iT邦幫忙

2024 iThome 鐵人賽

0
自我挑戰組

從0開始學資安系列 第 27

Day27 數位鑑識基礎

  • 分享至 

  • xImage
  •  

數位鑑識的目的是從數位設備中提取證據,這些設備可以包括電腦、手機、硬碟、伺服器等。它主要應用在司法調查中,涉及從電腦、手機、硬碟、伺服器等數位設備中找出潛在的證據。

應用範圍

  • 刑事案件:幫助調查網路犯罪,如駭客攻擊、資料竊取、詐騙、甚至暴力犯罪,通過檢查嫌疑人設備上的活動來提供證據。
  • 民事案件:解決公司內部糾紛或資料洩露,追蹤文件來源或使用者的數位活動。
  • 數據恢復:恢復誤刪或損壞的文件,這不僅用於調查犯罪,也可以用來幫助企業或個人。

過程

證據保存 (Preservation)

避免數據被更改或損壞。

  • 建立「只讀」存取環境,防止改變數據內容。
  • 使用工具如 FTK Imager 或 dd (Linux 工具) 來製作硬碟映像檔。映像檔是數位設備的完整副本,能夠保留原始證據的完整性。
  • 在進行任何分析之前,需計算硬碟的哈希值(如 MD5 或 SHA-1),確保原始數據在分析過程中未被更改。

證據提取 (Collection)

從硬碟中提取相關數據。

  • 提取特定的檔案或資料夾,這些檔案可能是文件、圖片、電子郵件等。
  • 還可以提取系統記錄 (logs)、瀏覽歷史、暫存檔、以及使用者活動的其他痕跡。
  • 使用工具如 Autopsy 或 EnCase 來掃描硬碟,找出被刪除或隱藏的檔案。

數據分析 (Analysis)

從提取的數據中找出證據,恢復損壞或被刪除的資料。

  • 刪除的文件恢復:硬碟上刪除的檔案實際上並未立即被抹除,它們的檔案標頭只是被標記為可覆寫。專業工具如 Autopsy 可以找回這些檔案。
  • 時間線分析:分析文件的創建、修改和訪問時間來了解事件的順序。Autopsy 提供了時間軸視圖,幫助調查這些活動。
  • 關鍵字搜尋:可以根據案件需要,在硬碟內搜尋特定字詞或數據,以找出潛在的證據。
  • 重建被損壞的文件:某些文件因為硬碟故障或意外刪除可能損壞,專業鑑識工具能嘗試重建它們。

報告 (Reporting)

提供清楚且完整的數據分析報告,詳細說明找到的證據及其意義。

  • 報告需要具備條理,列出發現的證據、使用的工具和方法,以及分析出的數據如何與案件相關。
  • 使用 Autopsy 這類工具時,軟體自動生成報告,你可以在報告中附上檔案清單、時間線、發現的可疑活動等。

上一篇
Day26 後門攻擊與持久滲透
下一篇
Day28 零日攻擊 Zero-Day attack
系列文
從0開始學資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言