1、1取证是一门科学及艺术,取证人员必须掌握与犯罪行为所涉及的电子数据的恢复、身份验证和分析有关的专业技能。它融合了计算机科学、信息技术、工程与法律。与其他人讨论计算机取证时,你可能听说过术语数字取证、网络取证、电子数据发现、网络取证以及取证计算。(ISC)2将计算机取证用作为其他所有术语的同义词,这种情况也体现在CISSP考试中。计算机取证涵盖了证据是数字或电子形式、位于存储介质中或线路上的所有领域。计算机取证过去一度不同于网络和编码分析,不过现在这个完整的领域称为数字证据。无论取证调查员选择使用哪一种方法来收集数字证据,都必须进行相应的记录。这是证据处理中最重要的方面。取证团队需要专门的工具:
2、证据收集笔记簿、容器、照相机、证据标识标记。笔记簿应当不能是螺旋形装订的,而必须是捆绑形的,这样人们可以看出是否存在被取走的页码。数字证据必须同样小心处理,以便无论在哪个国家起诉嫌疑犯,都可以将其在不同的法庭上出示。2动机是犯罪中的“谁”和“为什么”,它可以由内部或外部条件引起。机会是犯罪中的“何时”与“何地”。方式关系到罪犯需要获得成功的能力。与传统犯罪一样,计算机犯罪也具有特定的惯用手法(Modus Operandi,MO)。换句话说,罪犯使用不同的操作手法来进行犯罪,这可以用于帮助标识各类犯罪。计算机犯罪与传统犯罪的差异显而易见,即调查员必须了解技术。罗卡交换原则(Locards Pri
3、nciple of Exchange)也提供便于定形的信息,该原则认定罪犯在带走一些东西的时候会遗留下一些东西。这个原则是刑事学的基础。即使在完全数字化的犯罪现场中,罗卡交换原则也能够发现谁可能是犯罪者。3调查员能够标识可疑活动,如端口扫描、SQL注入尝试或者隐藏在描述所发生危险活动的日志中的证据。标识反常活动往往更加困难,因为这种活动并不十分明显。这些活动可能表现为网络流量增加、一名员工工作到很晚、对网络服务器上特殊端口的不寻常请求等。除了奉行法律法规之外,调查员还必须理解取证措施和证据收集问题,知道如何分析某种情况以决定采取何种行动,并且能够从系统日志中找出线索。调查员能够进行的各种评估网
4、络分析 流量分析 日志分析 路径追踪介质分析 磁盘镜像 时间分析(修改、访问、创建)注册分析 松弛空间分析 隐藏的秘密信息软件分析 逆向工程 恶意代码审查 漏洞审查硬件/嵌入式设备分析 专用设备攻击点 固件和专用内存检查 嵌入式操作系统、虚拟软件和虚拟化管理层分析4取证调查过程包括了刑事学的原则。这些原则是:犯罪现场的标识、防止环境受到污染及证据丢失、证据和潜在证据源的标识以及证据的收集。控制犯罪现场无论犯罪现场是物理的还是数字的,为了确保数据的完整性,控制接触犯罪证据的人十分重要。保管链保持一个适当的关于证据的保管链。因为这类犯罪的证据可能非常容易丢失,并且很容易由于不当处理而被法庭拒绝接受
5、,所以在每个案件(无一例外)中收集和标记证据时都必须执行非常严格的、有组织的措施。此外,保管链应当密切注意证据的完整生命周期,从标识开始,到销毁、永久归档或返回所有者为止。保管链是一个历史记录,它展示如何收集、分析、传输及保存证据,从而可呈现在法庭上。由于电子证据很容易被修改,因此清晰定义的保管链能证明这种证据是可信任的。5计算机日志在IT世界的许多方面都很重要,并且通常用作为解决某个问题或者理解特定时刻发生的一起事件。要将计算机日志作为法庭证据,它们必须是在业务的规范过程中收集的。大多数时候,与计算机相关的文件被认为是传闻,也就是说,证据是第二手的。这种证据通常是不被法庭认可的,除非有第一手
6、的证据来证明证据的正确性、可靠性,例如生成计算机日志并把它们收集起来的专业人员,这个人将生成和收集日志作为其业务的一个正常部分,而并不只是为此次法庭使用,这一点十分重要。证据的价值依赖于来源的真实性和能力。一定要注意出示日志及所有证据,并且它们未以任何方式被损坏,这也就是需要证据保管链的原因。当证据已收集好时,要面对的一个问题是用户对隐私权的期望。如果一名员工有嫌疑并被指控实施了计算机犯罪,那么他可能声称其放在计算机上的文件是个人的,不得为执法部门和法庭使用。这正是为什么公司要进行安全意识培训,让员工签署关于公司计算机及设施使用要求的合同,并在每名员工登录计算机时弹出法规条款字幕。这些条款是确定用户在使用公司设备时无隐私权的关键因素。证据有自己的生命周期,调查中所涉及的个人理解这些生命周期的不同阶段并完全服从它,这一点是十分重要的。证据的生命周期包括:收集和标识存储、保管和运输法庭出示将证据返还给受害者或所有者一定要考虑到这样的可能性:作为信息安全专业人员,你可能负责向法庭提交证据。大多数特别法庭、委员会和其他半法律诉讼都有容许要求。因为这些要求在不同司法职权范围之间有所变化,所以你应当寻求法律顾问的帮助,以便更好地理解具体司法职权范围的特定规则。678