电子取证（像黑科技一样的电子取证技巧）

本文来自作者 肖志华 在GitChat上出色分享。

前言

取证，司法说明是具有调查取证权的国度机关对于立案处置的案件，为查明案情，收集证据。电子取证，顾名思义可懂得为基于盘算机的证据收集。

1. 取证相干介绍

对于电子取证的介绍，百度是这样答复的：电子取证是指应用盘算机软硬件技巧，以符合法律规范的方法对盘算机入侵、损坏、讹诈、攻击等犯法行动进行证据获取、保留、剖析和出示的进程。

从技巧方面看，盘算机犯法取证是一个对受侵盘算机体系进行扫描和破解，对入侵事件进行重建的进程。具体而言，是指把盘算机看作犯法现场，应用先进的辨析技巧，对盘算机犯法行动进行解剖，搜寻罪犯及其犯法证据。

1.1 电子证据概念

电子证据在很多年前已经作为一种新兴证据被列入法律，但我实在是(原创www.isoyu.com版权)没找到这个法律条文……

现在的中华民族共和国刑事诉讼法，中华人民共和国刑法里的第四十八条里，电子证据是在第八条，这八条依此是：

• 物证

• 书证

• 证人证言

• 被害人陈说

• 犯法嫌疑人、被告人供述和辩护

• 鉴定看法

• 勘察、检讨、识别、侦察试验等笔录

• 视听资料、电子数据

证据必需经过查证属实，能力作为定案的依据。那么，怎么去取证，下面我们来讲讲准确的取证姿态。

2. 电子取证行业尺度

上图这个表，就是在取证里，怎么去取证操作能力是合法的，必需遵照公安机关电子取证鉴定规矩，基于这条规定，你的取证能力合法合理的。

3. 现场取证技巧

现场取证，涉及到盘算机取证硬件、软件、移动智能取证工具，这里我们离开详讲。

3.1 盘算机取证硬件

• 硬盘复制机，他的功效就是对硬盘进行一个打镜像，进行复制然后取证的工具，因为取证进程是不许可对原硬盘进行直接操作，都须要打镜像。如下图：

• 硬盘只读锁

硬盘只读锁的功效就是，给硬盘加上一块锁，阻拦写入通道，有效的保储存介质中的数据在获取和剖析进程里不会被修正，从而保证取证工作的司法有效性于数据完全性。简略说就是，确保我拿到手的硬盘数据是原生态，没有被二次修正过的一个装备。

• 取证一体机，一体机这个比拟好懂得，基于拷贝克隆、读取、烧毁于一体的取证装备。

• 取证塔，和一体机的一样的，不过是多了一些ID剖析接口和聚集的大平台。

• 介质修复装备

这个装备的作用就是个修复装备，可懂得为“医疗兵”，硬盘磁道坏了，就用这个装备联合软件进行修复。工作环境必需无尘。

装备就介绍完了，接下来讲讲盘算机取证软件，盘算机取证软件分为国内外，值得一提的是，硬盘隐蔽数据以上装备也是能读取出来的，加不加锁形同虚设。

3.2 盘算机取证软件

国外取证剖析软件：

• ENcase

• X-Ways

• FTK

国外取证剖析软件：

• 取证巨匠

• 盘石介质取证剖析体系

以上装备均可取证，比如一木马制造者制造的木马威逼用户很多，在中途进程中他在阅读器IE里搜索过：怎么写入注册表实现开百思特网机自启过杀毒。那么以上软件均可在读取到你的搜索记载。

3.3 散布式取证体系

散布式，怎么懂得，树立在网路之上的软件体系。

这是一份文档，供给个链接给大家：

http://www.chinacloud.cn/upload/2014-04/14041406572100.pdf?WebShieldDRSessionVerify=Izq4UwNheLLIWpOvgpD6

作用就是，采集单个装备的数据，上传云，在体系里搜索症结词进行比对发明问题，一般用于公安局省厅。

3.4 智能终端取证

人工剖析

智能终端也跟的比拟快，刚开端是人工剖析的，比如拍照或者手抄剖析，效力也广泛较低。(人工剖析）

逻辑剖析

人才有逻辑，盘算机逻辑也是人工编的逻辑，一成不变，也不知变通。逻辑剖析是用取证软件对比手机电话本、QQ、微信、邮箱等信息的获取，进行人为逻辑剖析，也是等于给嫌疑人画像，即使你已经见过他的样子了。

JTAG剖析

也就是十六制镜像。在电影里有这样的情节，一个犯法团伙老大，接洽了他的杀手后，就把手机砸碎，放厕所里，或者是丢水里。

以前看刘德华的一部电影，华仔是反派还是间谍身份，公安组在手机上安装了 GPS 定位，团伙老大等华仔接完电话后就让华仔把车扔对面水池里，与此同时，公安也失去的定位。

