Toc
  1. 同读一本书-第四章
    1. 识别数字证据
    2. 了解证据规则
    3. 指导-处理私人部门的现场
    4. 指导-处理执法犯罪现场
    5. 取证流程
      1. 识别操作系统或数字设备的类型
      2. 是否可以扣押电脑和数字设备
      3. 对地点的详细描述
      4. 确定 你需要的工具
    6. 保护电脑事故或犯罪现场
Toc
0 results found
Rayi
取证读书笔记-第四章

本章主要介绍了数字取证的规则,现场取证的指导方法、步骤、保护策略

同读一本书-第四章

本章主要介绍了数字取证的规则,现场取证的指导方法、步骤、保护策略

识别数字证据

数字证据可以是任何以数字形式存储或传输的信息。因为你不能直接看到或触摸数字数据,所以很难解释和描述。

数字证据是真实的还是虚拟的?磁盘或其他存储介质上的数据是物理上存在的,还是仅仅表示真实的信息?美国法院将数字证据视为实物证据,这意味着数字数据被视为 有形物体,如与刑事或民事事件相关的武器、纸质文件。

我国有一个单独的证据种类:电子数据

电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息

以下是调查人员在处理数字证据时的 一般任务∶

  • 识别可作为证据的数字信息或人工制品 。

  • 收集、保存和记录证据。

  • 分析、识别和组织证据。

  • 重建证据或重复一个情况,以验证结果可以可靠地复制。

在处理犯罪或事故现场时,必须系统地收集数字设备。为了减少混乱,减少丢失证据的风险,并避免损坏证据,只有一个团队应该在犯罪现场或实验室收集和分类数字证据(如果可行的话)。

太多的证据或太多的系统使一个团队执行这些任务变得实际,所有的侦查员必须遵循相同的既定操作程序,并且一个领导或管理审查员应该控制收集和编目证据。

还应该使用标准化的表单(稍后在”记录证据”中讨论)来跟踪证据,以确保以安全、可靠的方式始终如一地处理证据。

了解证据规则

一贯的做法有助于验证你的工作,提高你的可信度,所以你必须始终如一地处理所有证据。在民事诉讼中应用与重大犯罪相同的证据安全和问责控制,以遵守你所在州的证据规则或联邦证据规则(FRE)。

此外,要记住,刑事案件中承认的证据也可能用于民事诉讼,反之亦然。例如,假设某人被指控谋杀,但在刑事审判中被无罪释放,因为陪审团没有排除合理的怀疑来说服这个人有罪。

但是,如果有足够的证据表明被告的过失导致了非正常死亡,受害者的亲属可以在民事诉讼中使用该证据来获得损害赔偿

对计算机记录进行分类的另一种方法是,将它们分为计算机生成的记录和计算机存储的记录。计算机生成的记录是系统维护的数据,如系统日志文件、代理服务器日志等。

它们是由计算机程序或算法生成的输出,而不是通常由人创建的数据。

然而,计算机存储记录是人们在计算机或数字设备上创建并保存的电子数据,如电子表格或文字处理文档。

有些记录结合了计算机生成的和计算机存储的证据,例如包含由一个人的输入(计算机存 储)产生的数学运算(计算机生成记录)的电子表格计算机和数字存储的记录也必须显示真实和值得信赖,才能作为证据。

如果创建输出的程序运行正常,计算机生成的记录就被认为是真实的。这些记录通常被认为是传闻规则的例外。

要让计算机存储的记录进入法庭,它们还必须满足传闻规则的一个例外,通常是商业记录例外,所以它们必须是定期进行的商业活动的真实记录。

为了证明计算机存储的记录是真实的,提供记录的人必须证明是一个人创建的数据,并且这些数据是可靠的和值得信 赖的——换句话说,当它被获取或之后没有被更改。根据已批准的证据控制步骤收集证据有助于确保计算机证据是真实的,使用已建立的取证软件工具也是如此。

