数字取证实践指南-二-

布客飞龙
143 阅读1小时+

数字取证实践指南(二)

原文:annas-archive.org/md5/0bf21febc8db41989be66ed4cb38509d

译者:飞龙

协议:CC BY-NC-SA 4.0

第七章:Windows 和其他操作系统作为证据来源

大多数笔记本电脑、台式机和基于网络的计算机使用 Windows 操作系统,本章将详细描述这一点,并简要介绍其他常见的操作系统。本章将帮助你理解计算机上处理的信息的复杂性和性质,从而辅助司法鉴定,并有助于重建与存储在各类操作系统中的数字证据相关的关键事件。

本章将讨论:

  • Windows 注册表、系统文件和日志作为数字证据资源

  • 苹果及其他操作系统结构

  • 远程访问和恶意软件攻击,以及反取证技术对数字证据恢复所带来的普遍挑战

  • 一个关于 Windows 注册表分析的案例研究

Windows 注册表、系统文件和日志作为数字证据资源

基于 Windows 的系统有一个名为Windows 注册表的设置集中库。注册表通常是一个宝贵的信息来源,可以用于澄清和证实从文件系统中恢复的其他相关信息。Windows 注册表是 Windows 操作系统的重要组成部分,维护着系统的配置、支持的应用程序、访问系统的用户以及附加的设备和网络的配置。

注册表由一个目录结构组成,包含文件夹或“蜂巢”,这些蜂巢包含文件或键,这些键包含值,有时还包含子键。每个键包含特定的值,这些值被操作系统或依赖该值的应用程序使用,例如计算机使用的时区、远程访问设置的状态或附加存储设备的详细信息。

注册表资源管理器允许用户探索注册表蜂巢的内容,这些蜂巢在查看之前必须经过处理。根据检查的目的,注册表可能包含有价值的信息。注册表键有一个关联值,称为最后写入时间,它记录了键的最后修改时间。最后修改时间可能揭示键中更改的内容。有些注册表键包含多个值,这也使得确定哪个值被更改变得更加困难。

以下截图展示了使用 ILookIX 注册表资源管理器查看的注册表蜂巢的样本,包含所有已处理的注册表蜂巢,并附有一个查看器用于查看选定的键和值:

Windows 注册表、系统文件和日志作为数字证据资源

使用 ILookIX 注册表资源管理器查看注册表蜂巢

从业人员必须对注册表的工作原理和布局有所了解,并知道它可能提供哪些佐证。接下来的小节将介绍如何找到需要查看的地方以及所需的信息。

在注册表中寻找有用的线索

注册表浏览器有两个部分:

  • 上部显示了 hives、键和子键

  • 下部显示注册表值的名称和属性

hives 的结构显示在顶部面板中,如下图所示。点击 hives 中的任何键将显示该键的值在下方面板中。点击下方面板中的一个值将显示该值的数据,并在查看面板中展示。

在注册表中寻找有用的线索

注册表查看器显示注册表的 hives 和键

注册表浏览器具有其他取证工具中不存在或实现不完全的功能,例如:

  • 搜索:它搜索已加载的 hives 的值数据

  • 列表:用于列出你当前在顶部面板中选择的键下的所有值

  • 键结构报告:此功能创建当前在顶部面板中可见的结构报告

  • Hive 值报告:此功能创建当前在下方面板中显示的值报告

  • 值名称查找:此功能允许你搜索值名称

  • 隐藏值列表:用于列出你当前在顶部面板中选择的键下的所有隐藏值(如果有的话)

注册表浏览器标记了一些可能从正常视图中隐藏的 hives、键和值。隐藏的键和值,通常用于存储病毒和 Trojan 数据,可能包含额外的数据。如果有这些数据,ILookIX 将允许从业人员查看。Windows 中的程序,包括病毒和 Trojan,有能力通过直接写入注册表来读取和写入值,而使用标准 Win32 应用程序编程接口Win32 API)的程序无法检测到这些。这些值被称为隐藏值。

也有一些程序不依赖于 Win32 API,并能够向注册表写入隐藏值。这可以用来隐藏数据。隐藏值不应自动被解释为恶意的,因为例如 Windows XP 中就有约 27 个隐藏值。

通过选择一个键或子键,或使用任一生成列表按钮,值的列表将被传送到注册表浏览器下部的值列表框中。下方窗口中的列表将显示有关该值的相关信息,如下图所示:

在注册表中寻找有用的线索

注册表查看器显示一些键的值

以下截图显示了值的十六进制编辑器视图:

在注册表中寻找有用的线索

键值的十六进制视图

以下屏幕截图显示的搜索功能使用索引搜索来识别有用的数据,例如在相应字段中进行的词语搜索:

  • 注册表键

  • 注册表值

  • 注册表数据

在注册表中寻找有用线索

在注册表中搜索信息

通过注册表映射设备

通过映射设备以确定分区和已挂载及附加的存储设备,工作人员将更深入了解设备的使用情况。例如,考虑一种情况,计算机上已拆卸的内部硬盘被恢复,并包含一些可用的证据。

应考虑以下事项:

  • 它可以与设备关联吗?

  • 如果是这样,这是否增加了设备用户与硬盘之间存在关系的可能性?

  • 如果不是,这是否影响嫌疑人与设备上证据之间的关联强度?

ILookIX 将识别设备分区并从中提取数据。然而,检查其他证据可能会提供更具体的设备来源细节。

Windows 会记录连接到设备的各种内部和外部硬盘的详细信息,以及其他外设的细节,如打印机、光驱和优盘。通过该设备日志,可能显示以前连接的、现已断开的外部设备的记录。在注册表中,SYSTEM\MountedDevices 键记录了以前挂载的设备。它可以提供许多附加 USB 设备的实际序列号——这是工作人员在重建关键事件时最有用的属性。以下屏幕截图显示了连接到台式计算机的设备集合:

通过注册表映射设备

查看注册表中的系统挂载设备

检测 USB 可移动存储

为了重申,已连接到计算机的外部设备的详细信息,尤其是 USB 设备、手机和数码相机,会被存储在注册表中。注册表记录了一些附加外设的基本信息,如内部硬盘、显示器、键盘和鼠标,但它也会保存有关可能曾暂时连接到计算机的其他设备的信息,例如外部硬盘、优盘、手机和数码相机。

以下屏幕截图显示了存储在注册表中的附加 USB 优盘记录,并显示了制造商的名称。通常,设备的唯一序列号可以被恢复。

检测 USB 可移动存储

显示附加 USB 设备记录的注册表

并非所有 USB 闪存驱动器都有序列号。这可以通过设备 ID 的第二个字符是&而不是数字来判断。在检查每个附加设备时,可以看到显示了各种值,包括ParentIdPrefix,但几乎没有其他信息能帮助实践者确定该值的来源或系统的使用情况。然而,注册表确实保存了其他可能有帮助的信息,例如HKEY_LOCAL_MACHINE\System\MountedDevices键,实际上是一个挂载卷的数据库。该数据库记录了与这些卷的唯一标识符相关的持久卷名。通过检查这些附加数据,通常可以证明分配给卷的名称,如驱动器字母F,将与附加闪存驱动器的ParentIdPrefix值相关联。如果用户为闪存驱动器指定了特定名称,这个名称也可能会记录在注册表中。

