电子取证(像黑科技一样的电子取证技巧)
本文来自作者 肖志华 在GitChat上出色分享。
前言
取证,司法说明是具有调查取证权的国度机关对于立案处置的案件,为查明案情,收集证据。电子取证,顾名思义可懂得为基于盘算机的证据收集。
1. 取证相干介绍
对于电子取证的介绍,百度是这样答复的:电子取证是指应用盘算机软硬件技巧,以符合法律规范的方法对盘算机入侵、损坏、讹诈、攻击等犯法行动进行证据获取、保留、剖析和出示的进程。
从技巧方面看,盘算机犯法取证是一个对受侵盘算机体系进行扫描和破解,对入侵事件进行重建的进程。具体而言,是指把盘算机看作犯法现场,应用先进的辨析技巧,对盘算机犯法行动进行解剖,搜寻罪犯及其犯法证据。
1.1 电子证据概念
电子证据在很多年前已经作为一种新兴证据被列入法律,但我实在是(原创www.isoyu.com版权)没找到这个法律条文……
现在的中华民族共和国刑事诉讼法,中华人民共和国刑法里的第四十八条里,电子证据是在第八条,这八条依此是:
物证
书证
证人证言
被害人陈说
犯法嫌疑人、被告人供述和辩护
鉴定看法
勘察、检讨、识别、侦察试验等笔录
视听资料、电子数据
证据必需经过查证属实,能力作为定案的依据。那么,怎么去取证,下面我们来讲讲准确的取证姿态。
2. 电子取证行业尺度
上图这个表,就是在取证里,怎么去取证操作能力是合法的,必需遵照公安机关电子取证鉴定规矩,基于这条规定,你的取证能力合法合理的。
3. 现场取证技巧
现场取证,涉及到盘算机取证硬件、软件、移动智能取证工具,这里我们离开详讲。
3.1 盘算机取证硬件
硬盘复制机,他的功效就是对硬盘进行一个打镜像,进行复制然后取证的工具,因为取证进程是不许可对原硬盘进行直接操作,都须要打镜像。如下图:
硬盘只读锁
硬盘只读锁的功效就是,给硬盘加上一块锁,阻拦写入通道,有效的保储存介质中的数据在获取和剖析进程里不会被修正,从而保证取证工作的司法有效性于数据完全性。简略说就是,确保我拿到手的硬盘数据是原生态,没有被二次修正过的一个装备。
取证一体机,一体机这个比拟好懂得,基于拷贝克隆、读取、烧毁于一体的取证装备。
取证塔,和一体机的一样的,不过是多了一些ID剖析接口和聚集的大平台。
介质修复装备
这个装备的作用就是个修复装备,可懂得为“医疗兵”,硬盘磁道坏了,就用这个装备联合软件进行修复。工作环境必需无尘。
装备就介绍完了,接下来讲讲盘算机取证软件,盘算机取证软件分为国内外,值得一提的是,硬盘隐蔽数据以上装备也是能读取出来的,加不加锁形同虚设。
3.2 盘算机取证软件
国外取证剖析软件:
ENcase
X-Ways
FTK
国外取证剖析软件:
取证巨匠
盘石介质取证剖析体系
以上装备均可取证,比如一木马制造者制造的木马威逼用户很多,在中途进程中他在阅读器IE里搜索过:怎么写入注册表实现开百思特网机自启过杀毒。那么以上软件均可在读取到你的搜索记载。
3.3 散布式取证体系
散布式,怎么懂得,树立在网路之上的软件体系。
这是一份文档,供给个链接给大家:
http://www.chinacloud.cn/upload/2014-04/14041406572100.pdf?WebShieldDRSessionVerify=Izq4UwNheLLIWpOvgpD6
作用就是,采集单个装备的数据,上传云,在体系里搜索症结词进行比对发明问题,一般用于公安局省厅。
3.4 智能终端取证
人工剖析
智能终端也跟的比拟快,刚开端是人工剖析的,比如拍照或者手抄剖析,效力也广泛较低。(人工剖析)
逻辑剖析
人才有逻辑,盘算机逻辑也是人工编的逻辑,一成不变,也不知变通。逻辑剖析是用取证软件对比手机电话本、QQ、微信、邮箱等信息的获取,进行人为逻辑剖析,也是等于给嫌疑人画像,即使你已经见过他的样子了。
JTAG剖析
也就是十六制镜像。在电影里有这样的情节,一个犯法团伙老大,接洽了他的杀手后,就把手机砸碎,放厕所里,或者是丢水里。
以前看刘德华的一部电影,华仔是反派还是间谍身份,公安组在手机上安装了 GPS 定位,团伙老大等华仔接完电话后就让华仔把车扔对面水池里,与此同时,公安也失去的定位。
讲道理的话,手机砸碎和丢水里都是能够取证的,如果应用 JTAG 芯片剖析技巧,还是能做数据提取的,因为手机芯片上是记载了活动轨迹的。
iPhone,iPod 也都属于移动智能终端,遇到人为破坏的,特别情形下,照样是能取的。
动态仿真
