计算机取证技术

先决条件：了解计算机取证的相关知识

在20世纪80年代初，个人电脑变得更加普及，普通人也能轻松使用它们。这也就意味着，计算机在各个领域的应用越来越广泛，而犯罪活动也不例外。所谓“法医学”，指的是利用科学技术来调查并确认犯罪事实或民事纠纷中的事实真相。法医学就是运用科学知识来分析证据，并将其呈交给法庭的过程。

计算机取证是数字取证科学的一个分支，它专注于从计算机和数字存储设备中收集证据。简而言之，计算机取证就是结合法律与计算机科学的知识，以符合法院要求的方式，从无线通信、计算机系统、网络以及存储设备中获取并分析数据。 由于计算机取证是一门新兴学科，因此并没有太多标准化的规则或实践方法。整个行业和法院之间也缺乏一致性与标准化。

计算机取证的不同类型：

根据需要进行数字调查的领域不同，计算机取证也有多种类型。这些领域包括：

• 网络取证
• 电子邮件取证
• 恶意软件取证
• 内存取证
• 手机取证
• 数据库取证
• 磁盘取证

如需了解更多详细信息，请参考《网络取证》这篇文章。

计算机取证中使用的技术：

计算机取证调查通常遵循典型的数字取证流程，即数据的收集、分析以及报告生成。这些调查大多是针对静态数据（如磁盘镜像）进行的，而不是针对实时数据或实时系统进行的。不过，在早期的计算机取证工作中，由于当时缺乏相应的工具，研究人员不得不使用实时数据进行调查。

在计算机取证调查中，会使用多种技术，例如：

• 交叉驱动分析：交叉驱动分析（CDA）是一种技术，它可以帮助调查人员快速识别并关联来自多个数据源或系统中的信息。现有的方法包括使用文本搜索来关联多个数据源中的信息，例如电子邮件地址、社会安全号码、消息ID或信用卡号等。
• 实时分析：它用于通过各种取证和系统管理工具，从操作系统内部来检测计算机的情况，从而获取有关设备的信息。 在法医分析中，收集各种挥发性数据非常重要，比如已安装的软件包、硬件信息等等。 这种方法在调查人员需要处理加密文件的情况下非常有用。 如果设备在交给调查人员时仍然处于活跃状态且正在运行，那么调查人员应该收集设备上的所有相关信息，比如用户的登录历史记录、TCP和UDP端口的状态、当前正在使用的服务等等。
• 已删除文件的恢复：这是一种用于恢复被删除文件的技巧。可以使用诸如CrashPlan、OnTrack EasyRecovery、Wise Data Recovery等取证工具来恢复或找回被删除的数据。
• 随机取证技术：这是一种通过司法手段来重新确定那些缺乏数字证据的数字化活动的方法。通过这种方式，可以分析出由现代计算机的随机性所导致的各种模式。
• 隐写术：一种能够将数据隐藏在图像或文本中的技术。隐写术是一种将秘密信息隐藏在某个物体内部或表面上的技术。这些物体可以是图像，也可以是任何类型的文件。计算机取证专家可以通过对比被修改过的文件和原始文件的哈希值来破解这种隐藏方式。尽管从视觉上看，这两个文件可能看起来完全相同，但它们的哈希值却会有所不同。