什么是法医学中的数字法医学?
数字取证在法医学中发挥着重要作用。它是人、过程、技术和法律的结合。一些值得注意的方法被用来识别、收集、保护、保存、分析、提取、事件活动、恢复,并根据网络犯罪发生地的区域和国际管辖范围记录数字证据报告。在整个调查过程中,数据采集、数据分析、数据完整性、数据提取和报告都起着关键作用。
数字法证行业的做法和服务在全球各地区都有所不同。2012年,ISO(国际标准化组织)和IEC(国际电工委员会)推出了ISO/IEC 27037:2012数字证据识别、收集、获取和保存指南的共同框架。从那时起,不同的组织根据数字取证标准的实践和行为准则制定其政策并加以实施。还有一些其他值得注意的ISO/IEC框架在实践中使用,如用于数字测试和实验室设置的ISO/IEC 17025,以及用于对证据进行合格评估的ISO/IEC 17020:2012标准。
在数字取证中,有几个分支在网络犯罪部门发挥着积极作用。
根据ISO/IEC 27037框架,检查人员应坚持使用经该机构验证的工具。
- 数据采集。
- 数据验证和核实(V&V)。
- 证据提取。
- 数据重构,以及
- 文档。
市场上有许多开源和专有的数字取证工具,如Sleuth Kit、FTK Imager、Xplico、osForensics、Winhex等。
NIST对数字取证的定义是什么?
数字取证是用来识别、收集、保护、保存、分析、提取、事件活动、恢复和记录网络犯罪活动的数字证据报告,对受害者和犯罪者的证据进行法律责任、民事、行政和刑事诉讼。数字取证调查是由执法部门、个人和私人实体进行的。在整个调查过程中,数据采集、数据分析、数据完整性、数据提取和报告都起着关键作用。
要成为一名成功的数字取证检查员,应该具备哪些关键特征?你现在想到了什么?
在数字取证领域,取证人员的角色和责任坚持为网络犯罪、安全事件和其他相关犯罪提供数字服务。这个角色需要几套技能,以实现高水平的法医检查员在捕捉、分析和提取证据中的数字数据的经验。以下技能组合是成为一名法医的必要条件。
调查策略
在信息技术、网络安全、网络犯罪和法医学领域的教育和经验。
现有的和新的取证工具和技术(T&T)。
法律和行业法规知识。
行业惯例。
专业的道德规范。
情绪智力。
具备解决问题的能力。
获得网络安全、数字取证和黑客攻击方面的专业认证。
✓团队的主题专家(SME)。
监管链。
✓沟通能力。
引言。
自知识产权形成以来。主要目的和目标在全球各个国家都有所不同,考虑的因素包括专利、版权、商标和商业秘密等,我们的主要调查重点是检查一个属于离开公司、现在为竞争对手工作的雇员的U盘。
调查和开发程序。
对公司计算机系统进行内部数字调查和取证检查。我们的主要调查重点是检查一个属于离开公司、现在为竞争对手工作的雇员的USB驱动器。
我们收到了额外的指示,关键词是"保密"来寻找USB驱动器中的文件。在本节中,我们将检查USB驱动器**,以确定任何可能与本案有关的证据文物**。所有需要的程序,如识别、分析、调查、开发和测试各种操作都用Autopsy来记录,它是一个开源工具[1]。
实训项目1/实训项目2/实训项目3
评估范围。
本案的数字取证调查的评估范围如下。
- 要分析数字媒体与公司Giggig Tech专有材料的证据。
- 使用 "Access Data FTK Imager Lite "捕捉磁盘图像,用于数字取证调查。
- 分析USB以发现与M57专利案有关的证据。
- 使用WinHex编辑器发现元数据。
- 探索不同类型的文件头。
实践项目1-3
**第1步:**首先,在你的电脑上打开 "Autopsy工具 "主屏幕窗口。如图1所示。
图1.Autopsy工具主屏幕。
第 2 步:启动 "Autopsy for Windows",点击 "Create New Case"(创建新案例)图标。在 "新案例信息 "窗口中,在案例名称文本框中输入C1Prj01。
第3步:现在,点击基础目录文本框旁边的浏览。导航到并点击你的工作文件夹,然后点击下一步。
图3.创建一个案件编号并添加审查员信息。
