取证(Forensic investigations)

法庭取证调查
事件响应调查:黑客攻击、渗透测试留痕

forensic 科学

  • 法医的、用于法庭的、辩论学、法医学
  • 为了侦破案件还原事实真相,收集法庭证据的一系列科学方法:参考本地法律要求,实践操作通用原则

    CSI:物理取证

指纹、DNA、弹道、血迹
无力取证的理论基础是物质交换原则
本章关注:数字取证/计算机取证
智能设备、计算机、手机平板、loT、有线及无线信道、数据存储

2、通用原则
维护证据完整性

数字取证比物理取证幸运的多,可以有无限数量的拷贝进行分析
数字HASH值验证数据完整性
维护监管链

物理证物保存在证物袋中,每次取出使用严格记录,避免破坏污染
数字证物原始版本写保护,使用拷贝进行分析
标准的操作步骤

证物使用严格按照按照规范流程,即使事后证明流程有误(免责)
取证分析全部过程记录文档
数字取证者注意事项

不要破坏数据现场(看似简单,实际几乎无法实现)
寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取
系统内存是主要的非易失性存储介质取证对象,不修改无法获取其中数据
非易失性存储介质通常使用完整镜像拷贝保存
正常关机还是直接拔掉电源(数据丢失破坏)
3、取证方法
活取证

抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息
使用未受感染的干净程序执行取证U盘/网络存储收集到的数据
死取证

关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)

原文链接:https://blog.csdn.net/weixin_44604541/article/details/105656852
使用方法:https://fishpond.blog.csdn.net/article/details/105682074