Python 数字取证介绍

本章将向你介绍数字取证的全部内容及其历史回顾。你还将了解在现实生活中可以在哪里应用数字取证及其局限性。

什么是数字取证？

数字取证可以定义为分析、检查、识别和恢复驻留在电子设备上的数字证据的取证科学的一个分支。它通常用于刑法和私人调查。

例如，你可以依靠数字取证提取证据，以防有人窃取电子设备上的某些数据。

数字取证的简要历史回顾

计算机犯罪的历史和数字取证的历史回顾在本节中解释如下：

1970-1980 年代：第一次计算机犯罪

在这十年之前，没有发现任何计算机犯罪。但是，如果它应该发生，那么现有的法律就会处理它们。后来，在 1978 年，佛罗里达州计算机犯罪法承认了第一个计算机犯罪，其中包括禁止未经授权修改或删除计算机系统上的数据的立法。但随着时间的推移，由于技术的进步，计算机犯罪的范围也在增加。为了处理与版权、隐私和儿童色情相关的犯罪，还通过了其他各种法律。

1980-1990 年代：发展十年

这十年是数字取证的发展十年，这一切都归功于 Cliff Stoll 追踪名为 Markus Hess 的黑客的首次调查(1986 年)。在此期间，发展了两种数字取证学科——第一种是借助将其作为一种爱好的从业者开发的临时工具和技术，而第二种是由科学界开发的。 1992 年，该术语 “计算机取证” 在学术文献中被使用。

2000s-2010s：标准化十年

数字取证发展到一定程度后，需要制定一些具体的标准，在进行调查时可以遵循。因此，各种科学机构和团体已经发布了数字取证指南。 2002 年，数字证据科学工作组 (SWGDE) 发表了一篇名为“计算机取证最佳实践”的论文。帽中的另一根羽毛是欧洲主导的国际条约，即 《网络犯罪公约》 43个国家签署，16个国家批准。即使在这样的标准之后，仍然需要解决研究人员已经确定的一些问题。

数字取证过程

自 1978 年首次出现计算机犯罪以来，数字犯罪活动出现了巨大的增长。由于这种增量，需要结构化的方式来处理它们。 1984 年，引入了一个正式的流程，之后开发了许多新的和改进的计算机取证调查流程。

计算机取证调查过程涉及三个主要阶段，如下所述：

第 1 阶段：展品的采集或成像

数字取证的第一阶段涉及保存数字系统的状态，以便以后对其进行分析。这与从犯罪现场拍摄照片、血液样本等非常相似。例如，它涉及捕获硬盘或 RAM 的已分配和未分配区域的图像。

第 2 阶段：分析

该阶段的输入是采集阶段采集的数据。在这里，检查了这些数据以识别证据。该阶段给出以下三种证据：

• 有罪的证据 ： 这些证据支持特定的历史。

• 无罪证据 ： 这些证据与既定历史相矛盾。

• 篡改的证据 ： 这些证据表明，该系统被调和以避免识别。它包括检查文件和目录内容以恢复已删除的文件。

第 3 阶段：演示或报告

顾名思义，这个阶段呈现了调查的结论和相应的证据。

数字取证的应用

数字取证处理收集、分析和保存任何数字设备中包含的证据。数字取证的使用取决于应用程序。如前所述，它主要用于以下两种应用：

刑法

在刑法中，收集证据是为了支持或反对法庭上的假设。取证程序与刑事调查中使用的程序非常相似，但具有不同的法律要求和限制。

私人调查

主要是企业界使用数字取证进行私人调查。当公司怀疑员工可能在其计算机上执行违反公司政策的非法活动时使用它。数字取证为公司或个人在调查某人的数字不当行为时提供了最佳途径之一。

数字取证的分支

数字犯罪不仅限于计算机，黑客和犯罪分子也在大规模使用小型数字设备，如平板电脑、智能手机等。一些设备具有易失性存储器，而其他设备具有非易失性存储器。因此，根据设备的类型，数字取证具有以下分支：

计算机取证

这个数字取证分支处理计算机、嵌入式系统和 USB 驱动器等静态存储器。从日志到驱动器上的实际文件的广泛信息可以在计算机取证中进行调查。

移动取证

这涉及对来自移动设备的数据的调查。该分支不同于计算机取证，因为移动设备具有内置的通信系统，可用于提供与位置相关的有用信息。

网络取证

这涉及监控和分析计算机网络流量，包括本地和 WAN(广域网)，用于信息收集、证据收集或入侵检测。

数据库取证

数字取证的这个分支处理数据库及其元数据的取证研究。

数字取证调查所需的技能

数字取证检查员有助于跟踪黑客、恢复被盗数据、跟踪计算机攻击的源头，并协助其他类型的涉及计算机的调查。成为数字取证审查员所需的一些关键技能如下所述：

杰出的思维能力

数字取证调查员必须是杰出的思想家，并且应该能够在特定任务上应用不同的工具和方法以获得输出。他/她必须能够找到不同的模式并在它们之间建立相关性。

技术能力

数字取证审查员必须具备良好的技术技能，因为该领域需要网络知识，数字系统如何交互。

对网络安全充满热情

因为数字取证领域都是关于解决网络犯罪的，这是一项繁琐的任务，所以要成为一名王牌数字取证调查员需要极大的热情。

沟通技巧

良好的沟通技巧是与各个团队协调并提取任何丢失的数据或信息的必要条件。

善于做报告

在成功实施采集和分析后，数字法医检查员必须在最终报告和演示文稿中提及所有发现。因此，他/她必须具备良好的报告制作技巧和对细节的关注。

限制

数字取证调查提供了某些限制，如下所述：

需要拿出令人信服的证据

数字取证调查的主要挫折之一是审查员必须遵守法庭证据所要求的标准，因为数据很容易被篡改。另一方面，计算机取证调查员必须完全了解法律要求、证据处理和文件程序，才能在法庭上提供令人信服的证据。

调查工具

数字调查的有效性完全取决于数字取证审查员的专业知识和选择适当的调查工具。如果使用的工具不符合规定的标准，那么在法庭上，法官可以否认证据。

观众缺乏技术知识

另一个限制是有些人并不完全熟悉计算机取证；因此，很多人不了解这个领域。调查人员必须确保将他们的调查结果与法院沟通，以帮助每个人了解结果。

Cost

制作和保存数字证据的成本非常高。因此，许多负担不起成本的人可能不会选择此过程。