第4步:在 "选择数据源 "窗口,点击 "选择数据源类型"列表箭头,并点击 "磁盘镜像或虚拟文件"。点击 "浏览图像文件 "文本框旁边的浏览按钮,导航并点击你的工作文件夹和C1Prj01.E01文件,然后点击打开。点击下一步。在配置输入模块窗口,点击选择全部。点击 "下一步",然后点击 "完成"。
图4.添加一个源和源类型信息的。
](cdn.hackernoon.com/images/-ijf…) ! [图5.数据源添加到数据库中。
](cdn.hackernoon.com/images/-9eg…)
第5步:在树状视图窗格中,展开视图、文件类型、按扩展名和文档。我们检查树形窗格部分下的每个子文件夹,以确定哪个文件夹可能包含对本案感兴趣的文件。
图6.树状视图窗格。
第6步:如果你发现了与本案有关的任何文件,将这些文件作为一个组来选择,右击所选的文件,并点击提取文件。在 "保存 "对话框中,点击 "保存",将文件自动保存在 Autopsy 的案例子文件夹中。Work\Chap01\Projects\C1Prj01\Export。
图 7.文件识别和提取过程。
第7步在报告中写一个不超过一段的简短报告,包括你发现的任何内容的事实。当你完成后,如果你要继续下一个项目,请让Autopsy运行。
结论。
在这个USB调查案例中,我们对缴获的USB驱动器进行了鉴定和分析,以寻找本案的任何潜在突破口。结果,我们成功提取了两个文件(一个文本文件和一个Excel表)。根据从尸检中提取的文件,我们确定西尔维娅留下了一份遗书,如图8所示。此外,在图9中,一张Excel表简要介绍了资产审计信息。西尔维娅的人寿保险与其他资产一起被估价为100万美元。这断定此案与她的男友可能的谋杀有关,以索取保险和其他资产作为合伙人。
实践项目2-2
调查和开发程序。
对公司计算系统进行内部数字调查和取证检查。
我们的主要调查重点是检查一个属于一个离开公司、现在为竞争对手工作的员工的USB驱动器。我们收到了带有关键词 "机密 "的额外指示,以寻找USB驱动器中的文件。在本节中,我们将检查该USB驱动器,以确定任何可能与本案有关的证据性文物。
**第一步:**首先,在电脑上打开 "解剖工具 "主屏幕窗口。如图1所示。
图 1.尸检工具主屏幕。
特别注意:请参考实践项目1-2,并重复步骤2至步骤5的相同程序。创建、浏览、选择文件夹和创建工作区的步骤与 实践项目2-2相似。
第6步:点击最右上方的关键词搜索按钮,在文本框中输入 "机密",然后点击搜索。
图7.关键字搜索按钮。
第7步:在结果查看器窗格中,一个名为关键词搜索1的新标签打开。点击每个文件,在内容查看器窗格中查看其内容。
图8.文件识别和提取过程中的关键词保密。
第8步:按住Ctrl + 右键,选择关键词搜索1标签中的文件。右键单击这个选择,指向标签文件,并单击标签和注释。在创建标签对话框中,点击新标签 名称按钮,在标签名称文本框中输入恢复的办公室文件,然后点击确定。
图9.为每个文件类型添加一个名为 "Recovered Office Documents "的标签。
在创建标签对话框中,点击新标签 名称按钮,在标签名称文本框中输入 "Recovered Office Documents",然后点击确定。
图10.为每个文件类型添加标签名称Recovered Office Documents。
**第9步:**点击顶部的 "生成报告"。在 "生成报告 "窗口中,在 "报告模块 "部分点击 "结果 - Excel"选项按钮,然后点击 "下一步"。
图11.生成一个Excel报告。
步骤10:在配置人工制品报告窗口中,点击标签结果按钮,点击恢复的办公室文件复选框,然后点击完成。
图12.通过选择所有标签结果来生成一个Excel报告。
**第11步:**在 "报告生成进度完成 "窗口,点击 "结果 - Excel"路径名,打开Excel报告。这个Excel文件应该有几个标签,是关于你为这个项目标记的文件的信息。
图 13.验证生成的Excel报告中的所有标签结果。
