iT邦幫忙

2025 iThome 鐵人賽

DAY 3
0
Security

我一個大調查下去:從零開始的數位鑑識系列 第 3

【Day 03】數位鑑識基本流程

  • 分享至 

  • xImage
  •  

前言

今天要講數位鑑識的基本流程,其中包含很多重要原則,以確保我們蒐集到的證據能在法庭上站得住腳。即便在後續的實作中為了方便而有所簡化,但在真實的資安事件應變中,這些基本功才是決定成敗的關鍵。

基本流程介紹

準備

準備階段是數位鑑識的首要步驟,目的是建立適當的作業環境與程序,以確保後續蒐集、分析與報告的合法性與有效性。
準備工作包括:制定調查計畫、合規審查、工具與環境準備等等。

蒐集與保存

現場取證時要使用專業工具 (ex: FTK Imager, EnCase) 確保資料完整性,且要優先提取具揮發性的證物(ex: Cache, RAM),避免消失,並建立 hash 以供後續比對。 保存過程要確保證物的 CIA 和 Chain of Custody (昨天提到的)。

分析

確保在唯讀副本上做分析 (確保證物的完整性),分析過程中的每個步驟,包括使用的工具、執行的指令、分析的結果,都必須詳細記錄,以確保調查過程可被重現和驗證。 那到底要怎麼分析呢?後續實作環節就是在教大家分析的方法啦。

報告

實務上鑑識的最終目標是撰寫一份具備法律效力的報告,要確保流程合規才有法律效力,所以才有上述這些注意事項。
一份報告要包含:案件背景與調查目標、證據蒐集與保存流程、分析方法與工具、發現事實與結論、附件 (證據清單、雜湊值等)。

總結

數位鑑識的基本流程差不多就講到這邊,透過今天的介紹,相信大家對數位鑑識的基本流程已有初步了解。在實際上會有更多守則和規範,但這篇是新手向文章所以就不提了。明天就要來實作啦,先從蒐集階段開始。想知道如何擷取記憶體、如何製作映像檔就敬請期待啦!


上一篇
【Day 02】CIA 與 Chain of Custody
下一篇
【Day 04】駭客蹤跡的關鍵:揮發性記憶體擷取
系列文
我一個大調查下去:從零開始的數位鑑識13
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言