打開(kāi)通向高效證據(jù)的搜集和響應(yīng)的一扇門(mén)

打開(kāi)通向高效證據(jù)的搜集和響應(yīng)的一扇門(mén)第1頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月介紹第2頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月簡(jiǎn)介

MatthewM.Shannon,信息系統(tǒng)安全認(rèn)證專(zhuān)家,計(jì)算機(jī)取證調(diào)查員MatthewShannon,自2004年1月開(kāi)始擔(dān)任Agile風(fēng)險(xiǎn)管理有限公司負(fù)責(zé)人，是信息安全和計(jì)算機(jī)取證方面的專(zhuān)家，他有10年企業(yè)工作的經(jīng)歷，曾在畢馬威會(huì)計(jì)事務(wù)所、?？松梨诠?、聯(lián)合技術(shù)公司等企業(yè)工作過(guò)。Matthew也是F-Response軟件的主要設(shè)計(jì)者之一，它是首款真正采用與供應(yīng)商無(wú)關(guān)技術(shù)實(shí)現(xiàn)遠(yuǎn)程計(jì)算機(jī)取證、應(yīng)急響應(yīng)和電子發(fā)現(xiàn)。F-Response在美國(guó)和其他國(guó)家，包括澳大利亞、巴西、中國(guó)、德國(guó)和波蘭都得到廣泛應(yīng)用，包括政府部門(mén)、法律部門(mén)和企業(yè)。Matthew作為一名演講嘉賓出席過(guò)很多會(huì)議，包括第11屆DEFCON黑客大會(huì)、美國(guó)保密會(huì)議等，不僅如此，最近他又受邀參加即將在中國(guó)北京舉行的中國(guó)計(jì)算機(jī)取證峰會(huì)和在香港舉行的國(guó)際高科技犯罪調(diào)查協(xié)會(huì)。Mr.Shannon在1999年以優(yōu)等生身份畢業(yè)于美國(guó)佛羅里達(dá)大學(xué)決策和信息科學(xué)專(zhuān)業(yè)，此外，在2004年他還因他的專(zhuān)業(yè)和市場(chǎng)成就被Tampa海灣商業(yè)雜志評(píng)為當(dāng)?shù)?0歲以下最成功的30人之一。第3頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月摘要介紹當(dāng)前計(jì)算機(jī)取證和應(yīng)急響應(yīng)的簡(jiǎn)要概述實(shí)時(shí)計(jì)算機(jī)取證和應(yīng)急響應(yīng)概要實(shí)時(shí)計(jì)算機(jī)取證出現(xiàn)趨勢(shì)F-Response作為實(shí)時(shí)取證工具問(wèn)題和討論第4頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月當(dāng)前計(jì)算機(jī)取證第5頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月在物理世界和數(shù)字世界的證據(jù)收集第6頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月當(dāng)前計(jì)算機(jī)取證實(shí)際操作步驟典型做法是對(duì)一臺(tái)脫機(jī)或關(guān)機(jī)的計(jì)算機(jī)的硬盤(pán)進(jìn)行取證操作下述經(jīng)典的計(jì)算機(jī)取證步驟現(xiàn)在依然十分重要:獲取階段(保護(hù)和搜集)認(rèn)證階段(委托第三方)分析和報(bào)告第7頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月當(dāng)前計(jì)算機(jī)取證實(shí)際操作步驟

應(yīng)急響應(yīng)時(shí)間軸

第8頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月時(shí)間軸詳細(xì)內(nèi)容3:12–