用户活动

注册表为每个被授权使用设备的用户保存各种文件,如NTUSER.DAT文件,并存储该用户的特定设置。这些文件的内容被映射到HKEY_USERS\SID配置单元,以记录用户登录的情况。该过程会创建并更新HKEY_CURRENT_USER配置单元,该配置单元可以提供有关用户登录设备后所采取的操作的有用信息。

审查最近使用和跳跃列表活动

注册表保存最近使用MRU)列表和跳跃列表,它们在第六章,选择与分析数字证据中被介绍。这个功能旨在帮助用户跟踪近期活动,例如快速访问曾查看的文字处理文档或图片视频。然而,从取证角度来看,它们就像窃贼在花园里留下的“脚印”,对于重建用户执行特定操作时的历史条目非常有用。它们被存储以跟踪用户可能在未来返回的项目。

注册表在此键中维护用户输入到开始 | 运行框中的命令列表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

当在运行框中输入命令时,操作会被记录到该键,并维护一个最近使用的值列表,尽管这些数据可能与文件和应用程序的元数据相关联。作为常规操作,检查这些数据是谨慎的做法,以确保没有无法解释的异常情况,以免影响证据的可信度。

检测无线连接

Windows 机器上的网络连接提供服务集标识符SSID)数据,确认当前及先前连接到桌面或笔记本电脑的无线网络。这个常用数据保存在注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\WZCSVC\Parameters\Interfaces Hive 中。此存储库可以提供包括 IP 地址在内的网络设置详细信息,这些信息存储在KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Interfaces\GUID键下。通过这些数据,可能有助于将 IP 地址与从计算机恢复的证据相联系。

查看 Windows 事件查看器日志

从 Windows 7 开始维护的事件查看器日志记录了比注册表中更多的信息。例如,它可以证明 USB 设备的连接,而这些连接可能并未保留在注册表日志中。它还可以记录某些程序的使用频率,例如虚拟网络,这些程序可能曾在操作并能够验证应用程序记录的日志。

以下截图中显示的部分文本格式包含与 USB 设备相关的相同信息,这些信息也可以在System Hive 中找到。注册表中还应显示设备驱动程序的安装日期,通常这些信息也会记录在事件查看器日志中。

查看 Windows 事件查看器日志

Windows 事件查看器显示连接的 USB 设备的记录

断开连接的 USB 设备会生成日志,这些日志可以证明需要更详细地检查外部设备断开连接的情况,并可能提供断开时间的时间戳。这些信息可能位于System Hive 中的CurrentControlSet\Enum\DeviceType\DeviceID\InstanceID\Properties\xxxx路径下。

从 VSS 中恢复隐藏数据

回顾第五章,增强取证工具的需求,可以得出结论,启用了 VSS 功能的 Windows 系统可以恢复额外的数据。在上一章节中的案例研究中,重要的文件从一个 VSS 文件夹中的 Dropbox 帐户恢复。在以下截图所示的实例中,ILookIX 的差异 XFR-VSS 记录功能被用来仅恢复那些包含文件内容差异的 VSS 文件夹:

从 VSS 中恢复隐藏数据

VSS 文件夹的恢复选项

在这次实验室仿真中,恢复了七个 VSS 文件夹,具体可以在以下截图中看到:

从 VSS 中恢复隐藏数据

从仿真图像中恢复的 VSS 的不同实例

不仅可以恢复已删除的文件,这些文件在其他情况下可能会被遮蔽,还可以恢复帮助重建违规行为的系统信息和日志。下图显示了注册表键和蜂巢的先前版本以及事件查看器的日志记录。这些记录可能揭示与远程访问、时钟和桌面设置更改以及注册表的恶意入侵相关的各种活动。

从 VSS 恢复隐藏数据

从 VSS 文件夹恢复的各种注册表蜂巢和键实例

还可以恢复诸如归档存储(包括压缩文件)之类的附加信息。下图突出显示了存在于不同 VSS 文件夹中的一些额外 ZIP 文件,并显示了不同的日期:

从 VSS 恢复隐藏数据

从 VSS 中恢复的归档存储,位于 ILookIX 容器类别中

从 VSS 文件夹中恢复的额外电子邮件存储,如下图所示,反映了不同时间段的电子邮件信息。在模拟过程中,VSS文件夹中提供了一封已删除的电子邮件,该电子邮件在当前驱动器视图中找不到:

从 VSS 恢复隐藏数据

从 VSS 文件夹中恢复的电子邮件

检查预取文件

启动 Windows 系统的过程会将一系列文件读取到 RAM 中,这是一个较长的过程,因此每当程序第一次运行时,Windows 都会创建预取文件。这些信息可以为执法人员提供与正在调查的系统上相关的各种程序的历史信息。

应用程序执行可能表明使用了反取证程序,例如,用于掩盖某种违规行为。如果程序已被删除,可能能够找到一个预取文件,确认该程序在删除前已被执行——这比简单的声明“该程序已安装,但是否执行过未知”要有帮助得多。

恶意软件活动有时可以通过检查预取文件来确定,预取文件可以提供其下载和执行的历史记录。prefetch文件夹和ReadyBoot文件夹如下面的截图所示:

检查预取文件

预取文件夹及其子文件夹视图

应用程序预取使用类似的过程,但它仅限于单个应用程序的启动,并且通常将其追踪文件存储在C:\Windows\Prefetch中。预取数据以一个名为Layout.ini的文件形式存在,文件按顺序保持一个目录,记录了在启动过程中活动的文件和文件夹,这是系统维护的一部分:

检查预取文件

Layout.ini 文件视图

预取文件分析并不复杂,实际上确认文件包含关于应用程序运行频率、音量细节和应用程序首次与最后一次运行的时间戳并不困难。Windows 10 会记录每次应用程序运行时最多八个时间戳,并将它们存储在ROOT/Windows/Prefetch文件夹中。

页面文件

Windows 使用pagefile.sys来存储当前无法适配到物理内存的内存帧。Windows 支持 16 个页面文件,但通常只使用一个隐藏文件,并将其存储在%SystemDrive%\pagefile.sys中。作为虚拟内存文件的作用,当 RAM 达到极限时,隐藏的pagefile.sys文件会运行,成为虚拟内存文件。当系统内存不足时,它会将内存转储到硬盘上作为页面文件,以补充稀缺的内存。这可能导致系统变慢,通常发生在运行过多应用程序时。

这个操作与hiberfil.sys的功能相似,因为它存储特定时间内运行的进程。然而,应该注意的是,pagefile.sys并不会记录所有的 RAM 活动。

pagefile.sys文件对系统的良好运行至关重要,并随着设备使用的不断进行而发生变化。以下截图显示了一个大尺寸的pagefile.sys文件的多个副本:

页面文件

定位 pagefile.sys 文件

休眠和睡眠文件

hiberfil.sys文件是 Windows 用于保存机器状态的默认文件,作为休眠过程的一部分。由于操作系统一直保持该文件处于打开状态,因此在系统运行时无法读取该文件。互联网遗留物通常存在于内存中,并通常以页面文件或休眠文件的形式保留下来。恢复已删除的休眠数据可以帮助确定休眠前内存中的内容。

睡眠模式提供的信息有限,因为 RAM 仍在后台工作,并且一旦设备重新启动,这些信息会消失。休眠模式可能提供更多来自笔记本电脑的有用数据,因为在休眠过程中,RAM 中的所有数据会被捕捉并写入硬盘。

以下截图显示了对休眠文件的搜索,以寻找可能帮助实践者的信息:

