對於 it 專業人員來說,有關如何阻止入侵和攻擊的資訊多得就像汪洋大海。但是,如果您在安裝了安全修補程式、防火牆並採取了其他措施後仍然發生了最壞的情況,您該怎麼辦呢?
鑑 於巨大的停機成本、損失的工作效率和攻擊帶來的管理負荷,當黑客或病毒編寫者被抓住並被起訴時,我們無一不拍手叫好,但這種結局似乎並不常見。這是因為, 刑事訴訟(或民事訴訟)必須有確鑿的、可被採納的證據才能成功,而這樣的證據很難獲得。令人遺憾的是,證據往往在人們應對攻擊的過程中受到了損害或破壞 (就好像撲火用的水造成的破壞有時不次於火本身造成的破壞一樣)。
如果某件事有可能訴諸法律,則任何有權訪問數字證據的人都應當正確運算元字證據,這一點極其重要。將證據從乙個人手中傳遞到另乙個人手中這個過程叫做「保管鏈」,但當我們討論的數字資料而非實物時,證據鏈就不那麼清晰了。
關鍵的一點是,在事件發生之後,如果某個處理證據的人對證據作了某種更改,那麼證據就變得不可採納了。檔案一旦被開啟就會發生更改(例如,上次修改日期可能會更改),那麼如何使數字證據保持可採納狀態呢?
答 案是:檢查證據時不要操作原始資料,而應操作專為檢查證據而建立的完整副本。若想達到法庭的嚴格標準,這並不像聽起來這麼簡單。此副本必須是原始磁碟的位 級別映像,該映像乙個扇區乙個扇區地建立所有二進位制資料的副本,包含所有的鬆弛空間、空閒空間和其他環境資料。這需要使用專用於此目的的映像軟體。取證用 的映像軟體還需要使用一些驗證方法,以確保副本與原始資料完全相同。因此,最好不要使用用於其他目的的磁碟映像軟體(例如 norton ghost,它用於建立供多台計算機安裝的轉殖映像,不是專為取證設計的 — 取證強調保證副本的絕對完整性)。
基於取證的映像系統通 常使用專用計算機,該計算機通過它的乙個通訊埠與一台目標計算機相連,通過此埠,可以將磁碟的完整副本複製到另一磁碟、磁帶或其他電子**。但在某些 情況下,需要將磁碟從目標計算機上卸下來再進行複製。映像過程應當採用一種不會在目標計算機上留下任何痕跡(不做任何更改)的方式進行。
在 您擁有了乙份可靠的取證副本後,應將原始磁碟收起來,使之保持當前狀態。所有的檢查工作都應在副本上進行。您還需要能夠證明發現事件後目標計算機立即與網 絡分離了,物理上是安全的,所以沒有人能夠在發現事件到對磁碟進行映像這段時間內對其進行任何更改。您不要執行任何操作。在對磁碟進行映像之前,不要開機 或關機或檢查日誌。磁碟映像應當由合格的取證調查員來執行。這不意味著不相信您作為 it 專業人員的能力或您的人格的正直,而是因為辯護律師很可能在法庭審判中針對證據向執行映像操作並/或進行檢查的人提出質問;如果證據是由計算機取證專業人 員收集的,就會被給予較高的可信度。
本文摘自:http://www.microsoft.com/china/technet/community/columns/secmvp/sv0105.mspx
計算機取證 磁碟映像概述
對於 it 專業人員來說,有關如何阻止入侵和攻擊的資訊多得就像汪洋大海。但是,如果您在安裝了安全修補程式 防火牆並採取了其他措施後仍然發生了最壞的情況,您該怎麼辦呢?鑑於巨大的停機成本 損失的工作效率和攻擊帶來的管理負荷,當黑客或病毒編寫者被抓住並被起訴時,我們無一不拍手叫好,但這種結局似乎並不常見...
計算機取證概述
計算機取證概述 轉貼自 中國科學院高能所 隨著資訊科技的不斷發展,計算機越來越多地參與到人們的工作與生活中,與計算機相關的法庭案例 如電子商務糾紛,計算機犯罪等 也不斷出現。一種新的證據形式 存在於計算機及相關外圍裝置 包括網路介質 中的電子證據逐漸成為新的訴訟證據之一。大量的計算機犯罪 如商業機密...
計算機取證
計算機取證目標 計算機取證要解決的問題是 找出是誰 who 在什麼時間 when 在那裡 where 怎樣地 how 進行了什麼 what 非法活動。以網路入侵為例,具體而言,計算機取證需要解決以下幾個問題 計算機證據 計算機證據幾乎無處不在,但是主要來自 3 個方面 計算機主機系統方面 網路方面 ...