博客
什么是数字取证?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

数字取证或数字取证科学是取证科学的一个分支,致力于恢复和调查在数字设备和网络犯罪中发现的材料。数字取证最初被用作计算机取证的同义词,但现已扩展到涵盖对存储数字数据的所有设备的调查。 

随着社会对计算机系统和云计算的依赖增加,数字取证已成为执法机构和企业的重要方面。

数字取证涉及使用科学认可和经过验证的过程对数字证据进行识别,保存,检查和分析,这些过程将在法院内外使用。 

尽管其起源可以追溯到1970年代后期的个人计算机革命,但数字取证在1990年代开始形成,并且当时'直到21世纪初,像美国这样的国家开始推行全国性政策。  

如今,调查的技术方面分为五个分支,包括缉获,法医成像和数字媒体分析。

数字取证的目的是什么?

数字取证的最常见用途是支持或驳斥刑事或民事法院的假设:

  • 刑事案件: 涉嫌违反法律和执法机构及其数字法医检查人员。
  • 民事案件: 涉及个人权利和财产的保护,或涉及可能涉及一种称为电子发现(eDiscovery)的数字取证的商业实体之间的合同纠纷。 

私营部门还聘请了数字取证专家 网络安全 and 信息安全 团队确定原因 数据泄露 数据泄漏 网络攻击 and other 网络威胁。数字取证分析也可能是 事件响应 帮助恢复或识别任何 敏感数据 or 个人身份信息(PII) 在网络犯罪中丢失或被盗。 

数字取证有什么用?

数字取证用于刑事和私人调查。 

传统上,它与刑法相关,在刑法中,收集证据以支持或否定法院的假设。收集到的证据可以用作情报收集的一部分,也可以用来查找,识别或制止其他犯罪。结果,所收集的数据可能会保持比传统取证更严格的标准。 

在民事案件中,数字取证可能有助于电子发现(eDiscovery)。一个常见的例子是跟踪未授权 网络入侵。法医检查员将尝试了解攻击的性质和程度,并尝试识别攻击者。

加密 由于法律的强制性,强迫个人公开加密密钥,这种情况变得越来越普遍,法医调查也变得更加困难。 

数字取证调查过程是什么?

数字取证有多种处理模型,它们定义了取证检查员应如何收集,处理和分析数据。也就是说,数字取证调查通常包括四个阶段:

  1. 发作:  在实际检查之前,将占用数字媒体。在刑事案件中,这将由执法人员执行,以保持监管链。 
  2. 取得:  检获展品后,将创建数据的法医复制品。使用硬盘驱动器复制器或软件映像工具创建后,原始驱动器将返回到安全存储中以防止篡改。所获取的图像将使用SHA-1或MD5哈希函数进行验证,并将在整个分析过程中再次进行验证,以验证证据仍处于原始状态。 
  3. 分析:  采集后,将对文件进行分析以识别支持或与假设相抵触的证据。法证分析师通常使用多种方法(和工具)来恢复证据材料,通常是从恢复已删除的信息开始。分析的数据类型各不相同,但通常包括电子邮件,聊天记录,图像,互联网历史记录和文档。可以从可访问的磁盘空间,已删除的空间或从操作系统缓存中恢复数据。
  4. 报告:  一旦调查完成,该信息将整理为非技术人员可以访问的报告。它可能包括审核信息或其他元文档。

数字取证的历史是什么?

在1970年代之前,网络犯罪是根据现有法律处理的。 

1978年的《佛罗里达计算机犯罪法》承认了第一批网络犯罪。 1978年的《佛罗里达计算机犯罪法》包括禁止未经授权修改或删除数据的立法。 

随着计算机犯罪范围的扩大,通过了有关版权,隐私,骚扰和儿童色情制品的州法律。 

在1980年代,联邦法律开始将计算机犯罪纳入其中。加拿大是1983年第一个通过立法的国家,随后是1986年的美国,1989年的澳大利亚和英国'1990年的《计算机滥用法案》。 