法院一贯裁定,法医调查人员不必是他们所使用工具的主题专家。在美国诉萨尔加多案(250 F.3d 438,453,第6期 Cir., 2001)中,法院声明∶”计算机程序员没有必要为了验证计算机生成的记录而作证。换句话说,证人必须只对与案件有关的 事实有第一手的了解。如果您必须证明您在获取、保存和分析证据方面所扮演的角色, 您不必了解您所使用工具的内部工作原理,但您应该了解它们的目的和操作。例如,MD5 (Message Digest 5)和 SHA-1(Secure Hash Algorithm)工具使用复杂的算法。在交叉询问时,对方律师可能会问你这些法医工具是如何工作的。你可以安全地证明你不知道MD5 哈希算法是如何工作的,但是你可以描述在 OSForensics 中使用 MD5函数的步骤。

国内的证据规则与美国略有不同

指导-处理私人部门的现场

私营部门组织包括中小型企业、大公司和非政府组织(ngo),它们可能会从政府或其他机构获得资金。

在美国,非政府组织和类似机构必须遵守各州的《公开披露和联邦信息自由法》(FOIA),并将某些文件作为公共记录提供给公众。

州的公开披露法规定州的公共记录是公开的,可以查看的。例如,在法院等公共部门登记的离婚,除非法官下令封存文件,否则就成为公共记录事项。任何人都可以要求一份公开的离婚判决书。

在公司环境中调查和控制电脑事故现场比在犯罪现场要容易得多。在私营部门,事故现场往往是一个工作场所,如一个封闭的办公室或生产区域,在那里进行调查。

违反公司政策的电脑到周围的设施,一切都在一个受控制的权力之下—也就是公司管理层。一般来说,企业都有计算机硬件和软件的库存数据库。访问这些数据库并了解可疑计算机上的哪些应用程序有助于确定分析策略违规所需的取证工具以及进行分析的最佳方式。

例如,公司可能有首选的 Web 浏览器,如 Microsoft InternetExplorer、Mozila Firefox或谷歌 Chrome。

了解嫌疑人使用的浏览器可以帮助您开发标准的检查程序,以识别下载到嫌疑人工作站的数据。

指导-处理执法犯罪现场

要正确处理犯罪现场,你必须熟悉搜查和扣押的刑事规则。你还应该了解搜查令的工作原理以及处理搜查令时应该做什么。

对于美国的所有刑事调查,第四修正案限制了政府搜查和获取证据的方式。执法人员只有在有合理理由的情况下才能搜查和扣押刑事证据。合理理由是指规定警察是否有权进行逮捕、进行人身或财产搜查或获得逮捕令的标准。

在有合理理 由的情况下,警官可以从法官处获得搜查令,授权搜查和扣押与刑事指控有关的特定证据。

第四修正案规定,只有”特别说明要搜查的地点和要扣押的人或物”的搜查令才能签发。 请注意,这段摘录使用了”特别”这个词。法院已经确定这个短语的意思是搜查令只能授 权搜查特定地点的特定事物。

取证流程

识别操作系统或数字设备的类型

接下来,确定调查中涉及的 OSs 的类型。对于执法部门来说,这一步可能比较困难,因为犯罪现场不受控制。你可能不知道哪种数字设备被用于犯罪,它们是如何被使用的,在哪里被使用的。在这种情况下,你必须利用你的技能、创造力和知识来源,如第 2 章中讨论的统一犯罪报告,来应对未知。

如果可以识别操作系统或设备,估计可疑计算机上存储设备的大小,并确定在现场需要处理多少个数字设备。另外,确定可能涉及的硬件,以及证据是否在微软、Linux、苹果或大型机上。对于企业调查人员来说,配置管理数据库(在第 2 章中讨论)使这一步变得更容易。