讲道理的话，手机砸碎和丢水里都是能够取证的，如果应用 JTAG 芯片剖析技巧，还是能做数据提取的，因为手机芯片上是记载了活动轨迹的。

iPhone，iPod 也都属于移动智能终端，遇到人为破坏的，特别情形下，照样是能取的。

动态仿真

这个就比拟前沿了，动态，仿真，有没有人能想到？安卓模仿器用过吧？这就是比拟接近的，相似于模仿器进行手机仿真，比如你在微信群里讨论一些政治敏感的内容，如果拿到了你的手机，我是能够还原你聊天的一幕幕，对你聊天的场景进行模仿，你做了什么，发了什么图，就好像是我自身在进行对话。

还有就是，群里发送黄色视频这种，如果影响大，公安指定取证的话，是对你的微信QQ提取文件剖析，转发了多少，影响规模，甚至还有播放数目，查到源头，也不是完整不可能。

远程勘验技巧

远程勘验取证技巧包含也比拟多，有网络取证和现场取证，也有Web网页取证和服务器取证技巧等，一一详解。

现场取证与网络取证

这个图就已经解释是现场和网络取证的不同和相干技巧。

现场取证

分为静态取证，事后取证。证据链的发端，软硬件的恢复技巧，数据格局剖析于检索技巧。现场一般是静态取证，也就是事后取证，证据面的开端， 就会接触到一些软硬件的恢复，对软件进行数据的剖析和检索。

假设，到现场 发明一台电脑，如果是开机状况，你就不能关机的。只能对电脑进行开凿然落后行数据提取，如果是关机状况，就只能坚持关机，直接对硬盘进行复制，打镜像。做到开机不关，关机不开即可。

服务器如果取证的话，取证的话，是不能正常关机的，只能直接拔掉电源。你也可以懂得为，直接拔掉电源，防止有人远程衔接服务器进行数据改动。

静态取证，是电脑已经摆在面前了，直接对数据进行剖析。事后取证，是已经案发了，这个事情已经产生了，我们在进行一个取证调查进程。

软硬件恢复技巧，是对数据进行恢复，因为你不知道他的硬盘是否进行了一次格盘操作，当你找不到相干的信息，得到许可后，你可对当前的硬盘进行一次数据恢复。

有个案子，是一个制造外挂的，非法牟利百万，严重影响了游戏厂商正常运营，无奈选择报案，当公安局抓获嫌疑人后，在他的硬盘里没有找到外挂源代码或者是其他信息，取证方就可以思考，是否在我们来之前，嫌疑人就已经把硬盘数据删掉了，正常的取证你是取不到什么，所以只能对硬盘做一次数据恢复然后尝试取证。

数据格局剖析检索技巧，这个比拟好懂得，数据格局，比如是 TXT，word，PPT，EXE 都属于一个格局，取证进程对你想要的数据进行格局百思特网检索，进步效力之用。

网络取证

网络取证，他是差别于现场取证的，网络取证都是动态的一种取证方法，现有大多数案子都是网络取证的。

数据抓取技巧：应用抓包工具（wireshark等），对信息日子进行剖析，过滤IP等等。

海量数据与协定剖析：有关海量的，一定是基于大数据平台，海量数据与协定剖析就是基于大数据平台来获取相干信息。

网络取证的内容也比拟多，首先你得对起源进行取证，也就是犯法嫌疑人所在的地位，取证的内容包含 IP 地址，MAC 地址，电子邮件（邮件头有IP地址），一些软件或者的互联网的账号等。

有个案例是，一黑客对手机用户进行木马植入，取证方对木马 APK 进行反编译，从而发明黑客做数据提交的一个 IP 地址，查阅后发明是某大型云服务器平台，从而提交到相干人员，锁定此人。

事实取证：肯定犯法事实的具体内容和进程。

这个取证的内容包含网络状况和数据包剖析、日志文件剖析、然后对文件内容进行调查、应用痕迹调查，软件的功效剖析等。

数据包剖析就和数据抓取一样了，日志文件的剖析，像 WIN 体系都有运行日志，像伪基站体系，他也会记载日志，什么时候向什么人发送了什么信息，这些都是可以在日志里得到的。

