鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術
有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎?
我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還是可以將數位鑑識學好」
回歸正傳,Day 1 單元我會探討什麼是數位鑑識
根據Techtarget網站的定義,數位鑑識為「The application of forensic science technique to computer-base material.」,意思翻成可理解的白話文 「數位鑑識是經過科學驗證的手法找到事實,再將一系列的事實指向真相」
-- 基本上在執行調查中皆會採用國際認證的數位鑑識工具,例如:OpenText Encase、Magnet AXIOM、Cellebrite UFED等等工具作科學驗證的輔助
-- 詳細取證工具資料可以參考 NIST Computer Forensic Tool Testing (CFTT) Reports,裡面有更多的資料可輔助了解
-- 數位鑑識在維基百科或其他論談也有一些身影,如 Forensics Wiki (https://forensics.wiki/)、Forensic Focus (http://www.forensicfocus.com/)、DFIR Training(https://www.dfir.training/)、Invoke-IR(http://www.invoke-ir.com/)
國內數位鑑識機構
-- 多數為政府機構,民間企業也慢慢開始有數位鑑識服務:
主要也是使用國際認證的工具做分析與調查
"基本上" 做數位鑑識的薪水不會太差
當然,沒有那麼多龐大預算可以使用國際認證工具(付費),市面上還有許多好用且操作方便的開源鑑識工具(免費),例如:Autopsy、AccessData FTK Imager、Wireshark、Volatility等,後續單元會一一帶大家做操作
如果有時間 + 預算,不妨也可以努力取得相關數位鑑識證照(有些公司還會因證照進行加薪)
(...... 其他國際證照)
套用一句金句名言 : 「專業是給不專業的人進來一起遊戲的XDD」
在數位鑑識的這條路上,一起加油!