百科生活 投稿
关于【像黑科技一样的电子取证技术】:电子取证(像黑科技一样的电子取证技术),今天小编给您分享一下,如果对您有所帮助别忘了关注本站哦。
- 内容导航:
- 1、电子取证(像黑科技一样的电子取证技术)
- 2、贩毒、诈骗、组织卖淫,谁是幕后的“大boss”?是时候展示电子数据取证的强大威力了……
1、电子取证(像黑科技一样的电子取证技术)
电子取证(像黑科技一样的电子取证技术)
本文来自作者 肖志华 在GitChat上精彩分享。
前言
取证,司法解释是具有调查取证权的国家机关对于立案处理的案件,为查明案情,收集证据。电子取证,顾名思义可理解为基于计算机的证据收集。
1. 取证相关介绍
对于电子取证的介绍,百度是这样回答的:电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。
从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
1.1 电子证据概念
电子证据在很多年前已经作为一种新兴证据被列入法律,但我实在是没找到这个法律条文……
现在的中华民族共和国刑事诉讼法,中华人民共和国刑法里的第四十八条里,电子证据是在第八条,这八条依此是:
物证
书证
证人证言
被害人陈述
犯罪嫌疑人、被告人供述和辩解
鉴定意见
勘探、检查、辨认、侦查实验等笔录
视听资料、电子数据
证据必须经过查证属实,才能作为定案的根据。那么,怎么去取证,下面我们来讲讲正确的取证姿势。
2. 电子取证行业标准
上图这个表,就是在取证里,怎么去取证操作才能是合法的,必须遵守公安机关电子取证鉴定规则,基于这条规定,你的取证才能合法合理的。
3. 现场取证技术
现场取证,涉及到计算机取证硬件、软件、移动智能取证工具,这里我们分开详讲。
3.1 计算机取证硬件
硬盘复制机,他的功能就是对硬盘进行一个打镜像,进行复制然后取证的工具,因为取证过程是不允许对原硬盘进行直接操作,都需要打镜像。如下图:
硬盘只读锁
硬盘只读锁的功能就是,给硬盘加上一块锁,阻止写入通道,有效的保储存介质中的数据在获取和分析过程里不会被修改,从而保证取证工作的司法有效性于数据完整性。简单说就是,确保我拿到手的硬盘数据是原生态,没有被二次修改过的一个设备。
取证一体机,一体机这个比较好理解,基于拷贝克隆、读取、销毁于一体的取证设备。
取证塔,和一体机的一样的,不过是多了一些ID分析接口和集合的大平台。
介质修复设备
这个设备的作用就是个修复设备,可理解为“医疗兵”,硬盘磁道坏了,就用这个设备结合软件进行修复。工作环境必须无尘。
设备就介绍完了,接下来讲讲计算机取证软件,计算机取证软件分为国内外,值得一提的是,硬盘隐藏数据以上设备也是能读取出来的,加不加锁形同虚设。
3.2 计算机取证软件
国外取证分析软件:
ENcase
X-Ways
FTK
国外取证分析软件:
取证大师
盘石介质取证分析系统
以上设备均可取证,比如一木马制作者制作的木马威胁用户很多,在中途过程中他在浏览器IE里搜索过:怎么写入注册表实现开机自启过杀毒。那么以上软件均可在读取到你的搜索记录。
3.3 分布式取证系统
分布式,怎么理解,建立在网路之上的软件系统。
这是一份文档,提供个链接给大家:
http://www.chinacloud.cn/upload/2014-04/14041406572100.pdf?WebShieldDRSessionVerify=Izq4UwNheLLIWpOvgpD6
作用就是,采集单个设备的数据,上传云,在系统里搜索关键词进行比对发现问题,一般用于公安局省厅。
3.4 智能终端取证
人工分析
智能终端也跟的比较快,刚开始是人工分析的,比如拍照或者手抄分析,效率也普遍较低。(人工分析)
逻辑分析
人才有逻辑,计算机逻辑也是人工编的逻辑,一成不变,也不知变通。逻辑分析是用取证软件对照手机电话本、QQ、微信、邮箱等信息的获取,进行人为逻辑分析,也是等于给嫌疑人画像,即使你已经见过他的样子了。
JTAG分析
也就是十六制镜像。在电影里有这样的情节,一个犯罪团伙老大,联系了他的杀手后,就把手机砸碎,放厕所里,或者是丢水里。