文件内容调查，取证时对相干文件进行调查剖析，比如一个商业秘密的 Word 或者是合同。

应用痕迹的剖析，就好比什么用户，什么时候做了什么事。比如我在我电脑上插上U盘，拔下，拷贝录入和删除行动，都属于应用痕迹。

软件功效剖析，有可能涉及到对软件进行OD反编译，如果有源代码就对源代码剖析，没有就只能剖析软件运行后的行动，一步一步调试。

这个一是自己搭建环境，在环境里对功效进行剖析。有点相似于剖析一个病毒，他运行后是调用了体系的什么过程。

二就是对源代码剖析了，也须要对编程有所懂得，得看懂源码才行。

3.5 网络取证相干技巧

蜜罐取证技巧，也就是挖一个坑让你跳，跳了我就知道你的行动。也包含上面所讲的网络数据包剖析取证技巧。还有一个数据发掘技巧，也就是对数据进行恢复、提取、深刻的剖析。

网络数据包剖析取证工具：

功效和优势都列举出来了，须要体验的请自行百度下载。

• 网页取证相干技巧

  查看网页应用语言，网站信息，应用爬虫来获取网站相干数据。

• 网站/服务器取证技巧

  远程链接登陆服务器（如有须要，获取服务器账号密码的手腕不限）查看日志，截获快照，但是全程都必需屏幕录制，是必需。

• 新型取证技巧

  新型取证技巧，内存取证，芯片取证，云取证，物联网取证，边信道于量子盘算。

• 内存取证技巧

• 内存证据以及和硬盘证据成为打击网络违法犯法的主要根据。

• 内存证据剖析可被用于发明体系的各种症结信息和用户行动特点。

• 内存取证技巧也可被用户恶意代码检测的剖析。

内存取证实践：

• 虚拟内存文件

• 休眠文件

• 内存转储

• DMA

• 冷启动

这是一个内存取证的完全进程，1.2名词请百度一下。

DMA 的原理就是，数据传输要经过 CPU 然后再传给电脑，这时候直接转到DMA，不经过 CPU，数据传输非常快，但是保留数据量比拟小。

冷启动，按住电源键强迫启动或者关机，就是冷启动。但是可能会造成数据的丧失，这些数据都保留在内存，冷启动取证就是百思特网对机器进行冷却，尽快的恢复数据。

以上就是对内存进行喷冰处置。

内存转储文件：内存转储是用于体系瓦解时，将内存中的数据转储保留在转储文件中，供应有关人员进行排错剖析用处。而它所保留生成的文件就叫做内存转储文件。

3.6 芯片取证技巧

这个是针对现有手机取证工具无法解决的问题，才会搬出芯片取证技巧，多涉及硬件。

1. 已破坏的手机（恶意损坏）可以用这种情形。

2. 掩埋，水浸等原因无法开机。

3. 数据接口（USB等）无法应用的手机，但屏幕可正常亮起。

4. 设置密码且没有方法解锁的手机。

以上情形都可用于芯片取证技巧。

现在来介绍一下芯片取证的相干流程:

这是个被摔坏的手机。将它拆解，如下图红框里所示的就是芯片所在地位。

拆下芯片后，衔接取证工具，选择芯片类型，设置芯片镜像文件，持续对芯片镜像进行读取。

镜像读取完以后就可操作解析恢复，以及仿真。仿真他是模仿手机的实际运行环境。如下图微信红包所示。

一个芯片取证到这里就算停止了。

IOS取证实践：

• 取证工具

• 硬件/体系破绽

• iCloud

• 社会工程学

• 暴力破解

IOS取证国内外都有工具，但是是比拟难的，在没有越狱的情形下。限制比拟多。线下取证的话，可应用IOS的备份功效，将运用数据一起备份出来。然后再解析数据。原理实现就是iCloud的备份功效，用过iPhone的都知道，连上了就会问你备不备份 可下载到本地。

破绽/硬件破绽，iPhone能被越狱。

iCloud，用户名和密码。

社会工程学：这方面用的很少，重要是应用诱骗手腕进行运动。

暴力破解：暴力破解现只支撑IOS7以下的版本，高于7 都是无法破解的。

3.7 IOS 取证流程

1. 吹下 iPhone flash 芯片并应用复制装备制造副本。

2. 讲副本应用测试架桥接至 iPhone 主板 然后开机。

3. 穷举密码，进行暴力破解额，5-10次为一轮。

4. 如果触发了 IOS 安全机制，被锁定或者是数据抹除，那么改换副本持续测试。

5. 直到解锁。

网络取证上，IOS 比拟难，因为要越狱。线下取证，越不越狱没关系的，都可直接取证。

3.8 云取证的相干技巧

云端数据的保全和迁移：把数据从一个云端转移到另一个云端，保证数据的完全性。

云端服务重现：对他的服务里找到相干数据。

云数据恢复：数据被删了，想恢复 就必需找到他的云服务商，找到服务器进行数据的恢复，涉及到硬盘恢复等技巧。

在线取证：远程提取数据进行取证。

客户端现场取证：和在线取证一个意思。

3.9 物联网取证

1. 物理安全。

2. 物理俘获固件器件等修正。

3. 接入层安全。

4. 网络层安全。

5. 运用层安全（数据安全、隐私掩护）。

有兴致的朋友可自行查阅资料，物联网没怎么接触过。

物联网取证相干技巧

1. 物联网黑匣子技巧。

2. 物联网散布式IDS技巧。

3. 物联网嗅探取证技巧。

物联网黑匣子技巧，是通过拜访他的日志，固件更新日志，操作日志，用入侵检测（散布式IDS）的方法进行操作取证。

物联网嗅探取证技巧，大多指摄像头监控，什么人在什么地点做什么事，进行取证。

3.10 边信道攻击与取证

新手腕，边信道攻击简称SCA，是针对加密电子装备在运行进程中的时光消费或者功率消费之类、电磁辐射造成的信息泄漏来进行攻击。

如果想得到你的数据，是依据这几种来实现攻击。解释白一点 就是窃听监听你的数据然落后行破译。感兴致的朋友可以百度懂得一下。

3.11 量子盘算取证

还没普及，就跳过吧………

到此电子取证技巧基本就停止了，硬盘数据恢复这个，军方的条件是格局化37次，根本上无法提取数据了，最简略的办法是格局化后用大文件笼罩硬盘空间，大文件也就指垃圾文件。