第四周

  • Post author:
  • Post category:其他




第四周



描述如何在私人部门事故现场收集证据

私营部门组织包括中小型企业、大公司和非政府组织(ngo),它们可能会从政府或其他机构获得资金。

州的公开披露法规定州的公共记录是公开的,可以查看的。例如,在法院等公共部门登记的离婚,除非法官下令封存文件,否则就成为公共记录事项。任何人都可以要求一份公开的离婚判决书。

在公司环境中调查和控制电脑事故现场比在犯罪现场要容易得多。在私营部门,事故现场往往是一个工作场所,如一个封闭的办公室或生产区域,在那里进行调查。

违反公司政策的电脑到周围的设施,一切都在一个受控制的权力之下—也就是公司管理层。一般来说,企业都有计算机硬件和软件的库存数据库。访问这些数据库并了解可疑计算机上的哪些应用程序有助于确定分析策略违规所需的取证工具以及进行分析的最佳方式。

例如,公司可能有首选的 Web 浏览器,如 Microsoft InternetExplorer、Mozila Firefox或谷歌 Chrome。



解释处理执法犯罪现场的指导方针

以下是调查人员在处理数字证据时的一般任务:

1保存和记录证据。

2分析、识别和组织证据。

3重建证据或重复一个情况,以验证结果可以可靠地复制。

4在处理犯罪或事故现场时,必须系统地收集数字设备。

为了减少混乱,减少丢失证据的风险,并避免损坏证据,只有一个团队应该在犯罪现场或实验室收集和分类数字证据(如果可行的话)。如果有太多的证据或太多的系统使一个团队执行这些任务变得实际,所有的审查员必须遵循相同的既定操作程序,并且一个领导或管理审查员应该控制收集和编目证据。还应该使用标准化的表单(稍后在“记录证据”中讨论)来跟踪证据,以确保以安全、可靠的方式始终如一地处理证据。

调查人员今天面临的一个重要挑战是建立公认的数字证据标准。例如,有些案件涉及在许多国家同时进行的警察突袭,以及在世界各地几个地点进行的反卡特尔调查。结果有多个站点的证据被没收和数以百计的数字证据,包括硬盘驱动器、手机和其他存储设备。如果这些国家的执法和民间组织就适当的程序达成协议(一般来说,所有司法管辖区的证据收集应适用最高的控制标准),则任何司法管辖区都可以自信地提供证据。



列出准备证据搜查的步骤



为搜索做准备

在数码调查中,为搜查和没收电脑或数码设备做准备可能是最重要的一步。准备得越充分调查就会越顺利。在搜索证据之前应该执行的任务,对于这些任务,可能需要从受害者(申诉人)和线人那里得到答案,他们可能是被指派到该案件的警探、执法证人或调查相关人员的经理或同事。



确定案件的性质

当被分配到一个数字调查案件时,首先要确定案件的性质,包括它是否涉及私营部门或公共部门。例如,一项公司调查可能涉及一名员工滥用互联网特权,过度浏览网页,或一名员工提交了平等就业机会(EEO)或道德投诉。严重的案件可能涉及员工滥用公司数字资产来收购或交付违禁品。



识别操作系统或数字设备的类型

接下来,确定调查中涉及的OSs的类型。对于执法部门来说,这一步可能比较困难,因为犯罪现场不受控制。可能不知道哪种数字设备被用于犯罪,它们是如何被使用的,在哪里被使用的。在这种情况下就必须利用技能、创造力和知识来源,来应对未知。

如果可以识别操作系统或设备,估计可疑计算机上存储设备的大小,并确定在现场需要处理多少个数字设备。另外,确定可能涉及的硬件,以及证据是否在微软、Linux、苹果或大型机上。对于企业调查人员来说,配置管理数据库(在第﹖章中讨论)使这一步变得更容易。私营部门的顾问或执法人员可能必须进行更彻底的调查,以确定这些细节。



决定是否可以扣押电脑和数字设备

一般来说,事故或犯罪现场的理想情况是扣押电脑和数字设备,并将它们带到实验室进行进一步处理。然而,案件的类型和证据的位置决定了是否可以从现场移除数字设备。执法调查人员需要有搜查令才能将电脑从犯罪现场转移到实验室。如果转移电脑会对企业造成不可挽回的伤害,这些电脑不应该被移出现场,除非已经向法官透露了扣押的影响。另一个复杂的问题是存储在场外的文件需要远程访问。必须决定是否需要检查包含这些文件的驱动器。另一个需要考虑的问题是云存储的可用性,它基本上无法通过物理方式定位。数据存储在驱动器上,来自许多其他订阅者的数据可能存储在驱动器上。

如果不允许把计算机和数字设备带到你的实验室,请确定需要哪些资源来获取数字证据,以及哪些工具可以加速数据采集。对于较大的驱动器,如 tb或更大的驱动器,获取时间可能会增加到几个小时。在第3章中研究了数据采集软件,并了解了哪些工具可以满足获取磁盘映像的需求。有些软件,如 EnCase,可以在生成法医图像时压缩数据。对于大型驱动器,可能需要进行这种压缩。