攻擊發(fā)生7:12–

開(kāi)始發(fā)現(xiàn)并注意.11:12–

開(kāi)始獲取和認(rèn)證17:12-開(kāi)始分析在可能獲得更多信息之前流失了14個(gè)小時(shí)。第9頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月獲取正如期望的那樣，獲取階段集中在對(duì)硬盤(pán)設(shè)備上的證據(jù)搜集上面。典型地，這個(gè)階段包括從主盤(pán)生成一個(gè)或多個(gè)磁盤(pán)鏡像這一過(guò)程。任何工具都可以使用，包括如TASK/DD/Sleuthkit等開(kāi)源軟件和X-Ways,SMART,EncaseMacForensicsLab等商業(yè)軟件。第10頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月認(rèn)證認(rèn)證過(guò)程可以發(fā)生在證據(jù)獲取時(shí)或證據(jù)獲取后。在這個(gè)階段對(duì)原始證據(jù)的鏡像或副本進(jìn)行認(rèn)證。典型的，這個(gè)過(guò)程通過(guò)使用MD5或者SHA1哈希匹配來(lái)完成。第11頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月分析第三階段操作步驟包括對(duì)新獲取的證據(jù)鏡像或副本進(jìn)行研究和調(diào)查的過(guò)程。有很多軟件可用于證據(jù)分析，最好多種工具一起使用，能對(duì)分析結(jié)果相互驗(yàn)證，或能幫助找到更多證據(jù)。開(kāi)源工具(TASK/Sleuthkit/Autopsy)商業(yè)工具(X-Ways,SMART,Encase,MacForensicsLab,FTK,等等)第12頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月需要關(guān)注的問(wèn)題隨著磁盤(pán)容量不斷增大，獲取磁盤(pán)鏡像的時(shí)間越來(lái)越長(zhǎng)，因而獲取階段的下一步驟分析階段耽擱的時(shí)間也就越久。分析過(guò)程之后經(jīng)常得不到一個(gè)實(shí)質(zhì)性的結(jié)果，造成證據(jù)獲取和認(rèn)證過(guò)程做了無(wú)用功，浪費(fèi)了時(shí)間。第13頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)計(jì)算機(jī)取證第14頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)計(jì)算機(jī)取證什么是實(shí)時(shí)取證？按定義說(shuō)，實(shí)時(shí)取證就是對(duì)正在運(yùn)行的計(jì)算機(jī)進(jìn)行證據(jù)的獲取、認(rèn)證和分析。第15頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月為什么要實(shí)時(shí)取證?靈活性:取證是一個(gè)不斷變化的領(lǐng)域，不同情況下的案件要區(qū)別對(duì)待，實(shí)時(shí)取證必能給取證調(diào)查多提供一個(gè)有用的選擇。速度：實(shí)時(shí)取證就是快速獲取答案和快速保存那些易失信息。傳統(tǒng)證據(jù)搜集：實(shí)時(shí)取證技術(shù)是對(duì)物理世界犯罪情況調(diào)查人員使用的傳統(tǒng)證據(jù)搜集技術(shù)的回歸。第16頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)取證獲取不是所有案例需要全部的獲取階段。讓我們看幾個(gè)案例，實(shí)時(shí)取證在其中是有用且重要的。應(yīng)急響應(yīng)基于服務(wù)器的RAID陣列普通案例調(diào)查邏輯文件獲取第17頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)取證應(yīng)急響應(yīng)時(shí)間軸第18頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)取證時(shí)間軸細(xì)節(jié)3:12–

攻擊發(fā)生7:12–

開(kāi)始發(fā)現(xiàn)并注意7:12-全盤(pán)分析開(kāi)始在可能獲取更多信息前流逝了4個(gè)小時(shí)第19頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月應(yīng)急響應(yīng)案例使用實(shí)時(shí)分析工具和技術(shù)可以立即分析遭到攻擊的服務(wù)器，而這些操作和改動(dòng)對(duì)磁盤(pán)上潛在的證據(jù)的影響微乎其微。不是所有攻擊都會(huì)立即顯現(xiàn)，通常需要預(yù)分析。如果沒(méi)有合適的工具進(jìn)行操作，則這種預(yù)分析的行為可能會(huì)改變和破壞潛在的關(guān)鍵證據(jù)。第20頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月基于服務(wù)器的RAID陣列使用傳統(tǒng)方法很難獲得基于服務(wù)器的RAID陣列(廉價(jià)磁盤(pán)冗余陣列)數(shù)據(jù)。通過(guò)獲取每一個(gè)磁盤(pán)的數(shù)據(jù)，最后獲得整個(gè)磁盤(pán)上的數(shù)據(jù)，這種方法有時(shí)很難訪問(wèn)到RAID陣列上的原始數(shù)據(jù)。讓RAID作為一個(gè)邏輯的物理磁盤(pán)對(duì)其進(jìn)行實(shí)時(shí)鏡像，通常效果會(huì)更好，效率更高。第21頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月一般案例調(diào)查不是所有的調(diào)查都能稱(chēng)之為案例一般情況下的調(diào)查都只是找找看看形式的查看，不帶有懷疑其中某部分內(nèi)容的傾向。在這些案例中，證據(jù)獲取階段在沒(méi)有必要的情況下耽誤了分析工作的時(shí)間，并且很可能增加操作失誤。第22頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月邏輯文件獲取不是所有的案例都需要對(duì)物理磁盤(pán)進(jìn)行全盤(pán)鏡像。在一定情況下，只獲取選定的邏輯文件是完全可行的。這些文件通常包括Email，Office文檔或某些具有特殊技術(shù)的文件。第23頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)取證認(rèn)證當(dāng)從一臺(tái)運(yùn)行的電腦上搜集證據(jù)時(shí)，獲得所搜集證據(jù)的認(rèn)證信息也是同等重要的。美國(guó)聯(lián)邦證據(jù)法第九章，認(rèn)證和證明。在大多數(shù)證據(jù)獲取情節(jié)中，你最新獲取的鏡像往往成為最好的證據(jù)，不管是在實(shí)時(shí)狀態(tài)下獲取的還是非實(shí)時(shí)狀態(tài)下獲取的。第24頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)取證分析通常包含對(duì)物理磁盤(pán)和物理內(nèi)存的分析。對(duì)某些特定的問(wèn)題可能會(huì)很快給出答案。病毒？RootKit？便于證據(jù)獲取前的分析，讓調(diào)查者專(zhuān)注于直接獲取有用數(shù)據(jù)的過(guò)程中來(lái)。第25頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月法庭上的實(shí)時(shí)取證第26頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月下述關(guān)于法律規(guī)則的幻燈片下面幾張幻燈片集中研究美國(guó)聯(lián)邦證據(jù)法，相似的法律存在于很多國(guó)家的關(guān)于證據(jù)認(rèn)可法律法規(guī)部分。我們推薦你們以此信息為基礎(chǔ)，去回顧你們本國(guó)的法律以及相關(guān)程序。第27頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月法庭中的可受理問(wèn)題指什么？實(shí)時(shí)取證給我們工作提供了極大的靈活性，但多大一部分是我們真正需要的？

