计算机取证——原则

1、取证前务必要对证据所在载体进行备份并计算哈希(MD5,SHA)留作完整性校验时使用,同时,备份方式要采用位级别的备份而不是文件级备份。

位备份可以保证载体被完整备份,包括逻辑上已删除的数据和slack数据。这些数据在文件级别不可见所以往往会被忽略,而“被删除”的数据能为案件提供关键证据

取证过程全部是对备份数据的提取和分析,原始数据要保留下来为以后提供完整性证明

2、要保证所采取的取证手段不破坏被取证对象。

如果取证过程对证据的完整性造成了影响,不仅会使取证工作变得更加困难,也有可能取证工作将变得毫无意义,因为对证据的丝毫改动都可能造成所获取的证据因为原始性和完整性不被认可

如:

拆卸硬盘时不能破坏硬盘的完整性和可用性

所使用的取证软件设计存在缺陷而改动证据

3、对可以获取到的磁盘文件的备份文件务必要进行文件系统层分析

文件系统层分析,顾名思义,就是了解磁盘分区的文件系统信息。获取文件系统信息不是为了直接获取数据,而是为了给后续的数据层分析和文件层分析提供分析依据。这些分析依据包括扇区信息、数据区域信息、目录区域信息和簇信息等。

 4、对已获的数据做详细记录并存档核查

有时候对某一部分的单独分析无法获得有效的证据链,甚至有可能对后续分析产生误导,即使对已获得的数据留档,方便后续核查既是对取证过程的负责也是为了方便取证的进行

5、确保记录数据的详细信息

包括:

载体生产厂商,型号,序列号:这些信息有助于即使获得来自设备生产厂商的专业协助。尤其在数据恢复方面,不同产品的恢复手段和恢复能力往往是不同,这需要厂商提供专业知识和详细信息

6、设定特定权限

为了保证数据的完整性和证据的合法性,与取证无关的人员不应该有任何机会接近一切有可能成为证据的载体,以确保所获得的证据的合法性和完备性

7、要严格区分数据恢复和使用备份分析取证两个概念

数据恢复不要求必须使用一个全新的目标驱动器,而在使用备份文件做为分析源时,做备份的磁盘必须要求是干净的,原因与使用位级别备份相同

 

posted @ 2016-02-23 23:49  隐念笎  阅读(1594)  评论(0编辑  收藏  举报