休眠和睡眠文件

搜索 hiberfile.sys 实例

检测隐写术

隐写术是将数据隐藏在通信中的过程,只有发送者和接收者知道其存在,并能访问隐藏的信息。在可能的情况下,隐藏在数字文件或图像中的数据通常会被加密。检测隐写编码文件被称为隐写分析。隐写分析仅限于检测嵌入的信息,这可能识别嵌入过程。当隐写工具或隐藏方法被识别后,可能能够提取出信息。

隐写图像中的不寻常模式显而易见,容易引起怀疑,但最初可能难以检测。可以使用许多磁盘分析工具,如 ILookIX,这些工具可以报告和过滤存储设备中未使用的簇或分区中的隐藏信息。通过识别重复的模式,可能会发现隐藏在看似无害文件中的信息。这种重复可能揭示出隐写工具的存在以及隐藏的信息。比较一个真实的原始文件与一个怀疑包含隐藏信息的文件是一个可行的过程,但这需要有两个样本进行比较。

水印通常用于合法地识别和保护版权材料。尽管水印通常被隐藏,但有时会被伪造者识别并非法去除,以阻碍调查者的工作。

为了协助使用各种工具检测隐藏信息,实践者必须识别并匹配每个怀疑文件的哈希值。这样做涉及导入或构建哈希集合的库,尤其是隐写软件,作为比较库的一部分。

苹果及其他操作系统结构

虽然微软主导了家庭市场和许多网络系统,但其他流行的操作系统,如苹果和 Linux,也被广泛使用,并且很可能需要法医人员进行检查。以下小节简要介绍了这些系统。

检查苹果操作系统

苹果的 Macintosh 设备使用不同的操作系统(目前称为 OS X),与微软的系统不同,它允许应用程序独立运行,用户无法直接访问文件系统。简单性和便利性是一般惯例,这基于 Unix 文件系统。

安装在苹果机器上的应用程序与文件系统的交互是有限的,因为应用程序只能在其沙盒中的目录内进行操作,无法访问文件系统。沙盒保护系统和用户免受恶意软件攻击。实际上,它限制了每个应用程序的访问权限,以增强设备的安全性。

安装应用程序时,会创建一些具有特定角色的容器。通常,应用程序的操作文件保存在捆绑容器中,数据文件则保存在数据容器和子目录中。用户通过查找器功能访问文件。文件系统由四个主要域组成,将资源与文件分开,以便于访问和使用,并提供良好的安全保护。这些域包括:

  • 用户域:此域包含特定于用户的资源,限制每个用户仅能访问和控制他们自己的主目录。

  • 本地域:此域与当前计算机上安装的应用程序相关,并在所有用户之间共享,包含本地启动卷上的多个目录,由系统管理。具有管理员权限的用户可以添加、删除或修改此域。

  • 网络域:此域包含本地网络中所有用户共享的应用程序和文档。

  • 系统域:此域包含 Apple 安装的系统软件,防止用户添加、删除或修改项目。

作为简化应用程序使用、查找功能和其他一些功能(如打开保存面板)的一部分,系统会隐藏不需要用户访问或干预的文件和目录。通过取证工具查看的典型目录结构如以下截图所示:

检查 Apple 操作系统

Apple 文件层次结构

存储在 Apple 桌面和笔记本电脑上的各种文件类别可供从业人员访问,并在以下 ILookIX 类别资源管理器的截图中显示:

检查 Apple 操作系统

从 Apple 计算机中归档的文件类别和签名

文件元数据,包括时间戳、图像文件的 EXIF 数据和文件位置,也可以从 iOS 中恢复,如以下截图所示:

检查 Apple 操作系统

从 Apple 计算机收集的文件元数据

Linux 操作系统

Linux 操作系统,Unix 的一个变种,将应用程序的指令传递给计算机的中央处理单元和处理器。处理器执行指令任务,并通过操作系统将结果返回给应用程序。尽管 Linux 具有许多与 Windows 和 OS X 相似的功能,但它是一个开源操作系统,由用户、公司和合作伙伴共同开发。这促进了经济研究与开发工作,生产出一种创新的、许多人称之为更优的操作系统。Linux 已经成为一个重要的桌面系统,并且是网络和许多设备(如手机)基础操作系统的核心。

由于 Linux 存在于笔记本和手机的系统 BIOS 中,它大大提高了这些设备的启动速度。Linux 正越来越多地用于运行大量的 Web 服务器,包括亚马逊的云服务。Twitter、LinkedIn、YouTube 和 Google 都使用 Linux 作为他们的操作系统。

操作系统的架构包含内核,其中包含一组编码指令,使计算机硬件响应操作系统,并默认响应应用程序级程序。与许多人认为笨重且只有少数程序员能接触到的微软 Windows 内核不同,Linux 内核的灵活性和模块化结构为开发者提供了许多优势。特别是,内核的大小可以根据开发者的需求进行增减,以满足开发者希望为不同的操作环境和设备重新设计系统的需求。这在系统小型化方面,尤其是在更小型的手持设备上,具有特别重要的意义。

Linux 内核中嵌入的一整套工具实际上就是其操作系统,这些工具还具有模块化的优点。Linux 为用户提供了多种选择方式,使其能够按照自己的需求使用系统,包括许多用户熟悉的 Windows 和 OS X 中的窗口和桌面功能。

一个包含用户、组和权限的系统被嵌入到 Linux 中,以确保操作系统的安全性。它提供类似于其他操作系统的独立用户账户。例如,个人文件存储在用户的home目录中,并可以轻松访问。然而,典型的 Linux 文件系统可能包含一系列复杂的本地和远程文件及正在运行的进程,并且与 Windows 不同的是,Linux 中没有Program Files目录。以下截图展示了 Linux 系统的菜单视图:

Linux 操作系统

Linux 系统中的菜单视图

以下截图展示了一个示例 Linux 操作系统的档案视图:

Linux 操作系统

Linux 系统的档案视图

远程访问和恶意软件威胁

恶意软件和其他通过黑客攻击(通常通过远程访问漏洞)引发的安全问题,仍然是对由于安全管理不善而脆弱的计算机和网络系统的重大威胁。这些问题将在以下小节中讨论。

远程访问

"特洛伊木马辩护"已经被无辜和有罪的计算机用户用来支持他们的清白主张,指责非法活动是由远程攻击者造成的。虽然这种说法有一定的合理性,但似乎是反转了无罪推定的责任,原本应该由检察官承担举证责任,却由被告来承担。所有数字取证检查中的大难题是将嫌疑人与犯罪事件联系起来。对于取证人员来说,澄清远程访问漏洞的可能性或概率会更公正,尽管显然这有时会花费大量时间。

Windows 操作系统允许出于合法目的的远程访问,但通常情况下,Windows 更新是为了解决功能中的漏洞,特别是其远程桌面协议服务,这一服务本身是不安全的,容易受到利用。

远程访问还可以通过恶意软件攻击获得,帮助黑客访问目标设备或网络。如果缺乏安全保护或安全保护水平较低,这尤其成问题。

虽然 Wi-Fi 连接很方便,但它通常会允许敏感网络流量的窥探,可能会为计算机和手持设备上的账户提供轻松访问。缺乏对这些通信的有效加密将使得针对在线银行和涉及财务交易的其他账户的网络攻击变得可能。