以前看刘德华的一部电影,华仔是反派还是间谍身份,公安组在手机上安装了 GPS 定位,团伙老大等华仔接完电话后就让华仔把车扔对面水池里,与此同时,公安也失去的定位。
讲道理的话,手机砸碎和丢水里都是能够取证的,如果利用 JTAG 芯片分析技术,还是能做数据提取的,因为手机芯片上是记录了运动轨迹的。
iPhone,iPod 也都属于移动智能终端,遇到人为损坏的,特殊情况下,照样是能取的。
动态仿真
这个就比较前沿了,动态,仿真,有没有人能想到?安卓模拟器用过吧?这就是比较接近的,类似于模拟器进行手机仿真,比如你在微信群里讨论一些政治敏感的内容,如果拿到了你的手机,我是能够还原你聊天的一幕幕,对你聊天的场景进行模拟,你做了什么,发了什么图,就好像是我自身在进行对话。
还有就是,群里发送黄色视频这种,如果影响大,公安指定取证的话,是对你的微信QQ提取文件分析,转发了多少,影响范围,甚至还有播放数量,查到源头,也不是完全不可能。
远程勘验技术
远程勘验取证技术包括也比较多,有网络取证和现场取证,也有Web网页取证和服务器取证技术等,一一详解。
现场取证与网络取证
这个图就已经说明是现场和网络取证的不同和相关技术。
现场取证
分为静态取证,事后取证。证据链的发端,软硬件的恢复技术,数据格式分析于检索技术。现场一般是静态取证,也就是事后取证,证据面的开始, 就会接触到一些软硬件的恢复,对软红豆博客件进行数据的分析和检索。
假设,到现场 发现一台电脑,如果是开机状态,你就不能关机的。只能对电脑进行开凿然后进行数据提取,如果是关机状态,就只能保持关机,直接对硬盘进行复制,打镜像。做到开机不关,关机不开即可。
服务器如果取证的话,取证的话,是不能正常关机的,只能直接拔掉电源。你也可以理解为,直接拔掉电源,防止红豆博客有人远程连接服务器进行数据篡改。
静态取证,是电脑已经摆在面前了,直接对数据进行分析。事后取证,是已经案发了,这个事情已经发生了,我们在进行一个取证调查过程。
软硬件恢复技术,是对数据进行恢复,因为你不知道他的硬盘是否进行了一次格盘操作,当你找不到相关的信息,得到允许后,你可对当前的硬盘进行一次数据恢复。
有个案子,是一个制作外挂的,非法牟利百万,严重影响了游戏厂商正常运营,无奈选择报案,当公安局抓获嫌疑人后,在他的硬盘里没有找到外挂源代码或者是其他信息,取证方就可以思考,是否在我们来之前,嫌疑人就已经把硬盘数据删掉了,正常的取证你是取不到什么,所以只能对硬盘做一次数据恢复然后尝试取证。
数据格式分析检索技术,这个比较好理解,数据格式,比如是 TXT,word,PPT,EXE 都属于一个格式,取证过程对你想要的数据进行格式检索,提高效率之用。
网络取证
网络取证,他是区别于现场取证的,网络取证都是动态的一种取证方式,现有大多数案子都是网络取证的。
数据抓取技术:利用抓包工具(wireshark等),对信息日子进行分析,过滤IP等等。
海量数据与协议分析:有关海量的,必定是基于大数据平台,海量数据与协议分析就是基于大数据平台来获取相关信息。
网络取证的内容也比较多,首先你得对来源进行取证,也就是犯罪嫌疑人所在的位置,取证的内容包括 IP 地址,MAC 地址,电子邮件(邮件头有IP地址),一些软件或者的互联网的账号等。
有个案例是,一黑客对手机用户进行木马植入,取证方对木马 APK 进行反编译,从而发现黑客做数据提交的一个 IP 地址,查阅后发现是某大型云服务器平台,从而提交到相关人员,锁定此人。
事实取证:确定犯罪事实的具体内容和过程。
这个取证的内容包括网络状态和数据包分析、日志文件分析、然后对文件内容进行调查、使用痕迹调查,软件的功能分析等。
数据包分析就和数据抓取一样了,日志文件的分析,像 WIN 系统都有运行日志,像伪基站系统,他也会记录日志,什么时候向什么人发送了什么信息,这些都是可以在日志里得到的。
文件内容调查,取证时对相关文件进行调查分析,比如一个商业机密的 Word 或者是合同。
使用痕迹的分析,就好比什么用户,什么时候做了什么事。比如我在我电脑上插上U盘,拔下,拷贝录入和删除行为,都属于使用痕迹。