这个就比拟前沿了,动态,仿真,有没有人能想到?安卓模仿器用过吧?这就是比拟接近的,相似于模仿器进行手机仿真,比如你在微信群里讨论一些政治敏感的内容,如果拿到了你的手机,我是能够还原你聊天的一幕幕,对你聊天的场景进行模仿,你做了什么,发了什么图,就好像是我自身在进行对话。
还有就是,群里发送黄色视频这种,如果影响大,公安指定取证的话,是对你的微信QQ提取文件剖析,转发了多少,影响规模,甚至还有播放数目,查到源头,也不是完整不可能。
远程勘验技巧
远程勘验取证技巧包含也比拟多,有网络取证和现场取证,也有Web网页取证和服务器取证技巧等,一一详解。
现场取证与网络取证
这个图就已经解释是现场和网络取证的不同和相干技巧。
现场取证
分为静态取证,事后取证。证据链的发端,软硬件的恢复技巧,数据格局剖析于检索技巧。现场一般是静态取证,也就是事后取证,证据面的开端, 就会接触到一些软硬件的恢复,对软件进行数据的剖析和检索。
假设,到现场 发明一台电脑,如果是开机状况,你就不能关机的。只能对电脑进行开凿然落后行数据提取,如果是关机状况,就只能坚持关机,直接对硬盘进行复制,打镜像。做到开机不关,关机不开即可。
服务器如果取证的话,取证的话,是不能正常关机的,只能直接拔掉电源。你也可以懂得为,直接拔掉电源,防止有人远程衔接服务器进行数据改动。
静态取证,是电脑已经摆在面前了,直接对数据进行剖析。事后取证,是已经案发了,这个事情已经产生了,我们在进行一个取证调查进程。
软硬件恢复技巧,是对数据进行恢复,因为你不知道他的硬盘是否进行了一次格盘操作,当你找不到相干的信息,得到许可后,你可对当前的硬盘进行一次数据恢复。
有个案子,是一个制造外挂的,非法牟利百万,严重影响了游戏厂商正常运营,无奈选择报案,当公安局抓获嫌疑人后,在他的硬盘里没有找到外挂源代码或者是其他信息,取证方就可以思考,是否在我们来之前,嫌疑人就已经把硬盘数据删掉了,正常的取证你是取不到什么,所以只能对硬盘做一次数据恢复然后尝试取证。
数据格局剖析检索技巧,这个比拟好懂得,数据格局,比如是 TXT,word,PPT,EXE 都属于一个格局,取证进程对你想要的数据进行格局百思特网检索,进步效力之用。
网络取证
网络取证,他是差别于现场取证的,网络取证都是动态的一种取证方法,现有大多数案子都是网络取证的。
数据抓取技巧:应用抓包工具(wireshark等),对信息日子进行剖析,过滤IP等等。
海量数据与协定剖析:有关海量的,一定是基于大数据平台,海量数据与协定剖析就是基于大数据平台来获取相干信息。
网络取证的内容也比拟多,首先你得对起源进行取证,也就是犯法嫌疑人所在的地位,取证的内容包含 IP 地址,MAC 地址,电子邮件(邮件头有IP地址),一些软件或者的互联网的账号等。
有个案例是,一黑客对手机用户进行木马植入,取证方对木马 APK 进行反编译,从而发明黑客做数据提交的一个 IP 地址,查阅后发明是某大型云服务器平台,从而提交到相干人员,锁定此人。
事实取证:肯定犯法事实的具体内容和进程。
这个取证的内容包含网络状况和数据包剖析、日志文件剖析、然后对文件内容进行调查、应用痕迹调查,软件的功效剖析等。
数据包剖析就和数据抓取一样了,日志文件的剖析,像 WIN 体系都有运行日志,像伪基站体系,他也会记载日志,什么时候向什么人发送了什么信息,这些都是可以在日志里得到的。
文件内容调查,取证时对相干文件进行调查剖析,比如一个商业秘密的 Word 或者是合同。
应用痕迹的剖析,就好比什么用户,什么时候做了什么事。比如我在我电脑上插上U盘,拔下,拷贝录入和删除行动,都属于应用痕迹。
软件功效剖析,有可能涉及到对软件进行OD反编译,如果有源代码就对源代码剖析,没有就只能剖析软件运行后的行动,一步一步调试。
这个一是自己搭建环境,在环境里对功效进行剖析。有点相似于剖析一个病毒,他运行后是调用了体系的什么过程。
二就是对源代码剖析了,也须要对编程有所懂得,得看懂源码才行。
3.5 网络取证相干技巧
蜜罐取证技巧,也就是挖一个坑让你跳,跳了我就知道你的行动。也包含上面所讲的网络数据包剖析取证技巧。还有一个数据发掘技巧,也就是对数据进行恢复、提取、深刻的剖析。
网络数据包剖析取证工具:
功效和优势都列举出来了,须要体验的请自行百度下载。
网页取证相干技巧
查看网页应用语言,网站信息,应用爬虫来获取网站相干数据。
网站/服务器取证技巧