检测恶意软件攻击和其他漏洞

注册表在多个位置存储自动启动键,这些键可以在没有用户直接干预的情况下启动应用程序。黑客最常利用的一个键是运行键,它允许许多此类漏洞继续留在系统中:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。启动键将在系统启动时、用户登录系统时或用户执行其他指定操作时启动程序。

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File 注册表项是为管理员调试各种执行选项而设计的,但它容易受到外部攻击者的攻击,攻击者可以利用它将应用程序重定向到被劫持的应用程序副本。添加 Word 的自动启动键可以将进程指向一个包含恶意代码的 Word 副本,这样每次启动该程序时都能访问计算机。这些自动启动键通常会留下某些电子指纹,帮助判断是计算机用户还是入侵者对相关事件负责。

在第四章《恢复与保存数字证据》中,提到了读取和恢复 RAM 内容,以分析那些杀毒程序未检测到的恶意软件。IXImager 可以足够快速地重启,以便捕获系统的 RAM,从而捕捉到正在运行的程序、密码等内容。这是通过将 USB、CD 或 SD 卡插入计算机端口,重启计算机并开始成像过程,进而恢复和存储捕获的 RAM 数据以供分析。

ISeekDiscovery 自动化工具提供了一种新颖且高效的搜索虚假文件的方法。例如,如果用户想要查找计算机上所有命名错误、拼写错误或没有扩展名的 Word 和 Excel 文件,只需要通过 Excel 和 Word 的签名使用自动捕获功能,并且还需使用搜索排除标签(如下图所示),并添加以下文件扩展名:

  • *.xls

  • *.xlsx

  • *.doc

  • *.docx

检测恶意软件攻击和其他漏洞

使用 ISeekDesigner 排除文件扩展名

当此例程运行时,它将删除具有合法名称的文件,仅保留那些具有虚假名称的文件。这对于入侵检测应该非常有帮助,因为隐藏的黑客可执行代码导致了大量的安全漏洞。

反取证过程和工具的普及

混淆和销毁证据不是一种新现象,它随着数字取证的出现而出现,挑战并妨碍证据恢复。它包括一系列广泛的软件工具,这些工具可以混淆与违规行为相关的事件,以及删除或修改数据。反取证也可能旨在延迟完成检查的时间。有时,它可能会对稍后在法庭上依赖的证据的有效性产生怀疑。这些工具通常隐藏其存在,并且在设备被没收后可能会继续存在。

这一非法行为的具体应用包括:

  • 覆盖或更改数据和元数据,包括时间戳

  • 隐藏和加密数据以及隐写术(前面提到过)

  • 加密文件夹、分区和网络流量

  • 使用外部设备使计算机能够启动,但不在主机上留下任何活动痕迹

检测反取证活动不一定是直观的过程,但应该始终考虑到它可能已经在正在检查的设备上进行。能够检测甚至阻止反取证活动的工具似乎供应不足,显然需要进一步研究这个问题。

本书不会推广或提供关于这些在互联网上自由提供的工具包的任何信息,但我承认这些工具包已经开始损害数字取证工具的声誉,而这些工具仍然被广泛依赖。令人关注的是这些工具被用来保护有罪者并可能牵连无辜者。第八章,浏览器、电子邮件、消息系统和手机的检查,描述了暗网以及使用此类反取证工具来加密和隐藏信息的情况,如 Tor 和 12P。

案例研究 – 使用 Windows 注册表进行证据核实

本案例研究示范了如何在可能的情况下始终对数字证据进行核实和验证。

该案件与下载非法儿童剥削图片和电影文件有关。恢复的其中一份可能有害的文件是一张未成年儿童的色情图片。检方辩称该文件曾作为计算机的桌面壁纸显示,且在计算机启动时清晰可见。检方合理地认为,计算机用户不可能没有注意到这一点,从而暗示用户在处理非法淫秽材料方面的共谋行为。

在查获时,计算机桌面显示了一张无害的空白图片,未引起立即注意。然而,后续检查发现计算机中有一个 .jpg 文件,里面是未成年儿童的淫秽图片。该令人不安的图片位于 C:\Documents and Settings\xyz\Application Data\Opera\Opera\xxx.jpg。检方的办案人员证明,在一个确认的日期和时间,xxx.jpg 被设置为桌面壁纸。一个名为该文件的图片文件位于 C:\Documents and Settings\xyz,这是确认的默认目录,包含与用户账户 xyz 相关的文件和文件夹。

实验人员的测试表明,直到应用一个非 Windows 标准图片作为桌面壁纸时,才会创建此条目。如果桌面更改为另一个非标准图片,注册表键值将被修改,以反映新图片,而不保留旧文件的列表。当选择标准 Windows 图片作为桌面时,这个键值将保留,显示最后使用的非标准图片。

对与xyz用户账户相关的注册表项分析表明,并没有发现非人工干预创建桌面壁纸并将非法图像文件放入用户账户的证据,但也不能完全排除这种可能性,因为此类事件的痕迹不容易被识别以供进一步检查。在本例中,系统将通常的背景壁纸位图存储在壁纸注册表热键中,位置为HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper注册表项。Windows 注册表并不会记录使用过的标准 Windows 文件的历史记录。

xxx.jpg的元数据揭示了文件的创建、修改和最后访问时间,这与在重建犯罪时间线时确定的互联网使用情况相吻合。检查表明,文件曾存在于计算机的另一个位置,但无法确认它是从互联网下载的,还是从外部设备复制的。

用户不太可能通过手动搜索目录C:\Documents and Settings\xyz\Application Data\Opera\Opera\来将图像设置为桌面壁纸。更常见的做法,也因此更有可能的情况是,用户通过 Opera 浏览器查看该图像,然后使用右键将其设置为壁纸。该文件也被保存到了xyz文件夹,这表明有两个手动过程,这暗示着用户或用户群体的故意操作。这些操作可能是由恶意软件(如木马病毒)的存在引起的,但鉴于案件中的其他证词,这种可能性似乎不大。

不幸的是,没有数据能够显示何时某个用户将图像从壁纸中移除,转而选择了默认设置或在桌面框架中没有图像的黑色屏幕。如果有这些信息,至少能够提供一个非法文件操作的更精确时间。Windows XP 操作系统上未安装 VSS,如果安装了,可能会对这些注册表更改提供一些澄清。

虽然注册表在许多情况下是有帮助的,但在本例中,它留下了一些不确定性。当假设计算机的用户(被告家中的租户,而非被控拥有儿童性剥削材料的实际所有者)在计算机被查扣前 14 小时已知执法机关对该计算机的关注时,这一点尤其令人困惑。怀疑他们在计算机被查扣前匆忙删除了涉案壁纸以及其他一些涉案文件,后来证明所有者(被告)无法访问该计算机。

该所有者有一个铁证如山的不在场证明,证明他在计算机文件被删除时身处另一个郊区。如果在准备对被告提起指控时考虑到这一点,案件不太可能进入审判。回想起来,似乎调查侦探和法医专家没有看到用户访问中的明显冲突,也没有尝试确定其他有访问权限的人员的参与。这再次是一个以嫌疑人为主导的调查的典型例子。

随着设备的法医检查进行,明显发现不止一个本地用户可以访问该设备。人们认为,判断是否发生了远程攻击,以及是否有外部人员对非法文件的存在负责,是明智的做法。计算机设置显示,在扣押时外部用户访问计算机的功能已被禁用,但不一定是在相关事件发生时禁用的。

