Python 数字取证 - 简介
本章将向您介绍数字取证的全部内容及其历史回顾。您还将了解在现实生活中可以在哪里应用数字取证及其局限性。
什么是数字取证?
数字取证可以定义为分析、检查、识别和恢复电子设备上的数字证据的取证科学的一个分支。它通常用于刑法和私人调查。
例如,您可以依靠数字取证提取证据,以防有人窃取电子设备上的某些数据。
数字取证的简要历史回顾
本节解释了计算机犯罪的历史和数字取证的历史回顾,如下所示 -
1970 年代至 1980 年代:第一次计算机犯罪
在这十年之前,还没有发现任何计算机犯罪。然而,如果这种情况发生,当时的现行法律会处理它们。后来,1978 年,佛罗里达州《计算机犯罪法》承认了第一起计算机犯罪,其中包括禁止未经授权修改或删除计算机系统上的数据的立法。但随着时间的推移,由于技术的进步,计算机犯罪的范围也随之增加。为了处理与版权、隐私和儿童色情制品有关的犯罪,还通过了各种其他法律。
1980年代-90年代:发展十年
这十年是数字取证的发展十年,这一切都是因为克里夫·斯托尔 (Cliff Stoll) 首次进行调查(1986 年),追踪了名为马库斯·赫斯 (Markus Hess) 的黑客。在此期间,发展了两种数字取证学科——第一种是借助由以数字取证为爱好的从业者开发的临时工具和技术,第二种是由科学界开发的。1992年, “计算机取证”一词出现在学术文献中。
2000 年代至 2010 年代:标准化十年
数字取证发展到一定程度后,需要制定一些具体的标准来进行调查时可以遵循。因此,各种科学机构和团体发布了数字取证指南。2002年,数字证据科学工作组(SWGDE)发表了一篇名为“计算机取证的最佳实践”的论文。另一个亮点是由欧洲主导的国际条约,即《网络犯罪公约》,由 43 个国家签署并由 16 个国家批准。即使制定了这样的标准,仍然需要解决研究人员发现的一些问题。
数字取证过程
自 1978 年首次出现计算机犯罪以来,数字犯罪活动大幅增加。由于这种增量,需要以结构化的方式来处理它们。1984 年,引入了正式流程,此后开发了大量新的和改进的计算机取证调查流程。
计算机取证调查过程涉及三个主要阶段,如下所述 -
第一阶段:展品采集或成像
数字取证的第一阶段涉及保存数字系统的状态,以便以后进行分析。这与从犯罪现场拍摄照片、血样等非常相似。例如,它涉及捕获硬盘或 RAM 的已分配和未分配区域的图像。
第二阶段:分析
该阶段的输入是采集阶段获取的数据。在这里,我们对这些数据进行了检查以找出证据。此阶段提供三种证据如下 -
有罪证据- 这些证据支持特定的历史。
无罪证据- 这些证据与特定历史相矛盾。
篡改证据- 这些证据表明系统经过了修改以避免识别。它包括检查文件和目录内容以恢复已删除的文件。
第三阶段:演示或报告
顾名思义,此阶段呈现调查的结论和相应的证据。
数字取证的应用
数字取证涉及收集、分析和保存任何数字设备中包含的证据。数字取证的使用取决于应用程序。如前所述,它主要用于以下两个应用程序 -
刑法
在刑法中,收集证据是为了支持或反对法庭上的假设。取证程序与刑事调查中使用的程序非常相似,但具有不同的法律要求和限制。
私人调查
企业界主要使用数字取证进行私人调查。当公司怀疑员工可能在其计算机上执行违反公司政策的非法活动时,就会使用它。数字取证为公司或个人调查某人的数字不当Behave提供了最佳途径之一。
数字取证的分支
数字犯罪不仅限于计算机,但黑客和犯罪分子也大规模使用平板电脑、智能手机等小型数字设备。一些设备具有易失性存储器,而另一些设备具有非易失性存储器。因此,根据设备的类型,数字取证有以下分支 -
计算机取证
数字取证的这一分支涉及计算机、嵌入式系统和静态存储器(例如 USB 驱动器)。计算机取证可以调查从日志到驱动器上的实际文件的各种信息。
移动取证
这涉及对移动设备数据的调查。该分支与计算机取证不同,因为移动设备具有内置通信系统,可用于提供与位置相关的有用信息。
网络取证
它涉及对本地和 WAN(广域网)计算机网络流量的监控和分析,以实现信息收集、证据收集或入侵检测。
数据库取证
数字取证的这个分支涉及数据库及其元数据的取证研究。
数字取证调查所需的技能
数字取证检查员帮助跟踪黑客、恢复被盗数据、跟踪计算机攻击追溯到其源头,并协助涉及计算机的其他类型的调查。成为数字取证检查员所需的一些关键技能如下所述 -
杰出的思维能力
数字取证调查员必须是一位杰出的思考者,并且应该能够在特定任务上应用不同的工具和方法来获取输出。他/她必须能够找到不同的模式并在它们之间建立关联。
技术能力
数字取证检查员必须具备良好的技术技能,因为该领域需要网络知识、数字系统如何交互。
热衷于网络安全
由于数字取证领域主要是解决网络犯罪,这是一项繁琐的任务,因此需要有很大的热情才能成为王牌数字取证调查员。
沟通技巧
良好的沟通技巧是与各个团队协调并提取任何缺失的数据或信息所必需的。
擅长报告制作
成功实施采集和分析后,数字取证检查员必须在最终报告和演示中提及所有发现结果。因此,他/她必须具备良好的报告制作技巧和对细节的关注。
局限性
数字取证调查存在一定的局限性,如下所述 -
需要拿出令人信服的证据
数字取证调查的主要挫折之一是审查员必须遵守法庭证据所需的标准,因为数据很容易被篡改。另一方面,计算机取证调查员必须完全了解法律要求、证据处理和文件程序,以便在法庭上提供令人信服的证据。
调查工具
数字调查的有效性完全取决于数字取证检查员的专业知识和正确调查工具的选择。如果所使用的工具不符合规定的标准,那么在法庭上,法官可能会否认证据。
观众缺乏技术知识
另一个限制是有些人并不完全熟悉计算机取证;因此,很多人不了解这个领域。调查人员必须确保以帮助每个人理解结果的方式与法院沟通他们的调查结果。
成本
生成数字证据并保存它们的成本非常高。因此,很多无力承担费用的人可能不会选择这种工艺。