计算机取证是一个复杂的过程,涉及多个步骤和原则,以下是一个详细的指南:
保护目标计算机系统
在取证过程中,首先要冻结目标计算机系统,避免任何更改系统设置、硬件破坏、数据破坏或病毒感染。
对目标系统进行保护,防止未经授权的访问和操作。
确定电子证据
在海量数据中区分哪些是电子证据,哪些是无用数据。
确定犯罪嫌疑人留下的活动记录,并找出这些记录的存放位置和存储方式。
收集电子证据
记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。
对目标系统磁盘中的所有数据进行镜像备份,备份后可对计算机证据进行处理。
使用取证工具收集电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据进行分析。
对关键的证据数据用光盘备份,也可直接将电子证据打印成文件证据。
利用程序的自动搜索功能,将可疑为电子证据的文件或数据列表,确认后发送给取证服务器。
对网络防火墙和入侵检测系统的日志数据,可先进行光盘备份,保全原始数据,然后进行犯罪信息挖掘。
将相关的文件证据存入取证服务器的特定目录,将存放目录、文件类型、证据来源等信息存入取证服务器的数据库。
保护电子证据
对调查取证的数据镜像备份介质加封条存放在安全的地方。
对获取的电子证据采用安全措施保护,无关人员不得操作存放电子证据的计算机。
不轻易删除或修改文件以免引起有价值的证据文件的永久丢失。
电子证据的分析
打印对目标计算机系统的全面分析结果,然后给出分析结论。
分析包括用一系列的关键字搜索获取最重要的信息;对文件属性、文件的数字摘要和日志进行分析;分析Windows交换文件、文件碎片和未分配空间中的数据。
如果可能并且如果法律允许,访问被保护或加密文件的内容。
分析在磁盘的特殊区域中发现的所有相关数据,包括未分配磁盘空间和文件中的“slack”空间。
来源取证
确定犯罪嫌疑人或者证据的来源,例如IP地址取证、MAC地址取证、电子邮件取证、软件账号取证等。
事实取证
取得与证明案件相关事实的证据,例如犯罪嫌疑人的犯罪事实证据。
常见的方法包括文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。
遵循法律和伦理
取证过程必须按照法律的规定公开进行,确保证据的真实性和合法性。
遵循冗余备份原则,制作至少两个副本,原始介质存放在专门的证据室。
严格管理过程,确保每一个环节的真实性和完整性。
计算机取证是一个持续发展的领域,随着技术的发展,取证方法也在不断进步。取证人员需要不断学习和掌握新的技术和工具,以应对日益复杂的计算机犯罪。