取证,司法解释是具有调查取证权的国家机关对于立案处理的案件,为查明案情,收集证据。电子取证,顾名思义可理解为基于计算机的证据收集。
取证相关介绍
对于电子取证的介绍,百度是这样回答的:电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
电子证据概念
电子证据在很多年前已经作为一种新兴证据被列入法律,但我实在是没找到这个法律条文……
现在的中华民族共和国刑事诉讼法,中华人民共和国刑法里的第四十八条里,电子证据是在第八条,这八条依此是:
证据必须经过查证属实,才能作为定案的根据。那么,怎么去取证,下面我们来讲讲正确的取证姿势。
电子取证行业标准
上图这个表,就是在取证里,怎么去取证操作才能是合法的,必须遵守公安机关电子取证鉴定规则,基于这条规定,你的取证才能合法合理的。
现场取证技术
现场取证,涉及到计算机取证硬件、软件、移动智能取证工具,这里我们分开详讲。
计算机取证硬件
设备就介绍完了,接下来讲讲计算机取证软件,计算机取证软件分为国内外,值得一提的是,硬盘隐藏数据以上设备也是能读取出来的,加不加锁形同虚设。
计算机取证软件
国外取证分析软件:
国外取证分析软件:
以上设备均可取证,比如一木马制作者制作的木马威胁用户很多,在中途过程中他在浏览器IE里搜索过:怎么写入注册表实现开机自启过杀毒。那么以上软件均可在读取到你的搜索记录。
分布式取证系统
分布式,怎么理解,建立在网路之上的软件系统。
作用就是,采集单个设备的数据,上传云,在系统里搜索关键词进行比对发现问题,一般用于公安局省厅。
智能终端取证
人工分析
智能终端也跟的比较快,刚开始是人工分析的,比如拍照或者手抄分析,效率也普遍较低。(人工分析)
逻辑分析
人才有逻辑,计算机逻辑也是人工编的逻辑,一成不变,也不知变通。逻辑分析是用取证软件对照手机电话本、QQ、微信、邮箱等信息的获取,进行人为逻辑分析,也是等于给嫌疑人画像,即使你已经见过他的样子了。
JTAG分析
也就是十六制镜像。在电影里有这样的情节,一个犯罪团伙老大,联系了他的杀手后,就把手机砸碎,放厕所里,或者是丢水里。以前看刘德华的一部电影,华仔是反派还是间谍身份,公安组在手机上安装了**定位,团伙老大等华仔接完电话后就让华仔把车扔对面水池里,与此同时,公安也失去的定位。
讲道理的话,手机砸碎和丢水里都是能够取证的,如果利用JTAG芯片分析技术,还是能做数据提取的,因为手机芯片上是记录了运动轨迹的。
,iPod也都属于移动智能终端,遇到人为损坏的,特殊情况下,照样是能取的。
动态仿真
这个就比较前沿了,动态,仿真,有没有人能想到?安卓模拟器用过吧?这就是比较接近的,类似于模拟器进行手机仿真,比如你在微信群里讨论一些政治敏感的内容,如果拿到了你的手机,我是能够还原你聊天的一幕幕,对你聊天的场景进行模拟,你做了什么,发了什么图,就好像是我自身在进行对话。
还有就是,群里发送黄色视频这种,如果影响大,公安指定取证的话,是对你的微信QQ提取文件分析,转发了多少,影响范围,甚至还有播放数量,查到源头,也不是完全不可能。
远程勘验技术
远程勘验取证技术包括也比较多,有网络取证和现场取证,也有Web网页取证和服务器取证技术等,一一详解。
现场取证与网络取证
这个图就已经说明是现场和网络取证的不同和相关技术。
现场取证
分为静态取证,事后取证。证据链的发端,软硬件的恢复技术,数据格式分析于检索技术。现场一般是静态取证,也就是事后取证,证据面的开始, 就会接触到一些软硬件的恢复,对软件进行数据的分析和检索。