实践者声称计算机已被搜索以查找恶意应用程序,但没有结果。然而,辩方实践者在C:\Documents and Settings\xyz\My Documents\setup.exe位置找到了ZLOB.JN木马下载程序。该文件被辩方实践者删除并隔离,等待进一步检查。

关于此恶意软件的未经证实的信息有很多,从将其描述为严重威胁到仅仅是一个导致计算机变慢并启动弹出命令的烦扰。一些观察者声称,它可以作为获取计算机访问权限的一种手段,让黑客远程访问计算机。一些版本的 Zlob 会在启动时自动加载,并通过劫持 Windows 资源管理器程序来隐藏其存在。该木马被声称有能力完全控制计算机,但这一说法并未得到证实。

一些评论认为,Zlob 感染会开始接管计算机浏览器,导致不断弹出窗口、将 URL 重定向到其他网站、删除文档和图片,甚至侵入个人信息,这些信息可能被删除或分发到其他网站。手动清除 Zlob 需要一定的技术知识。它因在不同名称下复制自己而难以清除。即使清除,可能已经在计算机上复制并重新安装了自己。

对嫌疑文件 Zlob 文件 setup.exe 的检查显示,它是在计算机上记录的非法活动之前创建的,且未被杀毒程序识别或移除。据报道,该特洛伊木马会在系统中创建多个文件,包括 stdole3.tlb,并创建注册表项,试图在启动时运行 Troj/Zlob-JN,包括 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run wininet.dllHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run regperf.exe

然而,检查计算机时未能在 Windows 注册表或计算机中找到这三个文件。似乎不太可能发生外部攻击,因此留下了一个可能性,即一个或多个本地用户对非法活动负责。尽管防御方专家对外部攻击的可能性进行了额外的检查并未取得成果,但这一工作必须完成,为什么不由提出指控的方来做呢?被告被陪审团判定无罪,但未对其他涉及使用计算机的用户提出进一步指控。

再次强调,这个案件突显了反驳论证作为审查的一个重要部分的好处,反驳论证有助于寻找可能存在的辩解证据,若存在此类证据,则可能会修改或反驳一个论点,回想一下实践者和学者达迪克(2010)简洁而有力的名言:“没有什么比明显的事实更具欺骗性。”

参考文献

Dardick, G. S. 2010. "网络取证保障." 第 8 届澳大利亚数字取证会议,西澳大利亚珀斯。SECAU: 57–64.

总结

本章详细描述了 Windows 操作系统以及其他常见检查的操作系统,包括 Apple 和 Linux。介绍了 Windows 注册表、系统文件和日志,以及 VSS 恢复的一些额外优势,作为数字证据恢复和分析的宝贵资源。本章还涉及了远程访问和恶意软件攻击,以及反取证的普遍性和挑战,这些挑战妨碍了证据的恢复和识别。

第八章,检查浏览器、电子邮件、消息系统和移动电话,将描述定位和恢复与个人通信记录相关的数字证据的过程,包括存储在计算机设备中的电子邮件和浏览记录,以及保存在手机上的电话通信。具体将讨论互联网浏览和搜索记录的恢复,其他消息系统,包括 Skype 和虚拟私人网络,以及电子邮件分析。

本章将介绍手机取证及其在法医鉴定中的重要性,同时讨论从个人计算机和 GPS 设备中获取证据日益增加的挑战。本章将让你认识到定位、提取并检查存储在计算机和手机上的与相关人员之间的通信记录的价值。

第八章:浏览器、电子邮件、消息系统和手机的检查

本章讨论了互联网浏览器、电子邮件和消息系统、手机及其他手持设备——这些通常被认为是数字证据的丰富来源。描述了定位和恢复与个人通信记录相关的数字证据的过程,包括存储在计算机设备中的电子邮件和浏览记录以及存储在手机上的电话通信记录。你将理解定位、提取和检查存储在计算机和手机上的通信记录的价值,这些记录通常是丰富的证据来源。

本章将为你提供以下概念的基本理解:

  • 恢复互联网浏览和搜索记录以及其他消息系统,包括 Skype 和虚拟私人网络

  • 电子邮件分析及大规模电子邮件数据库的处理

  • 手机取证及从个人计算设备(包括平板电脑和 GPS 设备)中获取证据的日益增长的挑战

多种互联网浏览器可用于桌面和笔记本设备,也可以用于平板电脑及其他手持设备,包括 Mozilla Firefox、Google Chrome、Microsoft Internet Explorer,以及最近的 Microsoft Edge、Safari 和其他浏览器。下一节及从手机和手持设备中恢复证据的日益增长的挑战部分将概述使用浏览器时存储的数据的价值。

定位互联网浏览证据

与用户网页浏览活动相关的信息通常以 Cookies、缓存文件、URL 历史记录、搜索词、历史记录以及计算机上的其他文件形式存储。这是许多取证检查的重要组成部分,因为它可以帮助重建嫌疑人在与知识产权侵权、网络犯罪、儿童色情及其他严重犯罪相关的案件中的在线浏览行为。以下小节描述了一些有助于犯罪重建的网页浏览事件的基本特征。它们还概述了从浏览器数据中恢复证据的过程,这一过程也可以从未分配的空间中进行,为执法人员提供对私人浏览活动的洞察。

典型的网页浏览行为

典型的浏览活动涉及搜索存储在网站上的特定主题,例如个人、事件、组织或电子邮件或消息账户——几乎是搜索者在寻找的任何内容。在访问或链接到远程网站的过程中,根据洛卡尔交换原理,会发生一些数据交换:一些痕迹会被留下,部分数据会转移到另一台设备。远程网站可能会在不同程度上记录用户访问的某些细节。像 Hotmail 和 Yahoo! 这样的基于 Web 的电子邮件服务器会记录账户持有人的登录信息,并经常在访问账户时记录他们的 IP 地址。这些信息在重建违规行为时非常有用,特别是当它们与账户持有人的设备匹配时。

例如,Gmail 将电子邮件消息存储在其云服务器上,而不是本地机器上,因此,除了可能存在于瞬态内存中的电子邮件状态外,从这些账户中恢复电子邮件证据的可能性较小。然而,现在这些电子邮件账户可以同步并备份到 邮局协议 (POP) 客户端,这是一个标准协议,用于通过互联网连接从远程服务器检索和管理消息。这样一来,消息会被下载并存储到本地机器上。Windows 10 的电子邮件消息也同样将这些消息缓存到本地磁盘中,从而可能有助于法医恢复。

浏览记录通常会被缓存到用户的本地机器上。例如,默认浏览器设置会以多种不同的形式记录浏览活动,最显著的是:

  • 缓存的文件夹存储访问过的网页的 HTML 和多媒体文件

  • 访问过的网页的历史数据库,以及某些程度上记录某个网页访问的日期和时间范围

  • 使用如 Google 和 Bing 等应用程序进行搜索的数据库记录

  • 记录访问过网站及每次访问时间戳的 Cookie 存储

  • 用户访问的在线账户记录

  • 电子商务活动,包括电子银行记录和账户

法医工具处理可能包含有用证据材料的常见文件类型。许多这些小型数据库文件需要解构,包括历史数据库和图像缩略图数据库 .db 文件,index.dat 以及其他记录互联网历史的文件等。下表展示了从 Firefox 默认缓存和位于嫌疑人笔记本电脑中的默认临时文件夹中恢复的图像和 Shockwave 文件。这些信息构成了提起对嫌疑人指控的部分证据,并帮助确认了与主指控相关的浏览活动的时间段。表中展示了从浏览器缓存和默认 temp 文件夹中恢复的图像和媒体文件。