**第12步:**写一份备忘录给琼斯女士,包括你发现的任何内容的事实,确保列出你发现关键词命中的文件名。列出发生在未分配空间的命中的群组号码。在报告中包括Excel电子表格。
图14.带有Memo报告的文件类型和文件名列表。
结论。
在这个USB调查案件中,我们确定并分析了缴获的USB驱动器,以寻找本案的任何潜在突破口。结果,我们成功地提取了带有给定关键词 "机密"的9个文件,并生成了一个Excel表格。
根据从尸检中提取的文件,我们确定了前雇员带走公司的机密和商业秘密文件,如图8所示。和图13。此外,Excel表还简要介绍了机密文件的信息,以便在诉讼中合法地提出该案。结论是,本案与前雇员盗窃知识产权(IP)并与竞争者分享以换取赠款有关。
实践项目3-3
调查和开发程序。
对该公司的商业秘密盗窃案进行内部数字调查和取证检查。我们的主要调查重点是 检查一个USB驱动器我们收到了一封写给人力资源部门的匿名信,这封匿名信属于一名前雇员Ralph Williams,他离开了公司,现在为一家竞争对手工作。我们收到了拉尔夫-威廉姆斯的额外指示,要求他拍摄属于ACE帆船有限公司的照片,其中包含从2006年4月开始的照片。 商业秘密从2006年4月开始,在USB驱动器中寻找照片,该驱动器与ACE帆船的竞争对手Smith Sloop Boats的新雇主共享。奥尔森女士指定;另一位专家已经将U盘做成专家证人格式的图像(扩展名为.E01)。在本节中,我们需要检查其内容是否有任何照片文件和其他可能与本案有关的人工制品,以证明匿名投诉是真的还是假的。
**第一步:**首先,在电脑上打开 "解剖工具 "主屏幕窗口。如图1所示。
图1.Autopsy工具主屏幕。
特别注意:请参考实践项目1-2,并重复步骤2至步骤5的相同程序。创建、浏览、选择文件夹和创建工作区的程序与 实践项目3-2相似。
第6步:在 "结果查看器 "窗格中,如有必要,向右滚动,直到 "修改时间 "列出现在视图中。通过点击修改时间的标题对该列进行排序。
图7.通过点击 "修改时间 "对该列进行排序。
第7步:向下滚动,直到找到第一个起始月份为2006年4月的文件,然后点击该文件,在内容查看器中查看它。按键盘上的向下箭头,查看所有在2006年4月创建或修改的文件。
第8步:按Ctrl+右键点击每个有船或船的一部分的照片的文件。右键点击这个选择,指向标签文件,然后是快速标签,并点击跟进。
图9.用Follow Up来标记文件。
第9步:在树状视图窗格中,向下滚动并展开标签、跟进和文件标签。在结果查看器窗格中,点击缩略图标签来查看被标记的照片。
图10.树状查看器窗格 - 识别所有后续文件。
**第10步。**要创建一个报告,点击顶部的 "生成报告"。在 "生成报告"窗口中,在 "报告模块 "部分点击 "结果 - HTML"选项按钮,然后点击 "下一步"。
图11.要生成报告。
第11步:在配置人工制品报告窗口中,点击标签结果按钮,点击跟进复选框,然后点击完成。
图12.生成带标签文件的报告。
第12步:在 "报告生成进度 "窗口,点击 "结果--HTML"路径名,查看报告。查看报告时,点击链接来检查标签文件。当你完成后,在报告生成进度窗口点击关闭。
图13.生成带标签文件的报告。
**第 13 步:**右击 Html 报告,点击打开,查看报告的细节。
图 14.查看生成的 Html 报告。
第**14步:**包含与标签文件和结果相关的图像缩略图。
结论。
在这个USB调查案例中,我们确定并分析了USB驱动器在本案中的任何潜在突破口。结果,我们成功地提取了给定指令 "照片 "中的三十七个文件,并生成了一份HTML报告。
根据从尸检中提取的文件,我们发现前雇员并没有拿走公司的机密和商业秘密文件,如图15所示。此外,一个Excel表格简要介绍了有关机密文件的信息,以便在诉讼中合法地提出该案件。结论是,本案与前雇员盗窃知识产权无关,这一说法是一个假象。
谢谢你的阅读!祝您有一个愉快的一天!
今天的名言。
**Growth is often a painful process.**
成長は往々にして苦痛を伴う過程である。
l o a d i n g
. ..评论及更多!