回答：美國(guó)聯(lián)邦證據(jù)法和聯(lián)邦民事訴訟法沒(méi)有告訴你怎樣做，作為負(fù)責(zé)人，你的工作就是做出能夠事實(shí)的合理決定，合理利用人類(lèi)規(guī)則。

第28頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月保管鏈“保管鏈”這個(gè)術(shù)語(yǔ)在聯(lián)邦證據(jù)法中出現(xiàn)過(guò)多少次？

回答：一次也沒(méi)有。

保管鏈非常重要，并在聯(lián)邦證據(jù)法第九章專(zhuān)門(mén)論述過(guò)，但這個(gè)術(shù)語(yǔ)從沒(méi)有在聯(lián)邦證據(jù)法中出現(xiàn)過(guò)。

第29頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月聯(lián)邦證據(jù)法第九章：認(rèn)證和證明

規(guī)則901：認(rèn)證和證明的要求(a)一般規(guī)定 作為法庭可受理證據(jù)的先決條件，對(duì)認(rèn)證和證明的要求是它要滿足支持者所提供的證據(jù)和他聲稱(chēng)的一致這一要求。第30頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)證據(jù)在聯(lián)邦證據(jù)法中電腦這個(gè)詞出現(xiàn)過(guò)多少次？

回答：一次

第十章規(guī)則1001(3);

Original的定義

第31頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月聯(lián)邦證據(jù)法第十章：關(guān)于著作、唱片和圖片的內(nèi)容規(guī)則1001.定義;(3)Original.

對(duì)一個(gè)作品或唱片Original的定義，是指這個(gè)著作或唱片本身，同時(shí)也包含和著作、唱片具有相同效果的任何副本。對(duì)照片Original的定義，不僅包含底片，還包含由此底片洗出來(lái)的任何照片。如果數(shù)據(jù)存于電腦中或類(lèi)似設(shè)備中，任何打印出來(lái)的或通過(guò)其他渠道生成的人們可清洗讀取的數(shù)據(jù)副本，都視其為Original的。第32頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月工具和方法我怎么知道某一個(gè)計(jì)算機(jī)取證工具已經(jīng)被法庭承認(rèn)可以使用呢？

回答：在美國(guó)沒(méi)有這種認(rèn)證程序，但Daubert規(guī)則決定了通過(guò)科學(xué)技術(shù)搜集到的證據(jù)的可受理與否。

第33頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月Daubert規(guī)則

在每項(xiàng)技術(shù)被法庭認(rèn)為可受理之前，有五點(diǎn)要考慮這項(xiàng)技術(shù)是否已經(jīng)在實(shí)際條件下經(jīng)過(guò)測(cè)試了（而不僅在實(shí)驗(yàn)室）是否經(jīng)過(guò)同行審查和公開(kāi)發(fā)表？已知的或潛在的錯(cuò)誤幾率是多少？是零么？還是可以低到接近于零？是否存在控制技術(shù)操作的一個(gè)標(biāo)準(zhǔn)？是否被科學(xué)共同體內(nèi)的科學(xué)家們普遍接受?第34頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)計(jì)算機(jī)取證的出現(xiàn)趨勢(shì)第35頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月實(shí)時(shí)計(jì)算機(jī)取證的出現(xiàn)趨勢(shì)在調(diào)查過(guò)程中，物理內(nèi)存扮演了越來(lái)越重要的角色。實(shí)時(shí)計(jì)算機(jī)取證工具和傳統(tǒng)計(jì)算機(jī)取證工具重疊功能不多。響應(yīng)的時(shí)機(jī)變得愈發(fā)重要，幾天可以縮成幾個(gè)小時(shí)甚至幾分鐘。第36頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月理念F-Response?