1980年代至1990年代

1980年代和1990年代网络犯罪的增长迫使执法机构在国家一级建立专门小组来处理技术调查。

1984年,联邦调查局 计算机分析与响应团队 1985年,英国大都会警察诈骗小组成立了计算机犯罪部门。  

Cliff Stoll是数字取证的第一个实际例子'1986年追捕MarkusHess。Hess以入侵美国,欧洲和东亚的军事和工业计算机网络而闻名。然后,他将信息以54,000美元的价格卖给了苏联克格勃。斯托尔不是数字法证专家,而是使用计算机和网络法证技术来识别赫斯。

在1990年代,对数字取证资源的需求很高,中央单元的压力导致区域甚至本地团体来处理负载。从专门的工具和技术到更发达的学科,这导致了数字法证学的成熟。 

到1992年,"computer forensics"Collier和Spaul在一篇论文中将其用于学术文献中,该论文试图证明数字取证是一门新兴学科。话虽如此,由于缺乏标准化和培训,数字取证仍然是一个杂乱无章的学科。 

到1990年代后期,移动电话已经越来越普及,并且已经超越了简单的通信设备。尽管如此,由于设备的专有性,对手机的数字分析仍落后于传统的计算机媒体。 

2000s

自2000年以来,为了满足标准化的需要,各个机构和机构都发布了数字取证指南。随着执法机构从中央单位转移到地区甚至本地单位以努力满足需求,标准化变得越来越重要。 

例如,2001年成立了英国国家高科技犯罪部门,以提供计算机犯罪的国家基础设施,其人员位于伦敦市中心,并与各种地区警察部队在一起。

2002年,数字证据科学工作组(SWGDE) 计算机取证的最佳做法。

作为欧洲领先的国际条约,《网络犯罪公约》于2004年生效,其目的是协调国家计算机犯罪法,调查技术和国际合作。该条约已由43个国家(包括美国,加拿大,日本,南非,英国和其他欧洲国家)签署,并得到16个国家的批准。 

2005年,ISO 17025发布了数字取证的ISO标准, 测试和校准实验室能力的一般要求。 

那时,数字取证培训开始受到更多关注,商业公司开始提供经过认证的取证培训计划。 

数字取证领域仍然面临问题。 2009年的论文, 数字取证研究:好,坏和未解决的问题 尽管广泛使用了智能手机,基于Unix和Linux的操作系统,但在数字取证研究中仍发现Windows操作系统存在偏见。 

Simson Garfinkel在2010年指出,数字媒体调查的主要风险包括数字媒体规模的不断扩大,加密技术的广泛普及,操作系统和文件格式的不断增长,拥有多种设备的个人以及法律上的限制。该文件还确定了培训问题和进入该领域的高昂成本是关键问题。其他关键问题包括向互联网犯罪,网络战和网络恐怖主义的转变。

数字取证信息图的历史

数字取证的历史
数字取证信息图的历史

数字取证检查员使用哪些工具?

在1980年代,很少有数字式取证工具可以使用现有的sysadmin工具来提取证据,从而迫使取证研究人员进行实时分析。这带来了修改磁盘上数据的风险,从而导致证据被篡改。 

1989年,联邦执法培训中心首次认识到了解决此问题的软件需求,并创建了IMDUMP和SafeBack。硬件和软件解决方案DIBS于1991年商业发布。 

这些工具可创建要工作的数字媒体的精确副本,同时保留原始磁盘以供验证。 

到1990年代末,对数字证据的需求意味着开发了更先进的工具,例如EnCase和FTK,使分析人员无需现场取证就可以检查媒体的副本。 

使用诸如WindowsSCOPE之类的工具和用于移动设备的工具,实时内存取证已成为一种趋势。

如今,有单一用途的开源工具,例如Wireshark(一种数据包嗅探器)和HashKeeper(一种可以加快数据库文件检查速度的工具)。以及具有多种功能和报告功能的商业平台(例如Encase或CAINE),这是一个专门为取证程序设计的Linux发行版。

一般而言,工具可以分为以下十类:

  1. 磁盘和数据捕获工具
  2. 文件查看器
  3. 文件分析工具
  4. 注册表分析工具
  5. 互联网分析工具
  6. 电子邮件分析工具
  7. 移动设备分析工具
  8. Mac OS分析工具
  9. 网络取证工具
  10. 数据库取证工具

数字取证的法律考虑是什么?

