电话:130-9737-8133
地址:东莞市南城区胜和路联通新时空大厦
计算机调查和证据收集的证据分析
网络与安全中国计算机教育新闻/ 2005年计算机调查与证据证据分析文章Ion Wing在上一期计算机调查与证据收集(《中国计算机教育新闻》于10月10日)中,我们谈到了证据收集方面的内容,计算机调查和证据收集的另一个重要任务是分析收集到的“电子证据”。仅原始证据不能满足诉讼要求。我们必须执行正确的处理以恢复恶意行为;因为即使是专业人士,电子证据也难以理解且难以理解。现在,我们将专注于计算机调查和证据收集中的分析工作。我们要分析什么?通常,完成证据收集工作后,我们将获得被调查机器的媒体图像。在许多情况下,我们将获得一些记忆内容的集合,以及在调查环境中提取的口头信息和情况记录。像传统证据一样,电子证据也应该是准确和完整的东莞婚外情取证,只有具有足够信誉的证据才能被认可。如果我们将现场取证磁盘映像连接到便携式计算机,则可以直接浏览攻击记录,但是在大多数情况下,我们运气不佳。被调查者的技术水平越高,经验越丰富,获得有用证据的难度就越大。它们可能被删除或隐藏在不易找到的角落,或者可能已被加密。我们需要克服许多障碍才能挖掘证据。下面我们以最常见的情况为例,介绍被调查计算机的硬盘映像,以介绍分析证据的基本方法。对于某些特殊情况,我们会在描述过程中为您提供特别说明。
在开始之前,我们必须首先确认我们正在分析的内容确实是镜像的副本,并且绝对不能对原始镜像执行分析。我们可以更轻松地分析副本,而不必担心会损害原始证据。如果镜像副本已损坏,我们可以轻松创建另一个副本。在这里,我们建议在分析工作开始之前创建两个副本,一个用于立即开始的分析工作,一个用于在发生事故时重建副本的“来源”。创建第二个副本的原因是因为我们必须尽一切可能减少对原始图像的访问,这是原则。在开始正式分析工作之前,我们需要为磁盘映像生成MDS记录。必须在对图像进行任何操作之前执行此工作。如果我们对图像中的文件执行list命令,甚至打开其中的文件,那么该列表将失去其值。基本分析让我们看看我们带回来的东西。将磁盘映像连接到我们的分析工作站。首先让我们检查图像的分区格式,以粗略了解所需的分析工具。很多时候,我们使用Linux之类的操作系统来挂载需要以只读格式分析的映像,这可以防止意外操作损坏映像。然后,我们可以遍历整个文件系统,以大致了解正在调查的系统。如果我们正在研究攻击者的计算机,则可以通过部署应用程序来了解其技术能力,甚至可以分析其破解系统的习惯;如果我们正在调查遭受Internet攻击的主机,即使我们找不到隐藏的攻击工具,至少您也可以了解哪些内容可能对攻击者有吸引力。
一个好习惯是在分析的每个步骤将结果输出为文件。例如,使用以下命令在镜像中导出文件列表:ls / mnt / 20050102 home / forensic / list,这样我们不仅拥有易于检查的记录,还可以搜索文件名和此列表中的时间。这对于后续的分析工作非常有帮助。在分析之前,我们假设我们已经调查了1995-2005年清华同方光盘有限公司发生的事情。保留所有权利。和相关人员。当我们分析证据时,我们将更具目标性。缩小搜索范围将比漫无目的地遍历节省大量时间。例如,可能有一些值得搜索的关键字。这些关键字可以是名称,数字或二进制程序的唯一指纹。关键字的选择需要特别注意。太常见的关键字将导致返回太多搜索结果,并且无法进行进一步的工作。如果关键字不太常见,则可能无法获得有用的结果或省略了一些有用的内容。除了搜索数据内容之外,这些数据的时间属性还可以提供非常重要的信息。操作系统中的大多数文件都具有诸如创建时间证据调查取证的,修改时间和上次访问时间之类的属性,这些属性对于还原系统中发生的事件非常有帮助。