提供了靈活解決日益出現(xiàn)的問(wèn)題的辦法，它能使用任何現(xiàn)有的檢查工具，通過(guò)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)取證服務(wù)。檢查工作要求直接、只讀地訪問(wèn)物理存儲(chǔ)設(shè)備,F-Response?

可以利用網(wǎng)絡(luò)實(shí)現(xiàn)這種形式的訪問(wèn)。F-Response?

是安全的，訪問(wèn)需要雙方強(qiáng)制認(rèn)證，只讀形式的訪問(wèn)避免檢查人員進(jìn)行檢查分析操作時(shí)改動(dòng)任何數(shù)據(jù)。這種能力大大增加了電子取證調(diào)查和電子結(jié)果發(fā)現(xiàn)的效率。第37頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月如何工作F-Response?使用iSCSI

標(biāo)準(zhǔn)協(xié)議創(chuàng)建一個(gè)安全只讀的連接，連接被檢查的機(jī)器和檢查人員的機(jī)器。F-Response?將存儲(chǔ)設(shè)備映射到檢查人員的機(jī)器上，使它看起來(lái)像在檢查人員自己的機(jī)器上檢查一樣。連接是只讀的，因此任何情況下的數(shù)據(jù)更改都是不可能發(fā)生的。通過(guò)F-Response?連接，實(shí)時(shí)取證獲取或預(yù)分析就可以實(shí)施啦。第38頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月F-Response?Key外觀F-Response?FOB……無(wú)需驅(qū)動(dòng)安裝的HID（美國(guó)一個(gè)讀卡器和卡片品牌名）設(shè)備第39頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月F-Response?

實(shí)際運(yùn)用下圖描述了F-Response?的應(yīng)用.F-Response?程序安裝在網(wǎng)絡(luò)中的計(jì)算機(jī)上，本地取證分析人員持有F-Response?USB許可密鑰FOB和合適的第三方分析工具。F-Response?可以幫助實(shí)時(shí)分析通過(guò)網(wǎng)絡(luò)連接的計(jì)算機(jī)。第40頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月使用簡(jiǎn)便使用F-Response?

進(jìn)行取證分析的操作如下：取證人員需要一個(gè)連接網(wǎng)絡(luò)的運(yùn)行的計(jì)算機(jī)以進(jìn)行調(diào)查。F-Response?

采用iSCSI協(xié)議寫(xiě)的程序運(yùn)行在將被檢查的機(jī)器上。F-Response?

代碼很小，可以在檢查之前裝入機(jī)器，也可以在檢查時(shí)裝入電腦。安裝后不許重啟動(dòng)即可使用。F-Response?

在被檢查的機(jī)器下建立起了安全的，多方認(rèn)證的，只讀的網(wǎng)絡(luò)連接。利用F-Response?檢查人員通過(guò)網(wǎng)絡(luò)開(kāi)始執(zhí)行分析的過(guò)程。接受檢查的機(jī)器的用戶仍然可以進(jìn)行自己的操作，在檢查的過(guò)程中對(duì)原機(jī)器提供的服務(wù)沒(méi)有任何中斷。第41頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月F-Response?

實(shí)例案例研究：

最近一個(gè)客戶遭受了一次功過(guò)網(wǎng)絡(luò)進(jìn)行的攻擊，F(xiàn)-Response?允許我們同時(shí)檢查若干個(gè)電腦，這樣可以識(shí)別問(wèn)題和修復(fù)問(wèn)題。先鏡像后分析需要花費(fèi)好幾天，我們卻在幾個(gè)小時(shí)內(nèi)完成任務(wù)。經(jīng)驗(yàn)：

大多是案例中，鏡像每一個(gè)需要檢查的電腦通常是不合理也是不符合實(shí)際的。F-Response?允許調(diào)查人員迅速響應(yīng)，同時(shí)在數(shù)小時(shí)內(nèi)出具報(bào)告（相對(duì)于幾天）且費(fèi)用較低。，通過(guò)網(wǎng)絡(luò)可以對(duì)機(jī)器進(jìn)行實(shí)時(shí)查看而不影響用戶的使用。第42頁(yè)，課件共46頁(yè)，創(chuàng)作于2023年2月為吸引公司、顧問(wèn)、管理服務(wù)提供商、電子發(fā)現(xiàn)公司、先遣隊(duì)等不同行業(yè)和人群的使用，F(xiàn)-Response?提供三種不同的許可證可供選擇。許可證由一個(gè)安全的USB密鑰（名叫FOB）來(lái)實(shí)現(xiàn)。F-Response?FieldKit是基于圖形界面的解決方案，它允許調(diào)查人員一次只能檢查一臺(tái)機(jī)器。在這個(gè)情況下，無(wú)需驅(qū)動(dòng)的F-Response?USB許可密鑰或者說(shuō)“FOB”就插在被檢查的機(jī)器上。F-Response?Consultant