数字媒体的检查受国家和国际法律的保护。对于民事调查,法律可能会限制可以检查的内容。对网络监视或阅读个人通讯的限制很常见。

同样,刑事调查可能受到国家法律的限制,该法律规定可以查获多少信息。例如,联合王国的《 PACE法案》规定了执法人员没收证据的行为。 1990年的计算机滥用法案禁止对计算机材料进行未经授权的访问,这使英国的民事调查人员很难。 

尚未决定的普遍考虑因素之一是个人'的隐私权。美国《电子通信隐私法》对执法人员和民事调查人员拦截和获取证据的能力设置了限制。 

该行为区分了存储的通信(例如电子邮件档案)和传输的通信(例如VOIP)。传输的通信更多地被视为侵犯隐私,因此更难获得授权。 

数字证据与其他证据属于同一法律准则。 

通常,涉及数字证据的法律涉及以下方面:

  • 诚信:  确保扣押和获取数字媒体的行为不会修改证据(原始证据或副本)。
  • 真实性: 确认信息完整性的能力。从犯罪现场到分析再到法院的监管链,以审计追踪的形式,是建立证据真实性的重要组成部分。

数字取证的每个分支机构都有关于如何进行调查和处理数据的自己的指南。

数字取证的不同分支是什么?

Digital forensics is no longer synonymous with 计算机取证. It is increasingly concerned with data from other digital devices such as tablets, smartphones, flash drives 和 even cloud computing. 

通常,我们可以将数字取证分为五个分支:

  1. 计算机取证
  2. 移动设备取证
  3. 网络取证
  4. 法医数据分析
  5. 数据库取证

What is 计算机取证?

计算机取证或计算机取证科学是数字取证的一个分支,涉及在计算机和数字存储介质中找到的证据。计算机取证的目的是检查数字数据,以识别,保存,恢复,分析和呈现有关数字信息的事实和观点。  

它同时用于计算机犯罪和民事诉讼中。该学科具有与数据恢复类似的技术和原理,并具有旨在创建具有清晰监管链的合法审计跟踪的其他准则和实践。 

Evidence from 计算机取证 investigations is subjected to the same guidelines 和 practices of other digital evidence. 

什么是移动设备取证?

移动设备取证是数字取证的一个分支,致力于使用合理的取证方法从移动设备中恢复数字证据。 

虽然短语“移动设备”通常是指移动电话,但它可以涉及具有内部存储器和通信能力的任何设备,包括PDA设备,GPS设备和平板电脑。 

尽管在犯罪中使用移动电话已被广泛认可多年,但对移动电话的法医研究还是一个新领域,始于1990年代后期。 

对移动设备取证的需求不断增长是由以下因素推动的:

  • 使用手机存储和传输个人和公司信息
  • 在线交易中使用手机

也就是说,由于以下原因,移动设备取证尤其具有挑战性:

  • 证据和技术挑战,例如小区位置分析,这使得可以大致确定发出或接收呼叫的小区位置区域,但不能确定特定位置(例如地址)
  • 手机外形尺寸,操作系统,数据存储,服务,外围设备甚至针式连接器和电缆的变化
  • 存储容量增长
  • 他们的专有性质
  • 设备关闭或空闲时挂起进程的休眠行为

这些挑战的结果是,存在许多从移动设备中提取证据的工具。但是,没有一种工具或方法可以从所有设备中获得所有证据。这迫使法医检查员,尤其是那些希望成为专家证人的法医,必须接受广泛的培训,以了解每种工具和方法如何获取证据,如何保持法证的健全性以及如何满足法律要求。 

什么是网络取证?

