发布日期:2024 年 2 月 16 日
撰稿人:Annie Badman、Amber Forrest
数字取证是以确保其完整性和在法庭上的可采纳性的方式收集和分析数字证据的过程。
数字取证是司法鉴定学的一个领域。它用于调查网络犯罪,但也可以帮助进行刑事和民事调查。例如,网络安全团队可能会使用数字取证来识别恶意软件攻击背后的网络罪犯,而执法机构可能会使用它来分析谋杀嫌疑人设备的数据。
数字取证具有广泛的应用,因为它将数字证据像任何其他形式的证据一样对待。正如官员使用特定流程从犯罪现场收集物证一样,数字取证调查人员在处理数字证据时也遵循严格的取证流程(也称为监管链),以避免篡改。
数字取证和计算机取证通常互换使用。不过,从技术上讲,数字取证涉及从任何数字设备中收集证据,而计算机取证则涉及专门从计算机设备(如电脑、平板电脑、手机和带 CPU 的设备)中收集证据。
数字取证和事件响应 (DFIR) 是一门新兴的网络安全学科,它集成了计算机取证和事件响应活动,以加速网络威胁的补救,同时确保任何相关的数字证据不受损害。
数字取证或数字取证科学在 20 世纪 80 年代初随着个人计算机的兴起首次出现,并在 20 世纪 90 年代变得广为人知。
然而,直到 21 世纪初,美国等国家才正式制定了数字取证政策。向标准化进行转变是由于 2000 年代计算机犯罪的增加和执法机构在全国范围内的权力下放。
随着涉及数字设备的犯罪越来越多,以及越来越多的个人参与起诉这些犯罪,官员们需要制定程序来确保刑事调查以法庭可采纳的方式处理数字证据。
如今,数字取证变得越来越重要。要理解为什么,请考虑几乎每个人和每件事中可用的海量数字数据。
随着社会继续越来越依赖计算机系统和云计算技术,个人继续通过越来越多的设备进行更多的在线生活,包括手机、平板电脑、IoT 设备、联网设备等。
其结果是,较之从前,调查人员能够从更多的来源、以更多的格式获取更多的数据,并将其作为数字证据来分析和了解日益增多的犯罪活动,包括网络攻击、数据泄露以及刑事和民事调查。
此外,与所有实物或数字证据一样,调查人员和执法机构必须正确收集、处理、分析和存储证据。否则数据可能会丢失、被篡改或在法庭上不被采纳。
取证专家负责进行数字取证调查,随着该领域需求的增长,工作机会也随之增加。美国劳工统计局估计,到 2029 年,计算机取证职位空缺将增加 31%(ibm.com 外部链接)。
美国国家标准与技术研究院 (NIST)(ibm.com 外部链接)概述了数字取证分析过程的四个步骤。
这些措施包括:
识别包含与数字取证调查相关的数据、元数据或其他数字信息的数字设备或存储媒体。
对于刑事案件,执法机构将从潜在的犯罪现场扣押证据以确保严格的监管链。
为了保持证据的完整性,取证小组使用硬盘复制器或取证成像工具获取数据的取证副本。
完成复制过程后,他们会保护原始数据并对副本进行其余的调查以避免篡改。
调查人员通过梳理数据和元数据,寻找网络犯罪活动的迹象。
取证审查员可以从各种来源恢复数字数据,包括网络浏览器历史记录、聊天记录、远程存储设备、已删除空间、可访问的磁盘空间、操作系统缓存以及计算机化系统的几乎任何其他部分。
取证分析师使用不同的方法和数字取证工具从数字证据中提取数据和见解。
例如,为了发现“隐藏”的数据或元数据,他们可能会使用专门的取证技术,例如实时分析,以便评估仍在运行的系统中的不稳定数据,或反向隐写术,使用隐写术(一种在看似普通的消息中隐藏敏感信息的方法)暴露隐藏的数据。
调查人员还可以参考专有和开源工具,将调查结果与特定的威胁参与者联系起来。
一旦调查结束,取证专家就会创建一份正式报告,概述他们的分析,包括发生的事情和可能负责的人。
报告因具体情况而异。对于网络犯罪,他们可能会提出修复漏洞的建议,以防止未来的网络攻击。报告还经常用于在法庭上展示数字证据,并与执法机构、保险公司、监管机构和其他当局共享。
当数字取证在 20 世纪 80 年代初出现时,很少有正式的数字取证工具。大多数取证团队都依赖于实时分析,这是一种声名不佳的棘手做法,会带来巨大的篡改风险。
到 20 世纪 90 年代末,对数字证据的需求增长促使了 EnCase 和 FTK 等更复杂工具的开发,从而让取证分析人员可以检查数字媒体的副本而无需进行现场取证。
如今,取证专家使用多种数字取证工具。这些工具可以是基于硬件的,也可以是基于软件的,并且可以在不篡改数据的情况下分析数据源。常见示例包括用于提取和分析单个文件的文件分析工具,以及用于从基于 Windows 的计算系统收集信息的注册表工具,该工具会对注册表中的用户活动进行编目。
某些提供商还提供用于特定取证目的的专用开源工具,例如 Encase 和 CAINE 等商业平台,可提供全面的功能和报告能力。具体来说,CAINE 拥有一整套针对取证团队需求而定制的 Linux 发行版。
数字取证学包含依取证数据来源区分的不同分支。
一些最受欢迎的数字取证分支包括:
- 计算机取证(或网络取证):结合计算机科学和法律取证,从计算设备收集数字证据。
- 移动设备取证:调查和评估智能手机、平板电脑和其他移动设备上的数字证据。
- 数据库取证:检查和分析数据库及其相关元数据,以发现网络犯罪或数据泄露的证据。
- 网络取证:监控和分析计算机网络流量中发现的数据,包括网页浏览和设备之间的通信。
- 文件系统取证:检查存储在台式机、笔记本电脑、手机和服务器等终端设备上的文件和文件夹中的数据。
- 内存取证:分析设备随机存取存储器 (RAM) 中的数字数据。
当计算机取证和事件响应(检测和缓解正在进行的网络攻击)独立进行时,它们可能会相互干扰,从而给组织带来负面结果。
事件响应团队可以在消除网络威胁的同时,更改或销毁数字证据。取证调查员在寻找和采集证据时可能会推迟解决威胁。
数字取证和事件响应 (DFIR) 将计算机取证和事件响应合并为一个集成的工作流程,可以帮助信息安全团队更快地阻止网络威胁,同时还可以保存在紧急缓解威胁时可能丢失的数字证据。
DFIR 的两个主要好处包括:
- 收集取证数据与缓解威胁同时进行:事件响应人员在遏制和消除威胁时使用计算机取证技术来收集和保存数据,确保遵循适当的监管链,并且有价值的证据不会遭到更改或破坏。
- 事件后审查包括检查数字证据:除了保存证据供采取法律行动之外,DFIR 团队还利用它重建网络安全事件的始末,以了解发生的事件、发生过程、损害程度以及如何避免类似的攻击。
DFIR 可以加快缓解威胁、实现更稳定的威胁恢复以及改善调查刑事案件、网络犯罪、保险索赔以及其他安全事件的证据质量。
借助 IBM 创新技术,警报调查和分类方面的改进高达 55%。