软件功能分析,有可能涉及到对软件进行OD反编译,如果有源代码就对源代码分析,没有就只能分析软件运行后的行为,一步一步调试。
这个一是自己搭建环境,在环境里对功能进行分析。有点类似于分析一个病毒,他运行后是调用了系统的什么进程。
二就是对源代码分析了,也需要对编程有所了解,得看懂源码才行。
3.5 网络取证相关技术
蜜罐取证技术,也就是挖一个坑让你跳,跳了我就知道你的行为。也包括上面所讲的网络数据包分析取证技术。还有一个数据挖掘技术,也就是对数据进行恢复、提取、深入的分析。
网络数据包分析取证工具:
功能和优势都列举出来了,需要体验的请自行百度下载。
网页取证相关技术
查看网页使用语言,网站信息,利用爬虫来获取网站相关数据。
网站/服务器取证技术
远程链接登陆服务器(如有需要,获取服务器账号密码的手段不限)查看日志,截获快照,但是全程都必须屏幕录制,是必须。
新型取证技术
新型取证技术,内存取证,芯片取证,云取证,物联网取证,边信道于量子计算。
内存取证技术
内存证据以及和硬盘证据成为打击网络违法犯罪的重要依据。
内存证据分析可被用于发现系统的各种关键信息和用户行为特征。
内存取证技术也可被用户恶意代码检测的分析。
内存取证实践:
虚拟内存文件
休眠文件
内存转储
DMA
冷启动
这是一个内存取证的完整过程,1.2名词请百度一下。
DMA 的原理就是,数据传输要经过 CPU 然后再传给电脑,这时候直接转到DMA,不经过 CPU,数据传输非常快,但是保存数据量比较小。
冷启动,按住电源键强制启动或者关机,就是冷启动。但是可能会造成数据的丢失,这些数据都保存在内存,冷启动取证就是对机器进行冷却,尽快的恢复数据。
以上就是对内存进行喷冰处理。
内存转储文件:内存转储是用于系统崩溃时,将内存中的数据转储保存在转储文件中,供给有关人员进行排错分析用途。而它所保存生成的文件就叫做内存转储文件。
3.6 芯片取证技术
这个是针对现有手机取证工具无法解决的问题,才会搬出芯片取证技术,多涉及硬件。
已损坏的手机(恶意破坏)可以用这种情况。
掩埋,水浸等原因无法开机。
数据接口(USB等)无法使用的手机,但屏幕可正常亮起。
设置密码且没有办法解锁的手机。
以上情况都可用于芯片取证技术。
现在来介绍一下芯片取证的相关流程:
这是个被摔坏的手机。将它拆解,如下图红框里所示的就是芯片所在位置。
拆下芯片后,连接取证工具,选择芯片类型,设置芯片镜像文件,继续对芯片镜像进行读取。
镜像读取完以后就可操作解析恢复,以及仿真。仿真他是模拟手机的实际运行环境。如下图微信红包所示。
一个芯片取证到这里就算结束了。
IOS取证实践:
取证工具
硬件/系统漏洞
iCloud
社会工程学
暴力破解
IOS取证国内外都有工具,但是是比较难的,在没有越狱的情况下。限制比较多。线下取证的话,可使用IOS的备份功能,将应用数据一起备份出来。然后再解析数据。原理实现就是iCloud的备份功能,用过iPhone的都知道,连上了就会问你备不备份 可下载到本地。
漏洞/硬件漏洞,iPhone能被越狱。
iCloud,用户名和密码。
社会工程学:这方面用的很少,主要是利用欺骗手段进行活动。
暴力破解:暴力破解现只支持IOS7以下的版本,高于7 都是无法破解的。
3.7 IOS 取证流程
吹下 iPhone flash 芯片并使用复制设备制作副本。
讲副本使用测试架桥接至 iPhone 主板 然后开机。
穷举密码,进行暴力破解额,5-10次为一轮。
如果触发了 IOS 安全机制,被锁定或者是数据抹除,那么更换副本继续测试。
直到解锁。
网络取证上,IOS 比较难,因为要越狱。线下取证,越不越狱没关系的,都可直接取证。
3.8 云取证的相关技术
云端数据的保全和迁移:把数据从一个云端转移到另一个云端,保证数据的完整性。
云端服务重现:对他的服务里找到相关数据。
云红豆博客数据恢复:数据被删了,想恢复 就必须找到他的云服务商,找到服务器进行数据的恢复,涉及到硬盘恢复等技术。
在线取证:远程提取数据进行取证。
客户端现场取证:和在线取证一个意思。
3.9 物联网取证
物理安全。
物理俘获固件器件等修改。