网络取证是数字取证的一个分支,其重点是监视和分析计算机网络流量以进行信息收集,法律证据或入侵检测。

与数字取证的其他分支不同,网络数据是易变且动态的。一旦传输完毕,它就消失了,因此网络取证通常是一种主动调查。  

网络取证有两个一般用途:

  1. 监视网络中的异常流量并识别入侵。
  2. 执法部门可以将捕获网络流量分析为刑事调查的一部分。

什么是取证数据分析?

取证数据分析(FDA)是数字取证的一个分支,它检查有关金融犯罪事件的结构化数据。目的是发现和分析欺诈活动的模式。结构化数据是来自应用程序系统或其数据库的数据。 

这可以与从通信,办公应用程序和移动设备获取的非结构化数据形成对比。非结构化数据没有总体结构,因此分析意味着应用关键字或映射模式。非结构化数据的分析通常由计算机取证或移动设备取证专家完成。 

什么是数据库取证?

数据库取证是与数据库及其相关元数据有关的数字取证的一个分支。服务器中也可能存在缓存的信息's RAM需要实时分析技术。 

数据库的取证检查可能涉及应用于关系数据库中行的更新时间的时间戳,该关系数据库正在检查和测试有效性以验证数据库用户的行为。可替代地,它可以集中于识别数据库或应用程序内的交易,该交易指示错误行为的证据,例如欺诈。  

哪些学位和证书对数字取证有用?

传统上,数字取证从业人员来自一般计算机科学背景,是经验丰富的系统管理员,他们对数字取证所使用的许多工具感到满意,或者他们在学徒模型中学习了这项工作。

由于对数字取证的需求不断增长且专业化程度不断提高,大学,学院和在线教育提供商现在提供数字取证的学位或证书,例如:

  • 普渡大学'的网络安全与取证实验室提供了一个硕士'网络法证学士学位
  • 尤蒂卡学院提供学士学位'以网络犯罪调查和取证为重点的网络安全和信息保证学位
  • 尚普兰学院提供在线学士学位's degree in 计算机取证
  • 纽约城市大学提供在线硕士学位'数字取证和网络安全学位
  • 马里兰大学大学学院提供在线硕士学位'数字取证和网络安全学位
  • SAN提供了全球信息保证认证(GIAC),法证审查员认证和法证分析师认证

数字取证可以提供哪些职位?

数字取证的职位取决于专业和资历,具有调查员,技术员或分析师之类的头衔,而公共部门的大多数职位,例如执法,州或国家机构或犯罪实验室。

就是说,由于网络安全风险的增加,许多组织正在聘请自己的数字取证专家来帮助预防和查明造成这种情况的原因。 网络攻击 like malware,  勒索软件  like  想哭  or 社会工程学 像社交媒体这样的攻击  网络钓鱼 。第三方供应商使用率的增加意味着 网络安全从未如此重要。数字取证可能也有助于 供应商风险管理 and 第三方风险管理第三方风险 and 第四方风险 从来没有更高。 

而且'这是一条非常有利可图的职业道路。根据  薪级表 ,法医计算机分析师的平均年薪约为72,000美元,最高约为116,000美元。

UpGuard 如何改善您的网络安全

UpGuard  helps companies 喜欢  洲际交流 泰勒·弗莱 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA保护其数据并防止数据泄露。

UpGuard BreachSight's域名抢注模块 can reduce the  网络风险   相关  抢注 and 漏洞,以及预防  违反 ,避免监管罚款并保护您的客户'通过网络的信任 安全等级 和连续曝光检测。 

我们也可以为您提供帮助 持续监控,评估安全问卷并将其发送给您的供应商 to control 第三方风险 并改善您的安全状况,以及 自动创建清单,执行策略并检测对IT基础架构的意外更改.

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
 UpGuard 客户支持团队 UpGuard 客户支持团队 UpGuard 客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
 传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  •  检查图标
    您可以立即采取行动的即时见解
  •  检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状