假设,到现场 发现一台电脑,如果是开机状态,你就不能关机的。只能对电脑进行开凿然后进行数据提取,如果是关机状态,就只能保持关机,直接对硬盘进行复制,打镜像。做到开机不关,关机不开即可。
服务器如果取证的话,取证的话,是不能正常关机的,只能直接拔掉电源。你也可以理解为,直接拔掉电源,防止有人远程连接服务器进行数据篡改。
静态取证,是电脑已经摆在面前了,直接对数据进行分析。事后取证,是已经案发了,这个事情已经发生了,我们在进行一个取证调查过程。软硬件恢复技术,是对数据进行恢复,因为你不知道他的硬盘是否进行了一次格盘操作,当你找不到相关的信息,得到允许后,你可对当前的硬盘进行一次数据恢复。
有个案子,是一个制作外挂的,非法牟利百万,严重影响了游戏厂商正常运营,无奈选择报案,当公安局抓获嫌疑人后,在他的硬盘里没有找到外挂源代码或者是其他信息,取证方就可以思考,是否在我们来之前,嫌疑人就已经把硬盘数据删掉了,正常的取证你是取不到什么,所以只能对硬盘做一次数据恢复然后尝试取证。
数据格式分析检索技术,这个比较好理解,数据格式,比如是TXT,word,PPT,EXE都属于一个格式,取证过程对你想要的数据进行格式检索,提高效率之用。
网络取证
网络取证,他是区别于现场取证的,网络取证都是动态的一种取证方式,现有大多数案子都是网络取证的。
数据抓取技术:利用抓包工具(等),对信息日子进行分析,过滤IP等等。
海量数据与协议分析:有关海量的,必定是基于大数据平台,海量数据与协议分析就是基于大数据平台来获取相关信息。
网络取证的内容也比较多,首先你得对来源进行取证,也就是犯罪嫌疑人所在的位置,取证的内容包括 IP地址,MAC地址,电子邮件(邮件头有IP地址),一些软件或者的互联网的账号等。
有个案例是,一黑客对手机用户进行木马植入,取证方对木马APK进行反编译,从而发现黑客做数据提交的一个IP地址,查阅后发现是某大型云服务器平台,从而提交到相关人员,锁定此人。
事实取证:确定犯罪事实的具体内容和过程。
这个取证的内容包括网络状态和数据包分析、日志文件分析、然后对文件内容进行调查、使用痕迹调查,软件的功能分析等。
数据包分析就和数据抓取一样了,日志文件的分析,像WIN系统都有运行日志,像伪基站系统,他也会记录日志,什么时候向什么人发送了什么信息,这些都是可以在日志里得到的。文件内容调查,取证时对相关文件进行调查分析,比如一个商业机密的Word或者是合同。
使用痕迹的分析,就好比什么用户,什么时候做了什么事。比如我在我电脑上插上U盘,拔下,拷贝录入和删除行为,都属于使用痕迹。
软件功能分析,有可能涉及到对软件进行OD反编译,如果有源代码就对源代码分析,没有就只能分析软件运行后的行为,一步一步调试。
这个一是自己搭建环境,在环境里对功能进行分析。有点类似于分析一个病毒,他运行后是调用了系统的什么进程。
二就是对源代码分析了,也需要对编程有所了解,得看懂源码才行。
网络取证相关技术
蜜罐取证技术,也就是挖一个坑让你跳,跳了我就知道你的行为。也包括上面所讲的网络数据包分析取证技术。还有一个数据挖掘技术,也就是对数据进行恢复、提取、深入的分析。
网络数据包分析取证工具:
功能和优势都列举出来了,需要体验的请自行百度下载。
内存取证实践:
这是一个内存取证的完整过程,1.2名词请百度一下。
DMA的原理就是,数据传输要经过CPU然后再传给电脑,这时候直接转到DMA,不经过CPU,数据传输非常快,但是保存数据量比较小。
冷启动,按住电源键强制启动或者关机,就是冷启动。但是可能会造成数据的丢失,这些数据都保存在内存,冷启动取证就是对机器进行冷却,尽快的恢复数据。
