GitChat · 安全 | 揭秘我国的电子取证技术

取证，司法解释是具有调查取证权的国家机关对于立案处理的案件，为查明案情，收集证据。电子取证，顾名思义可理解为基于计算机的证据收集。

取证相关介绍

对于电子取证的介绍，百度是这样回答的：电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。

从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。

电子证据概念

电子证据在很多年前已经作为一种新兴证据被列入法律，但我实在是没找到这个法律条文……

现在的中华民族共和国刑事诉讼法，中华人民共和国刑法里的第四十八条里，电子证据是在第八条，这八条依此是：

• 物证

• 书证

• 证人证言

• 被害人陈述

• 犯罪嫌疑人、被告人供述和辩解

• 鉴定意见

• 勘探、检查、辨认、侦查实验等笔录

• 视听资料、电子数据

证据必须经过查证属实，才能作为定案的根据。那么，怎么去取证，下面我们来讲讲正确的取证姿势。

电子取证行业标准

这就是一个正在运行的复制机，结构根据厂商都有稍不同。

设备就介绍完了，接下来讲讲计算机取证软件，计算机取证软件分为国内外，值得一提的是，硬盘隐藏数据以上设备也是能读取出来的，加不加锁形同虚设。

计算机取证软件

国外取证分析软件：

• ENcase

• X-Ways

• FTK

国外取证分析软件：

• 取证大师

• 盘石介质取证分析系统

分布式取证系统

分布式，怎么理解，建立在 路之上的软件系统。

这个图就已经说明是现场和 络取证的不同和相关技术。

现场取证

分为静态取证，事后取证。证据链的发端，软硬件的恢复技术，数据格式分析于检索技术。现场一般是静态取证，也就是事后取证，证据面的开始， 就会接触到一些软硬件的恢复，对软件进行数据的分析和检索。

假设，到现场 发现一台电脑，如果是开机状态，你就不能关机的。只能对电脑进行开凿然后进行数据提取，如果是关机状态，就只能保持关机，直接对硬盘进行复制，打镜像。做到开机不关，关机不开即可。

服务器如果取证的话，取证的话，是不能正常关机的，只能直接拔掉电源。你也可以理解为，直接拔掉电源，防止有人远程连接服务器进行数据篡改。

静态取证，是电脑已经摆在面前了，直接对数据进行分析。事后取证，是已经案发了，这个事情已经发生了，我们在进行一个取证调查过程。软硬件恢复技术，是对数据进行恢复，因为你不知道他的硬盘是否进行了一次格盘操作，当你找不到相关的信息，得到允许后，你可对当前的硬盘进行一次数据恢复。

有个案子，是一个制作外挂的，非法牟利百万，严重影响了游戏厂商正常运营，无奈选择 案，当公安局抓获嫌疑人后，在他的硬盘里没有找到外挂源代码或者是其他信息，取证方就可以思考，是否在我们来之前，嫌疑人就已经把硬盘数据删掉了，正常的取证你是取不到什么，所以只能对硬盘做一次数据恢复然后尝试取证。

数据格式分析检索技术，这个比较好理解，数据格式，比如是TXT，word，PPT，EXE都属于一个格式，取证过程对你想要的数据进行格式检索，提高效率之用。

络取证

络取证，他是区别于现场取证的， 络取证都是动态的一种取证方式，现有大多数案子都是 络取证的。

数据抓取技术：利用抓包工具（wireshark等），对信息日子进行分析，过滤IP等等。

海量数据与协议分析：有关海量的，必定是基于大数据平台，海量数据与协议分析就是基于大数据平台来获取相关信息。

有个案例是，一黑客对手机用户进行木马植入，取证方对木马APK进行反编译，从而发现黑客做数据提交的一个IP地址，查阅后发现是某大型云服务器平台，从而提交到相关人员，锁定此人。

事实取证：确定犯罪事实的具体内容和过程。

这个取证的内容包括 络状态和数据包分析、日志文件分析、然后对文件内容进行调查、使用痕迹调查，软件的功能分析等。

数据包分析就和数据抓取一样了，日志文件的分析，像WIN系统都有运行日志，像伪基站系统，他也会记录日志，什么时候向什么人发送了什么信息，这些都是可以在日志里得到的。文件内容调查，取证时对相关文件进行调查分析，比如一个商业机密的Word或者是合同。

使用痕迹的分析，就好比什么用户，什么时候做了什么事。比如我在我电脑上插上U盘，拔下，拷贝录入和删除行为，都属于使用痕迹。

软件功能分析，有可能涉及到对软件进行OD反编译，如果有源代码就对源代码分析，没有就只能分析软件运行后的行为，一步一步调试。

这个一是自己搭建环境，在环境里对功能进行分析。有点类似于分析一个病毒，他运行后是调用了系统的什么进程。

二就是对源代码分析了，也需要对编程有所了解，得看懂源码才行。

络取证相关技术

功能和优势都列举出来了，需要体验的请自行百度下载。

• 页取证相关技术

  查看 页使用语言， 站信息，利用爬虫来获取 站相关数据。

• 站/服务器取证技术

  远程链接登陆服务器（如有需要，获取服务器账 密码的手段不限）查看日志，截获快照，但是全程都必须屏幕录制，是必须。

• 新型取证技术

  新型取证技术，内存取证，芯片取证，云取证，物联 取证，边信道于量子计算。

• 内存取证技术

  • 内存证据以及和硬盘证据成为打击 络违法犯罪的重要依据。

  • 内存证据分析可被用于发现系统的各种关键信息和用户行为特征。

  • 内存取证技术也可被用户恶意代码检测的分析。

内存取证实践：

• 虚拟内存文件

• 休眠文件

• 内存转储

• DMA

• 冷启动

这是一个内存取证的完整过程，1.2名词请百度一下。

DMA的原理就是，数据传输要经过CPU然后再传给电脑，这时候直接转到DMA，不经过CPU，数据传输非常快，但是保存数据量比较小。

冷启动，按住电源键强制启动或者关机，就是冷启动。但是可能会造成数据的丢失，这些数据都保存在内存，冷启动取证就是对机器进行冷却，尽快的恢复数据。

这是个被摔坏的手机。将它拆解，如下图红框里所示的就是芯片所在位置。

镜像读取完以后就可操作解析恢复，以及仿真。仿真他是模拟手机的实际运行环境。如下图微信红包所示。

量子计算取证

还没普及，就跳过吧………

到此电子取证技术基础就结束了，硬盘数据恢复这个，军方的条件是格式化37次，基本上无法提取数据了，最简单的方法是格式化后用大文件覆盖硬盘空间，大文件也就指垃圾文件。

实录：《肖志华：电子取证技术解析》