名称类型路径创建时间修改时间访问时间
E3A65A2Ed01.jpg\Documents and Settings\User\Local Settings\Application Data\Mozilla\Firefox\Profiles\7yyxpig9.default\Cache17/07/2015 5:5417/07/2015 5:5414/09/2015
25C1B625d01.jpg\Documents and Settings\User\Local Settings\Application Data\Mozilla\Firefox\Profiles\7yyxpig9.default\Cache17/07/2015 5:4917/07/2015 5:4914/09/2015
PV.SWF.swf\Documents and Settings\User\Local Settings\Temp\TMP27340-113205/03/2015 0:045/03/2015 0:0414/09/2015
PE.SWF.swf\Documents and Settings\User\Local Settings\Temp\TMP27340-113205/03/2015 0:045/03/2015 0:0414/09/2015
PR.SWF.swf\Documents and Settings\User\Local Settings\Temp\TMP27340-113205/03/2015 0:045/03/2015 0:0414/09/2015

以下表格显示了第一个已删除的图像文件,该文件已从缓存文件夹中恢复。其之前的位置未知,但该文件提供了一些可能有用的时间戳。其余已删除的文件没有位置或时间戳,但它们有一个哈希过的文件名和签名,可能可用于与设备上恢复的其他文件进行比较。文件雕刻过程从扇区中恢复了这些文件,进一步检查这些扇区可能有助于发现它们的更多背景。没有某种形式的佐证,这些证据的证据效力会减弱。表格显示了从未分配空间中恢复的已删除文件,记录了文件名和(在一种情况下)时间戳:

名称类型路径创建时间修改时间访问时间
12DffGbbvtjpg\路径未知\Cache23/08/2014 01:5823/08/2014 01:5823/08/2014 01:58
00049.jpgjpg\路径未知\Carved 文件   
00476.jpgjpg\路径未知\Carved 文件   
00352.jpgjpg\路径未知\Carved 文件   
00573.jpgjpg\路径未知\Carved 文件   
00700.jpgjpg\路径未知\Carved 文件   
00865.jpgjpg\路径未知\Carved 文件   
00869.jpgjpg\路径未知\Carved 文件   
00886.jpgjpg\路径未知\Carved 文件   
01492.jpgjpg\路径未知\Carved 文件   
01931.jpgjpg\路径未知\Carved 文件   

以下表格显示了一些 .db 数据库文件,这些文件保存了存在于设备上某个未知位置的文件夹中的图像痕迹。尽管没有时间戳,但文件的命名约定表明它们可能是在 2015 年 8 月的两个日期中创建或访问的。通过 X-Ways Forensics 工具获得的数据的可靠性可能不足以使这些证据在没有其他可靠证据的情况下被认为具有可采性。

名称类型路径创建时间修改时间访问时间
Thumbnail.jpgjpg\Path unknown\Carved files\C120,D380 2015-08-13 03:15:03.jpg   
Thumbnail.jpgjpg\Path unknown\Carved files\C120,D380 2015-08-22 05:22:04.jpg   

以下截图展示了从一台笔记本电脑中恢复的 URL 和关键字搜索历史文件。这些信息用于重建嫌疑人的浏览活动以及作为在线犯罪活动一部分的搜索术语的性质。数据库中提取的电子表格提供了时间戳、访问过的网站的详细信息,以及在犯罪实施过程中使用的搜索术语:

典型的网页浏览行为

从浏览器数据库解构的恢复电子表格,显示了多种浏览活动

从松散区域和未分配空间恢复浏览痕迹

使用 ILookIX 对未分配扇区的索引将对未分配给文件或文件夹的每个扇区的原始扇区内容进行索引。以下截图展示了搜索术语tightvnc的结果,旨在探索这个远程访问程序是否可能被用来妥协桌面计算机。恢复了116个文件松散区的命中,并记录了423个文件命中,从而为针对设备的远程攻击提供了更多线索:

从松散区域和未分配空间恢复浏览痕迹

在文件和文件松散区域中恢复的搜索命中

以下截图展示了包含搜索术语或命踪的恢复扇区的样本。请注意,这些数据没有时间戳,显示的日期是执法人员提取痕迹后,免费和未分配空间在取证图像中被索引的日期。在许多情况下,即便使用内置的十六进制编辑器,数据也不完全可读——通常缺少时间戳和原始文件位置。

在这个实例中,恢复了 BitTorrent 活动,提供了细节,表明嫌疑人使用 BitTorrent 点对点协议从其他 torrent 用户下载媒体。在这个例子中,部分活动的时间戳非常清晰可见,同时还可以看到正在下载的媒体的性质:

从松散区域和未分配空间恢复浏览痕迹

在文件和文件松散区域中恢复的搜索命中

在这个例子中,数据是通过使用术语search terms从松散文件区域中恢复的。以下截图中的一个命中提供了驱动器扇区和记录所在的连续扇区的详细信息。对这些扇区的数据雕刻可能会提供数据的部分重建,但除非信息正文中包含某些时间戳,否则对时间数据的分析最多也只能是猜测:

从松散区域和未分配空间恢复浏览痕迹

从松散空间恢复的互联网浏览数据的属性

通过打开这些数据,可以获取一些重要信息。下图突出显示了一个访问过的网站,用于删除 Skype 账户。这些信息与嫌疑人可能试图删除账户以防止未来涉及与有组织犯罪人物的非法活动调查的行为相符:

从未分配空间和松散空间恢复浏览痕迹

从松散空间恢复的部分可读的互联网浏览记录数据

这些数据包含一些时间性材料,与已删除的 HTML 数据相关联,帮助确定搜索发生的月份和年份。下图显示了 Skype 可能已安装在计算机上的可能性,但在回收站或松散空间中没有找到该程序及已删除的数据文件。Windows 事件查看器确实提供了其早期安装和使用的证据,尤其是在特定时间段内。通过从松散空间恢复的 Skype 活动残余,包括消息文本和卸载过程的搜索,进一步证明了这一点。从松散空间恢复的部分网页也提供了该网页在网站上创建的大致时间。对这些分散残余的证据进行佐证,对于重建关键事件是非常有用的。

在这种情况下,是试图删除 Skype 及其相关数据,这可能被认为是潜在的有罪证据:

从未分配空间和松散空间恢复浏览痕迹

从未分配空间恢复的数据与事件重构的关联,以及试图掩盖使用 Skype 的行为

ILookIX 包括一个快捷方式功能,可以获取常用值,如 Internet Explorer 中最近输入的网页地址和设置,并重新生成这些注册表项、键和值为快捷方式树,方便检查,截图如下所示:

从未分配空间和松散空间恢复浏览痕迹

从注册表中恢复的活动前因

私密浏览

私密浏览是一些网页浏览器提供的功能,包括 Google Chrome、Mozilla Firefox 和 Internet Explorer,目的是为了避免在浏览会话中留下用户活动的任何痕迹,保护隐私,并可能出于安全原因。它也通常用于那些希望隐藏涉及一定非法性的浏览活动的用户。这使得分析和定位与网页浏览活动相关的证据变得可能更加困难,因为私密浏览可能已经删除了所有与浏览活动相关的证据,而这些证据可能对调查有所帮助。