接入层安全。
网络层安全。
应用层安全(数据安全、隐私保护)。
有兴趣的朋友可自行查阅资料,物联网没怎么接触过。
物联网取证相关技术
物联网黑匣子技术。
物联网分布式IDS技术。
物联网嗅探取证技术。
物联网黑匣子技术,是通过访问他的日志,固件更新日志,操作日志,用入侵检测(分布式IDS)的方式进行操作取证。
物联网嗅探取证技术,大多指摄像头监控,什么人在什么地点做什么事,进行取证。
3.10 边信道攻击与取证
新手段,边信道攻击简称SCA,是针对加密电子设备在运行过程中的时间消耗或者功率消耗之类、电磁辐射造成的信息泄露来进行攻击。
如果想得到你的数据,是根据这几种来实现攻击。说明白一点 就是窃听监听你的数据然后进行破译。感兴趣的朋友可以百度了解一下。
3.11 量子计算取证
还没普及,就跳过吧………
到此电子取证技术基础就结束了,硬盘数据恢复这个,军方的条件是格式化37次,基本上无法提取数据了,最简单的方法是格式化后用大文件覆盖硬盘空间,大文件也就指垃圾文件。
2、贩毒、诈骗、组织卖淫,谁是幕后的“大boss”?是时候展示电子数据取证的强大威力了……
在多达163万多条的电子数据中
如何找出那个一直藏身幕后的“大boss”
逮住那条最大的“漏网之鱼”
?
面对非法吸收2亿多元公众存款的网贷平台
在所有信息、数据都已灭失
案件查处陷入停滞后
怎样提取数据
还原被害人信息和投资金额等关键证据
??
在一桩桩大案的背后,
是什么令这些看起来“不可能完成的任务”
从“不可能”变成“可能”
???
答案是:电子数据取证。
近日,记者在杭州市江干区检察院的电子数据实验室,就感受到了电子数据取证的强大威力。
连骗子都理不清的“糊涂账”
数据搞清楚啦
江干区检察院的电子数据实验室里,最显眼的是手机、电脑分析区内几块竖起来的电脑显示器和一个个“大块头”黑色主机。
电子数据“取证塔”
“这可不是一般的电脑主机,而是‘取证塔’。”江干区检察院技术与信息化部主任徐衍介绍说,“取证塔”可进行多硬盘同时只读复制、取证分析等,那几块竖起来的显示屏则是为“取证塔”配备的专业显示屏,“之所以90度旋转和分屏显示,主要是为了方便数据比对、查找。”
电子数据取证有多厉害,从实验室内的委托技术协助登记表可见一斑。翻看这本密密麻麻的表格,记者发现,除了涉网、涉计算机等新型犯罪之外,贩毒、诈骗、组织卖淫等相对“传统”的刑事犯罪也都用上了电子数据取证。
女网友主动相约,到咖啡店先开一瓶3688元的红酒,再点上688元的“情侣套餐”。浪漫约会后,摸着空瘪的钱包出了门,交友心切的年轻男子才醒悟,自己是掉进了酒托女的“交友陷阱”。
这是杭州江干区警方破获的一起特大酒托诈骗案,咖啡店老板、托头、键盘手、酒托女,形成了“一条龙”诈骗链条。
随着警方收网、诈骗团伙到案,一连串难题也接踵而来:在一环扣一环的诈骗链条中,托头、键盘手和酒托女在每一起诈骗事实中的作用如何区分,20多名键盘手、酒托女,每人分别参与了哪几次诈骗,连他们自己都记不清了。
“一不小心就是一笔‘糊涂账’。”江干区检察院检察官蔡艺枫知道,每个嫌疑人的诈骗金额关系到其是否构罪、是否应该批捕,所以丝毫“糊涂”不得。
在与实验室技术人员沟通后,检察院侦监和技术部门同时提前介入侦查。通过对三四十名犯罪嫌疑人的涉案电子数据进行提取、恢复,技术人员终于成功串联起每一笔“消费账目”所对应的咖啡店老板、托头、键盘手、酒托女等,哪个人骗了哪几笔、金额多少,在电子数据取证、分析后,一目了然。
有了确凿的电子证据,江干区检察院最后决定,对26名犯罪嫌疑人批准逮捕,同时对3名未达到定罪标准的犯罪嫌疑人不批准逮捕,实现了法律的公平公正。
163万条数据中
准确锁定“小哥”
组织、强迫3名未成年女孩在杭州等地卖淫70余次,非法所得30余万元,这是江干区检察院今年办理的一起性质恶劣的组织、强迫未成年人卖淫案。
“我是来找陈某玩的,他说帮我介绍工作。”面对讯问,每当被问及怎样跟随老板陈某看管女孩,以及涉及组织卖淫内容时,案中一名“马仔”就刻意回避。
“老板”陈某更狡猾,到案后虽然承认组织卖淫,但矢口否认强迫卖淫。难道“老板”和“马仔”确实没有强迫女孩卖淫?
