计算机取证技术

先决条件：计算机取证介绍

上世纪 80 年代初，PC 变得越来越流行，更容易被普通民众使用，这也导致了计算机在各个领域的使用增加，犯罪活动也不例外。 “取证”一词是指利用科学技术在刑事或民事法庭调查和确定事实。取证是使用科学知识分析并向法庭提供证据的过程。

计算机取证是数字取证科学的一个分支，涉及在计算机和数字存储介质中发现的证据，它被定义为结合法律和计算机科学的元素来收集和分析来自无线通信、计算机系统、网络和存储的数据的学科以法院允许作为证据的方式使用。由于计算机取证是一门新学科，它的标准规则或实践并不多，整个行业和法院几乎没有标准化和一致性。

计算机取证的类型：

根据需要进行数字调查的领域，有多种类型的计算机取证。这些字段是：

• 网络取证
• 电子邮件取证
• 恶意软件取证
• 内存取证
• 手机取证
• 数据库取证
• 磁盘取证

有关更多详细信息，请参阅网络取证文章。

计算机取证中使用的技术：

计算机取证调查通常遵循典型的数字取证程序，即采集、检查、分析和报告。这些调查主要针对静态数据（磁盘映像）而不是实时数据或实时系统进行，尽管在早期的计算机取证时代，由于缺乏工具，调查人员过去常常处理实时数据。

计算机取证调查中使用了各种技术，例如：

• 跨驱动器分析：跨驱动器分析 (CDA) 是一种允许调查人员快速识别和关联来自多个数据源的信息或跨多个驱动器的信息的技术。现有方法包括使用文本搜索的多驱动关联，例如电子邮件地址、SSN、消息 ID 或信用卡号。
• 实时分析：它用于使用各种取证和系统管理工具从操作系统内部检查计算机，以从设备中获取信息。在取证分析中，易失性数据的收集非常重要，例如已安装的软件包、硬件信息等。这种方法在调查人员处理加密文件的情况下很有用。如果设备在交给调查员时仍处于活动状态并正在运行，调查员应从设备收集所有易失性信息，例如用户登录历史、打开哪些 TCP 和 UDP 端口、当前正在使用哪些服务以及正在运行的服务，等等。
• 已删除文件恢复：这是一种用于恢复已删除文件的技术。已删除的数据可以使用 CrashPlan、OnTrack EasyRecovery、Wise Data Recovery 等取证工具进行恢复或删除。
• 随机取证：它是一种取证重新建立数字伪影不足的数字活动的方法，从而分析由现代计算机的随机性产生的新兴模式。
• 隐写术：隐写术是一种将秘密信息隐藏在某物内部或之上的技术，该技术可以是从图像到任何类型的文件的任何东西。计算机取证调查人员可以通过查看和比较更改文件和原始文件的哈希值来解决此问题，即使在视觉检查中它们看起来相同，两个文件的哈希值也会不同。