对地点的详细描述

关于数字犯罪地点的信息越多,从犯罪现场收集证据的效率就越高。环境和安全问题是这一过程中主要关注的问题。在到达事故或犯罪现场之前,确定对自己和其他检查人员的安全的潜在危险。



描述如何保护电脑事故或犯罪现场

处理执法犯罪现场

要正确处理犯罪现场,必须熟悉搜查和扣押的刑事规则,还应该了解搜查令的工作原理以及处理搜查令时应该做什么。对于美国的所有刑事调查,第四修正案限制了政府搜查和获取证据的方式。执法人员只有在有合理理由的情况下才能搜查和扣押刑事证据。合理理由是指规定警察是否有权进行逮捕、进行人身或财产搜查或获得逮捕令的标准。在有合理理由的情况下,警官可以从法官处获得搜查令,授权搜查和扣押与刑事指控有关的特定证据。

第四修正案规定,只有“特别说明要搜查的地点和要扣押的人或物”的搜查令才能签发。请注意,这段摘录使用了“特别”这个词。法院已经确定这个短语的意思是搜查令只能授权搜查特定地点的特定事物。没有具体的证据。



解释在现场获取数字证据的指导原则列出存储数字证据的程序

对计算机记录进行分类的另一种方法是将它们分为计算机生成的记录和计算机存储的记录。计算机生成的记录是系统维护的数据,如系统日志文件、代理服务器日志等。它们是由计算机程序或算法生成的输出,而不是通常由人创建的数据。然而,计算机存储记录是人们在计算机或数字设备上创建并保存的电子数据,如电子表格或文字处理文档。有些记录结合了计算机生成的和计算机存储的证据,例如包含由一个人的输入(钎算机存储)产生的数学运算(计算机生成记录)的电子表格记录)。

计算机和数字存储的记录也必须显示真实和值得信赖,才能作为证据。如果创建输出的程序运行正常,计算机生成的记录就被认为是真实的。这些记录通常被认为是传闻规则的例外。要让计算机存储的记录进入法庭,它们还必须满足传闻规则的一个例外,通常是商业记录例外,所以它们必须是定期进行的商业活动的真实记录。为了证明计算机存储的记录是真实的,提供记录的人必须证明是一个人创建的数据,并且这些数据是可靠的和值得信赖的一—换句话说,当它被获取或之后没有被更改。



解释如何获取数字散列

为了验证数据完整性,已经开发了不同的方法来获取文件数据的唯一标识。第一种方法是循环冗余检查(CRC),它是一种数学算法,用来确定文件的内容是否发生了变化。最新的版本是 CRC-32。然而,CRC 并不被认为是一种验证哈希算法。第一个用于数字取证的算法是消息摘要5(MD5)。与CRC一样,MD5是一个数学公式,它根据文件、文件夹或整个驱动器的内容生成一个十六进制码值或散列值。如果文件中的位或字节发生了变化,它就会改变哈希值,这是一个惟一的十六进制值,可用于验证文件或驱动器是否发生了变化或被篡改。在处理或分析文件之前,可以使用软件工具计算其哈希值。处理该文件后,将生成另一个数字散列。如果它与原始文件相同,可以用数学证明文件没有更改来验证数字证据的完整性。

根据来自北京清华大学和山东理工大学的王晓云(音译)及其同事的研究,法庭哈希法有三条规则:

·无法预测文件或设备的哈希值。

没有两个哈希值可以是相同的。(注意,在使用超级计算机的研究中也曾发生过碰撞。)如果文件或设备发生了任何变化,哈希值必须改变。

另一个哈希算法是由美国国家标准与技术研究所(NIST)开发的安全哈希算法版本1(SHA-1)。SHA-1已经慢慢取代MD5和CRC-32,尽管MD5仍然被广泛使用。在 MD5和 SHA-1中,都发生了冲突,这意味着两个不同的文件具有相同的哈希值。然而,冲突很少,尽管MD5和SHA-1存在缺陷,它们仍然被用于验证从文件和存储媒体收集的数字证据。如果怀疑有冲突,可以逐个字节进行比较,以验证所有字节都是相同的。逐字节比较可以用 MS-Doscomp命令或LinuxUNIX diff 命令进行。然而,这个领域不断有新的发展,所以通过调查NIST网站和阅读相关期刊来了解最新情况是一个好主意。新的版本,例如 SHA 256,已经在使用。大多数数字取证的哈希需求都可以通过非键控哈希集来满足,非键控哈希集是由软件工具(如Linux md5sum命令)生成的唯一哈希数。这种哈希类型的优点是,它可以识别已知的文件,如可执行程序或病毒,这些文件通过更改名称来隐藏自己。例如,许多人在浏览或传播色情内容时,会更改文件名和扩展名,以掩盖内容的本质。然而,即使文件的名称和扩展名改变,散列值也不会改变。



版权声明:本文为weixin_43721828原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。