选择
> 但是,如果证据存在于未预先配置好的列表文件中,除非手动指定,否则不会收集到该证据
> 虽然逻辑磁盘到磁盘将花费更多时间(取决于卷的大小),但它将镜像该分区内的所有内容
我应该使用哪种获取方法?
> 没有一种正确的方法保证每次都有效,不同的取证场景需要采用不同的方法
> 一台具有足够存储空间的存储设备可以容纳多个镜像
> 对于存储介质进行数据获取,形成磁盘克隆是最佳方案
动态获取 Live Acquisition
动态获取(采集),也称实时获取(采集)
> 实时数据采集用于在机器运行时收集数据
> 调查人员会在实时采集过程中查找易失数据
> 易失数据通常位于RAM和缓存中,系统重启后丢失
易失数据与脆弱数据
> 进程会连续使用RAM和缓存,会对RAM产生影响,更容易被修改和变更
> 可能会找到属于特定进程的已存储密码、消息、域名和IP地址等
> 在恶意软件分析和追踪等情况下非常重要
如:使用从内存中提取的加密密钥,调查人员可以提取和解密恶意软件与其操作人员之间的数据流
非易失性介质上可能存储着易失性数据
> 如:临时文件和日志文件
> 临时文件经常被自动删除(Temporary files)
> 日志文件经常被裁剪或覆盖(Log files)
(0)

相关推荐