另外,提审过程中,几名犯罪嫌疑人都提到一个叫“小哥”的人。和陈某等人辗转多地的情况不同,“小哥”只与陈某等人有过短暂接触。
这个“小哥”是什么人?是“马仔”还是“幕后大哥”?面对检察官的疑问,陈某说,他不知道“小哥”的真实姓名,只记得手机里存过他的手机号码。
网络图片
为了查清事实,检察院又一次提前介入,在公安机关尚未制作第一份笔录前就对案件查办方向进行指导。
又是几个不眠不休的日子,在对所有涉案电子数据进行提取、审查后,办案人员终于从163万余条电子数据记录中,获取了“马仔”帮助陈某物色、看管女孩,以及转账收款记录等关键证据,同时也锁定了“小哥”——他其实一点也不“小”,而是陈某背后的“大哥”汤某。办案人员还成功锁定了汤某组织多名未成年人卖淫这一情节。
“电子取证离不开高科技,但更考验人的是,面对数以万计的数据、信息时,能否保持耐心,筛选分析、细心考证。”徐衍说,虽然他不负责办案,但每当检察官办案遇到难题时,他总想通过检察技术手段帮助找到突破口。事实证明,电子证据作为客观证据,在很多案件中甚至发挥了“一锤定音”的作用,“现在同事们越来越喜欢往我们实验室跑了。”
网贷平台“无纸化”操作
模拟重建一一还原
当互联网金融理财的风险变得家喻户晓时,有一个名叫“银坊金融”的网贷平台早在几年前就给很多人“上过一课”:由于平台老板蔡某跑路,数千名投资人不仅没拿到所谓的21.6%高额投资利息,连本金都拿不回来,涉案金额达2亿多元。
银坊金融
当时和损失惨重的投资者们一样焦虑的,还有公安和检察机关:由于案发后平台租用的网络空间到期,平台被关闭,也没有实行空间备案,公安机关无法调取数据。
同时,此案几乎所有犯罪过程都发生在网上,基本“无纸化”操作,签订的均为电子合同,相关书证难以发现,电子合同文本也无法提取。
面对关键证据近乎“一片空白”的情况,
如何还原每名被害人的信息
和投资金往来情况?
▼
由于案件涉及复杂的电子数据类证据,江干区检察院侦监、技术取证人员在多番查找线索后,终于找到突破口,成功固定了网站的数据库。
“记得当时数据库里有几十张数据表,一百多个字段。”徐衍说,他们通过代码分析,用了两天两夜,终于确定了“dw_user”(用户信息表)“dw_account_recharge”(用户充值表)“dw_account_cash”(提现表)等关键字段,从备份数据库中提取出了被害人的基本信息、项目信息及资金往来情况,为侦查工作打开了新局面,也为批捕犯罪嫌疑人奠定了必要的原始证据基础。
为更直观地发现蔡某的作案手法,检察技术部门还开展了侦查实验,模拟重构网站环境,全景还原了网站未关闭前的情景,重新生成所有投资项目的PDF格式电子合同,提取出了全部合同。网站还原后,通过后台查询,他们又对之前提取的涉案人数和金额等一一确定。
电子数据实验室进行模糊图像鉴定
在电子客观证据强有力的支持下,法院最终以集资诈骗罪判处蔡某无期徒刑,剥夺政治权利终身,并处没收个人全部财产。
从传统的数据恢复提取,
到数据挖掘分析;
从远程数据勘验,
到系统重构侦查实验等多种技术协助;
从技术性证据审查到尝试模糊图像鉴定……
在江干区检察院,“技术+业务”的深度融合不仅支撑了办案,还进一步提升了办案质效。
江干区检察院检察长江波均说,目前江干区检察院出具并提交法院的电子证据采信率达到100%。
本文关键词:电子取证公司 国内排行,电子取证是什么意思,电子取证软件,电子取证,电子取证设备。这就是关于《像黑科技一样的电子取证技术,电子取证实验室(谁是幕后的“大boss”)》的所有内容,希望对您能有所帮助!
- 最近发表