私营部门的顾问或执法人员可能必须进行更彻底的调查,以确定这些细节。

是否可以扣押电脑和数字设备

一般来说,事故或犯罪现场的理想情况是扣押电脑和数字设备,并将它们带到实验室进行进一步处理。然而,案件的类型和证据的位置决定了你是否可以从现场移除数字设备。执法调查人员需要有搜查令才能将电脑从犯罪现场转移到实验室。如果转移电脑会对企业造成不可挽回的伤害,这些电脑不应该被移出现场,除非你已经向法官透露了扣押的影响。

另一个复杂的问题是存储在场外的文件需要远程访问。您必须决定是否需要检查包含这些文件的驱动器。另一个需要考虑的问题是云存储的可用性,它基本上无法通过物理方式定位。数据存储在驱动器上,来自许多其他订阅者的数据可能存储在驱动器上。

如果不允许你把计算机和数字设备带到你的实验室,请确定你需要哪些资源来获取数字证据,以及哪些工具可以加速数据采集。对于较大的驱动器,如 tb 或更大的驱动器,获取时间可能会增加到几个小时。在第 3 章中,您研究了数据采集软件,并了解了哪些工具可以满足获取磁盘映像的需求。有些软件,如 EnCase,可以在生成法证图像时压缩数据。

对于大型驱动器,可能需要进行这种压缩。

对地点的详细描述

关于数字犯罪地点的信息越多,从犯罪现场收集证据的效率就越高。环境和安全问题是这一过程中主要关注的问题。在到达事故或犯罪现场之前,确定对你和其他检查人员的安全的潜在危险。

有些案件涉及到危险的环境,比如对冰毒实验室的缉毒行动,或者使用生物、化学或核 污染物的恐怖袭击。对于这些类型的调查,你必须依靠危险材料(HAZMAT)小组的技能从现场恢复证据。如果可能的话,回收过程可能包括对调查所需的数字部件进行净化。

如果你必须依靠危险品专家来获取数据,那就指导专家如何连接电缆和如何运行软件。你的指示必须准确而清晰。模棱两可或错误的指令可能会毁掉证据。

理想情况下,受过处理危险环境训练的数字取证调查员应该获取驱动器镜像。但是,并非所有组织都有这种培训的经费。

确定 你需要的工具

在你收集了尽可能多的关于事件或犯罪现场的信息后,你可以开始在现场列出你需要的东西。准备充分比准备不足要好,特别是当你确定你不能把电脑转移到你的实验室进行处理时。

为了管理您的工具,请考虑创建一个初始响应现场工具包和一个广泛响应现场工具包。使用正确的工具可以使处理事故或犯罪现场变得更容易,并将你从车上携带到现场的物品减少到最低限度

image-20210401114141646

image-20210401114206581

image-20210401114214619

image-20210401114221641

保护电脑事故或犯罪现场

调查人员确保事件或犯罪现场的安全,以保存证据,并对有关事件或犯罪的信息保密。公开的信息可能会危及调查。如果你负责保护一个数字事件或犯罪现场,使用隔离胶带防止旁观者意外进入现场,并要求警察或保安人员防止其他人进入现场或用智能手机或其他数字设备拍照和视频。

公司事件现场的法律权限包括非法侵入行为;对于犯罪现场,它包括妨碍司法或不服从警察。只有那些有特定原因的人才可以进入现场。确保事故或犯罪现场安全的标准做法的原因是 将控制范围扩大到现场的直接位置之外。这样,你就可以避免忽略一个可能是场景一部分的区域。缩小场景的边界比扩大它容易。

对于重大犯罪现场,数字调查员通常不负责确定现场的安全范围。这些案件涉及其他专家和侦探,他们正在收集物证并记录现场。对于主要涉及计算机的事件,计算机可以是犯罪 现场中的犯罪现场或二次犯罪现场,包含待处理的证据。证据在电脑里,但法院认为它是物证。

计算机和其他数字设备也可以包含实际的实物证据,如 DNA 证据或键盘上的指纹。犯罪实验室可以用特殊真空吸尘器提取

本文作者:Rayi
版权声明:本文首发于Rayi的博客,转载请注明出处!