今天的數位鑑識(Forensic)，
也是一個我不熟悉的領域。

說起來真的比較比較有接觸到，
大概就是打picoCTF時有Forensic這個類型的解題，
CTF當然是一個學習資安的好方式，可以增進知識與技術，
不過我相信CTF的類型所需具備的知識能力，
與實務上我們工作所經常接觸的必然會有所差異。
不過我也沒做過數位鑑識相關類型的職務，
所以好像也沒辦法多說甚麼XD

不過我其實是有心想接觸這個領域的，
如同前幾篇有提到，今年有順利地出了一本Burp網站滲透測試的書，
因為出書幾乎是花了整整兩個多月的下班假日時間。
如果沒有出書的話，我本來是預計今年要去報名CHFI認證的。
「EC-Council CHFI資安鑑識調查專家認證課程」

我是並沒有打算從事數位鑑識的工作，或是深入鑽研該領域，
但是希望能夠具備這個領域的基礎知識與技能。

照慣例，每篇文章都會附上第一篇的文章，讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.描述一下甚麼是數位鑑識(Forensic)？

數位鑑識是透過標準、嚴謹及正確的程序，將數位證據適當的進行保存、還原、擷取、分析等。以利於進行事件調查，並提供數位證據協助法庭判決。

2.有用過甚麼數位鑑識工具？該工具的用途是甚麼？

EnCase, FTK, TCT。可以用來做資料複製、檔案復原、檢視登錄檔等等...

3.甚麼是易揮發證據（Volatile evidence）？

非永久性的數據，可能會隨著沒電、斷電、運算或是互動，而消失或是被竄改的數據都算是。例如儲存在RAM裡面的資料可能被計算給覆蓋或是斷電而消失。

4.甚麼是證據同一性？

證據同一性，指在法院所呈現的證據即原始得用以證明待證事實的證據，亦即呈現於法院的證據必須未經竄改或刪除。換言之，必須是純淨且無污染，確實用以證明待證事實的原始證據，才符合訴訟法對於證據同一性的要求。

來源4這篇
https://www.fisc.com.tw/Upload/d8bcb29c-5c2c-4641-a3cb-9d126a0b75da/TC/7904.pdf

5.是甚麼樣的原則(規則)確保了該證據為法院可以接受的證據，完整記錄了所有證據的保存流程，確認未遭受竄改。

Chain of Custody 監管鏈

6.執行數位鑑識的時候，會將數位證據複製備份，要如何證明複製的數位證據與原始證據完全相同？

數位資料可以採用HASH驗證。（好像應該有其他答案，突然都想不到QQ

7.Windows中的SAM是甚麼？

SAM是Windows當中用來儲存使用者帳戶密碼的資料庫檔案。用於讓Windows使用者進行身份驗證。

8.甚麼是Steganography

Steganography是隱寫術，是一種將秘密訊息隱藏在看似正常的訊息中的技巧與技術。簡單來說，PTT鄉民流行的藏頭文也算是一種隱寫術。

9.有哪些工具可以用來恢復已刪除的文件？

Recuva, Pandora Recovery, ADRC data recovery, FreeUndelete, Active UNDELETE, Active partition or File recovery...

10.傳統與雲端上的數位鑑識有甚麼差異？雲端可能會遇到甚麼樣的困難？

雲端方式要取得實體的儲存裝置或是設備不容易。證據處理流程的權責區分，例如剛剛提到的Chain of Custody，究竟應該雲端廠商該負責多少勒～（可能要看廠商的責任模型或簽訂的SLA範圍吧?）。進入司法程序，可能會面臨跨過的司法相關程序？

我自己覺得這是一個值得思考的好題目啦XD
不過答案都是我隨便想想的喔，呵呵呵

11.若今天扣押的證據為整套電腦設備，描述一下在電腦處於開機與關機兩種不同狀態之下，要如何進行扣押？

如果是關機的話，就不要開機，直接扣押（好像是廢話，幹嘛開機XD）；如果是開機情況的話，視情況而定，可以先利用取證工具進行初步取證，已盡量不影響系統資料內容的情況下進行。

數位鑑識~ 剛剛查資料的時候，
越查越覺得好多特別的內容，不過今天就先到這惹。

若有要補充也都歡迎留言