远程链接登陆服务器(如有须要,获取服务器账号密码的手腕不限)查看日志,截获快照,但是全程都必需屏幕录制,是必需。
新型取证技巧
新型取证技巧,内存取证,芯片取证,云取证,物联网取证,边信道于量子盘算。
内存取证技巧
内存证据以及和硬盘证据成为打击网络违法犯法的主要根据。
内存证据剖析可被用于发明体系的各种症结信息和用户行动特点。
内存取证技巧也可被用户恶意代码检测的剖析。
内存取证实践:
虚拟内存文件
休眠文件
内存转储
DMA
冷启动
这是一个内存取证的完全进程,1.2名词请百度一下。
DMA 的原理就是,数据传输要经过 CPU 然后再传给电脑,这时候直接转到DMA,不经过 CPU,数据传输非常快,但是保留数据量比拟小。
冷启动,按住电源键强迫启动或者关机,就是冷启动。但是可能会造成数据的丧失,这些数据都保留在内存,冷启动取证就是百思特网对机器进行冷却,尽快的恢复数据。
以上就是对内存进行喷冰处置。
内存转储文件:内存转储是用于体系瓦解时,将内存中的数据转储保留在转储文件中,供应有关人员进行排错剖析用处。而它所保留生成的文件就叫做内存转储文件。
3.6 芯片取证技巧
这个是针对现有手机取证工具无法解决的问题,才会搬出芯片取证技巧,多涉及硬件。
已破坏的手机(恶意损坏)可以用这种情形。
掩埋,水浸等原因无法开机。
数据接口(USB等)无法应用的手机,但屏幕可正常亮起。
设置密码且没有方法解锁的手机。
以上情形都可用于芯片取证技巧。
现在来介绍一下芯片取证的相干流程:
这是个被摔坏的手机。将它拆解,如下图红框里所示的就是芯片所在地位。
拆下芯片后,衔接取证工具,选择芯片类型,设置芯片镜像文件,持续对芯片镜像进行读取。
镜像读取完以后就可操作解析恢复,以及仿真。仿真他是模仿手机的实际运行环境。如下图微信红包所示。
一个芯片取证到这里就算停止了。
IOS取证实践:
取证工具
硬件/体系破绽
iCloud
社会工程学
暴力破解
IOS取证国内外都有工具,但是是比拟难的,在没有越狱的情形下。限制比拟多。线下取证的话,可应用IOS的备份功效,将运用数据一起备份出来。然后再解析数据。原理实现就是iCloud的备份功效,用过iPhone的都知道,连上了就会问你备不备份 可下载到本地。
破绽/硬件破绽,iPhone能被越狱。
iCloud,用户名和密码。
社会工程学:这方面用的很少,重要是应用诱骗手腕进行运动。
暴力破解:暴力破解现只支撑IOS7以下的版本,高于7 都是无法破解的。
3.7 IOS 取证流程
吹下 iPhone flash 芯片并应用复制装备制造副本。
讲副本应用测试架桥接至 iPhone 主板 然后开机。
穷举密码,进行暴力破解额,5-10次为一轮。
如果触发了 IOS 安全机制,被锁定或者是数据抹除,那么改换副本持续测试。
直到解锁。
网络取证上,IOS 比拟难,因为要越狱。线下取证,越不越狱没关系的,都可直接取证。
3.8 云取证的相干技巧
云端数据的保全和迁移:把数据从一个云端转移到另一个云端,保证数据的完全性。
云端服务重现:对他的服务里找到相干数据。
云数据恢复:数据被删了,想恢复 就必需找到他的云服务商,找到服务器进行数据的恢复,涉及到硬盘恢复等技巧。
在线取证:远程提取数据进行取证。
客户端现场取证:和在线取证一个意思。
3.9 物联网取证
物理安全。
物理俘获固件器件等修正。
接入层安全。
网络层安全。
运用层安全(数据安全、隐私掩护)。
有兴致的朋友可自行查阅资料,物联网没怎么接触过。
物联网取证相干技巧
物联网黑匣子技巧。
物联网散布式IDS技巧。
物联网嗅探取证技巧。
物联网黑匣子技巧,是通过拜访他的日志,固件更新日志,操作日志,用入侵检测(散布式IDS)的方法进行操作取证。
物联网嗅探取证技巧,大多指摄像头监控,什么人在什么地点做什么事,进行取证。
3.10 边信道攻击与取证
新手腕,边信道攻击简称SCA,是针对加密电子装备在运行进程中的时光消费或者功率消费之类、电磁辐射造成的信息泄漏来进行攻击。
如果想得到你的数据,是依据这几种来实现攻击。解释白一点 就是窃听监听你的数据然落后行破译。感兴致的朋友可以百度懂得一下。
3.11 量子盘算取证
还没普及,就跳过吧………
到此电子取证技巧基本就停止了,硬盘数据恢复这个,军方的条件是格局化37次,根本上无法提取数据了,最简略的办法是格局化后用大文件笼罩硬盘空间,大文件也就指垃圾文件。