我进行的研究旨在更清晰地理解私人浏览功能及其对法医检查的影响。以前的研究主要集中在从计算机硬盘中恢复浏览数据,而其他研究则强调了从计算机上存储的 RAM 数据中记录浏览活动的智慧。早期的实验中使用了一些法医程序来分析网页浏览器,包括 EnCase、AccessData 的 Forensic Toolkit、Nirsoft Internet Tools 和 Internet Evidence Finder。

我的实验旨在确定在正常和私人浏览会话中,计算机系统哪些区域被修改或访问。这表明,在私人浏览期间,IE 会正常存储所有内容,但在退出浏览器后会删除它。Chrome 修改了安全浏览数据库、cookies 和历史记录,Firefox 修改了 Firefox 配置文件和安全浏览数据库。这些结果可能有助于研究人员在分析网页浏览器时集中搜索目标。

在是否 pagefile.sys 文件包含与私人浏览相关的信息方面注意到了一些差异,但这可能与可用的 RAM 大小有关,因为当内存被完全使用时,会创建内存交换文件并将数据存储在硬盘上。这似乎更像是偶然现象,而不是在硬盘死亡分析中可以依赖的内容,随着会话之后的时间和计算机使用增加,找到相关数据的机会会减小。

使用 ILookIX 和 IXImager 在 Windows 7 Ultimate 上对每个浏览器进行成像和检查的实验结果表明,Chrome 和 Firefox 的私人浏览模式比 Internet Explorer 更安全,除了与 Firefox 或 Chrome 相关文件中的日期变化外,未发现与私人浏览会话相关的任何信息。以下是可以做出的总体观察:

  • 谷歌浏览器:检查了空闲空间、pagefile.sys 文件、未分配空间和针对谷歌浏览器的字符串搜索,但未恢复任何文物。早期的研究者只发现了 SysVolume 信息中的时间戳变化,以及像 Safebrowsingcookies.db 这样的文件中存在的变化。

  • Mozilla Firefox:分析仅发现了 Firefox | Profiles 文件中的时间戳变化。

  • Internet Explorer:与之前的研究一致,私密浏览会话后恢复的数据更多,从所有访问过的网站中恢复了浏览文档。大部分恢复的数据位于缓存、历史记录和临时 Internet 文件中,也有部分位于未分配的空间中。研究发现,浏览信息既出现在常规文件夹,也出现在未分配的空间中。这些浏览文档所在位置的差异可能是由于系统、网页浏览器版本或取证分析软件的不同所导致。研究还发现,在 Internet Explorer 的私密浏览会话后,可恢复的文档数量有所不同。这似乎取决于私密浏览时用于访问文件的不同过程,当直接在 InPrivate 浏览模式下打开 Internet Explorer 时,恢复的文档较少。

这些结果表明,虽然相关浏览器文件的时间戳发生了变化,表明有浏览事件发生,但如果有人在 Firefox 或 Chrome 中进行私密浏览会话,从硬盘的死机分析中恢复任何浏览文档将非常困难——最好说是无法恢复。在这项研究中没有找到任何内容。然而,使用 Internet Explorer 进行私密浏览会话时,与网页浏览器会话相关的信息是可以恢复的。然而,当直接以私密浏览模式打开 Internet Explorer 时,比起以正常模式打开然后切换到私密模式时,恢复到的信息较少。

Microsoft Edge,作为 Internet Explorer 的变种,也包含私密浏览功能,以下截图显示了这一功能。初步研究表明,像 Internet Explorer 一样,该功能的痕迹依然会保留在设备中,并且可以恢复:

Private browsing

从注册表中恢复的活动先兆

消息系统

许多安装在计算机上的消息应用程序通常提供关于不法分子活动、联系人和意图的有用数字证据。移动电话越来越多地用于此类通信,后文将详细描述这一点。

MSN Messenger、Skype、Yahoo! Messenger 和其他基于网页的电子邮件应用程序是许多计算机上的常见功能。曾经似乎注定要被淘汰的聊天室,因为其使用简便和普遍的便利性,在计算机、平板电脑和手机上经历了复兴。例如,Banter 使得与附近的其他人进行轻松聊天成为可能。

Facebook、Twitter、LinkedIn、Google+、Flickr 和 Meetup 等社交网络站点是用户结识朋友、联系人以及其他具有相似兴趣的人的一些常见平台。其他网站则提供各种兴趣和追求的聊天室——并非所有的都是合法的或有品味的。

检查 Skype 和聊天室文档

以下截图显示了通过社交网站TeenChatwww.teenchat.com/)恢复的嫌疑人与年轻人之间的聊天消息文件属性表。该网站旨在供青少年使用,但其用户有时会被网络跟踪者和恋童癖者所利用:

检查 Skype 和聊天室证据

使用 TeenChat 进行无害对话的记录属性表

与聊天室相关的数据通常会被记录下来,即使不法分子试图删除并移除有罪证据,对话和多媒体文件的交换也可能仍然保留在设备中。Skype 默认会留下对调查人员有用的电子表格。在以下截图中,有一些包含各种方之间对话记录的文件示例:

检查 Skype 和聊天室证据

与 Skype 活动相关的恢复文件

通常,尝试删除或掩盖这些通信记录,犯罪者可能会认为对话记录已经被永久销毁。然而,其他对话方以及负责的网站托管服务可能会保留一些流量数据,并且根据法律要求必须与调查团队分享这些数据。

为了混淆执法调查,犯罪者会采用第七章中介绍的反取证手段,Windows 和其他操作系统作为证据来源,包括使用不可见的互联网。

不可见互联网

据估计,全球信息网只是网络站点的一个小代表,大部分(一些观察者估计超过 90%)由所谓的不可见互联网或深网组成。像 Google 这样的搜索引擎无法识别和索引这些站点。要定位这些站点,需要一定的内部知识、一些技巧和像 Tor 这样的网页浏览器。

另一方面,暗网并非不可见,但其托管网站在后台是不可见的,因为它们已经通过 Tor 和 I2P 提供的特殊工具进行了加密和隐藏。臭名昭著的丝绸之路在线毒品交易网站就是通过这些工具进行隐秘活动的。其他人也使用它来进行合法活动,但希望在浏览网络时保持匿名。

显然,在设备上定位这些秘密通信的残留物是从业者面临的又一个挑战,但实际上,这些残留物确实经常被遗留下来。在接下来的截图中,经版图处理,ILookIX 能够从一台笔记本电脑上恢复到了一些 Tor 活动的迹象。这些信息支持了嫌疑人秘密访问非法色情网站等行为的可能性,并且希望这些行为对其他计算机用户保持秘密。遗憾的是,恋童癖者团伙利用网络交换非法和淫秽材料,并与其他人进行这种恶心的交流,希望能够避免被检测和起诉:

不可见的互联网

浏览暗网网站获取色情内容

下面的截图显示了从另一台设备中恢复的.TOR文件的示例。尽管许多文件已被删除且无法恢复,但一些仍然存在,并提供了有用的信息,证实了与案件相关的知识产权侵犯。

不可见的互联网

恢复的.TOR 文件显示了使用 Tor 下载多媒体文件。

在许多情况下,即使使用内置的十六进制编辑器,也无法读取所有数据,并且缺少时间戳和原始文件位置信息。在这种情况下,已经恢复了 BitTorrent 活动,提供了嫌疑人使用 BitTorrent 点对点协议从其他 BitTorrent 用户下载媒体的详细信息。在这个示例中,一些活动的时间戳清晰可见,以及正在下载的媒体的性质:

不可见的互联网

从 slack 空间恢复的种子下载数据

电子邮件分析和大型电子邮件数据库的处理

从台式机或笔记本电脑中恢复的电子邮件可以保存大量数据,但在网络服务器上保存的电子邮件存储,即使是中等大小的存储,也可能包含大量的消息和附件,需要使用特殊程序来选择和正确管理它们。以下各小节进一步描述了如何管理这些数据集以及从业者可能采用更有效的方法进行电子邮件分析和识别。

从台式机和笔记本电脑中恢复电子邮件

在下图中,ILookIX 已从单个帐户中解构了超过 28,000 封电子邮件消息和附件。文件以反映电子邮件目录结构的方式显示在设备上。这使从业者能够快速了解电子邮件布局,并获得对邮件系统的快速视角:

从台式机和笔记本电脑中恢复电子邮件

ILookIX 电子邮件查看器中查看的电子邮件目录结构

电子邮件存储文件是任何包含电子邮件消息或类似数据的文件,如 Microsoft Outlook 的 .OST.PST 文件中的日历和联系人信息。这包括 .EML.MSG.NSF.MBOX.MBS,甚至基于 .HTML 的电子邮件。一些电子邮件存储,如 .EML.MSG 文件,每个文件包含一条消息,但即便是这些文件也需要通过 ILookIX 解构才能在电子邮件浏览器中显示。每个电子邮件存储在电子邮件浏览器中都作为一个条目列出,无论该存储包含单条消息(如 .EML.MSG 文件)还是包含消息的完整结构(如 .PST 文件中的文件夹和子文件夹)。

一个必须理解的重要概念是 ILookIX 支持的所有电子邮件类型的同质性。所有电子邮件客户端的解构都成为同一基本电子邮件浏览器概念的一部分。这消除了客户端之间的差异,使得像电子邮件链接这样的功能可以在一个新的、更易于解读的界面中进行分析和探索。该界面提供了一个对象模型,涵盖了使用适用于所有互联网电子邮件收发客户端的 RFC 标准的互联网电子邮件项目的所有特征。在此过程中,像 Lotus Notes 这样的项目被纳入与 Outlook .OST 文件相同的模型——该界面包括电子邮件的浏览器栏。

电子邮件浏览器将所有电子邮件存储(如 Microsoft Outlook 的 .PST 文件)整合在一起,并显示每个存储的文件夹结构。在文件夹结构中,用户可以查看消息、联系人、附件和其他项目,具体取决于处理的邮箱类型。在处理文件时,电子邮件消息通过选择电子邮件存储或存储中的子文件夹显示在列表窗格中,如以下截图所示:

从桌面和笔记本电脑中恢复电子邮件

按主题查看电子邮件

消息可以通过查看器十六进制视图纯文本视图查看。在以下截图中,消息和附件通过查看器窗格查看:

从桌面和笔记本电脑中恢复电子邮件

阅读电子邮件及附件

电子邮件文件属性表提供了有关消息的重要文件和元数据,这对于案件准备非常宝贵:

从桌面和笔记本电脑中恢复电子邮件

电子邮件属性表

电子邮件消息的附件可以通过在电子邮件列表中显示消息,然后选择文件列表来查看。每条消息的最左侧列默认会有一个与之相关的图标。该图标可以是信封,表示没有附件的电子邮件消息,也可以是回形针,表示有文件附件的消息,如下所示:

从桌面和笔记本电脑中恢复电子邮件

检查电子邮件附件状态

这将显示所有附加在邮件中的文件,并允许用户将它们作为一个组进行操作,但不会显示每个附件的具体来源。通过选择电子邮件列表,用户可以在邮件的上下文中查看附件,并获得更多的选择:

从桌面和笔记本电脑中恢复电子邮件

查看电子邮件附件

此外,附件列会显示每条邮件的附件数量:

从桌面和笔记本电脑中恢复电子邮件

邮件头、附件和邮件正文

ILookIX 还可以在电子邮件列表中对消息进行分组和筛选。分组允许用户将所有显示的消息按单一列进行分组。这可以节省时间,并在用户筛选证据时增强证据的分类工作:

从桌面和笔记本电脑中恢复电子邮件

分类电子邮件的潜在相关证据

电子邮件消息可以与文件归类到相同类别,或者根据需要为邮件创建专门的类别,由用户决定。整个电子邮件存储或其中的子文件夹可以通过在电子邮件资源管理器中选择存储或文件夹,然后选择将消息保存到我的类别来添加到类别中:

从桌面和笔记本电脑中恢复电子邮件

对潜在相关的电子邮件进行分类

分类后的文件可在类别资源管理器中查看,便于访问:

从桌面和笔记本电脑中恢复电子邮件

在选择过程中,通过对有价值证据的分类来实现良好的管理

从较大数据集中恢复和分析电子邮件

如第五章所述,对增强型取证工具的需求,ISeekDiscovery 自动化工具是一款分布式采集工具,可以从大量计算机和数字存储设备中捕获电子存储信息ESI)。与其他工具不同,它利用其专利技术,将每台目标机器用于处理,且对该计算机用户的影响最小。ISeekDiscovery 极大地改善了 ESI 的采集,并为法医检查员进行了增强,以便在大规模网络中远程采集传统数字取证工具无法捕获的数据(包括 RAM 和 Windows 注册表数据)。

重申一下,自动化工具只需要访问设备并适当设计配置文件;它只收集所需的证据,从而使端点分析变得不那么令人生畏,因为数据集的大小较小,这有助于过滤和搜索证据。然而,提取的数据仍然可能很大,且需要大量的后期恢复处理。

XtremeForensics 提供的 32 位和 64 位 API 允许用户利用公司的服务器从.ISK证据容器中提取大规模数据集。这是一个相对简单的过程,打开应用程序并登录到我们的服务器,然后让 ISeekExtractor 开始操作。

提取过程提供多种提取样式选项:

  • 原始文件夹和文件名,丢弃元数据

  • 原始文件夹和文件名,添加.XML元数据

  • 带有元数据的编号文件,在.XML索引中

通过使用动态链接库DLL)文件,可以在几分钟内初始化 API,并进行指导,以便快速且安全地将所有捕获的数据从 ISeekExplorer 容器中传输到:

  • 任何用于当前使用的基本审查平台的数据库或审查系统

  • 适合导入其他系统的文件格式

当从大型网络服务器捕获大量数据时,这种方法尤其节省时间。

搜索扫描文件

搜索扫描图像可以使用 ILookIX 提供的便携式扫描图像工具,如下方截图所示。定位扫描物品有助于识别那些无法被索引和搜索的文档,因为在扫描过程中,它们没有通过光学字符识别OCR)进行转换,因此无法作为文本文件进行索引。这些文件可能包含相关信息,因此可能需要手动查看,或者如果数量过多,则通过 OCR 过程进行转换。

该过程对于确定与伪造和欺骗相关的文件的来源和真实性也非常有用:

搜索扫描文件

恢复的扫描文件准备手动检查

从手机和手持设备中恢复证据的日益严峻挑战

数字证据可能来自多种设备,包括手机、GPS 导航设备、打印机、数码相机和视频录像机、录音笔、Kindle、家庭安防设备、汽车计算机、Xbox 和 Wii 游戏机、飞行记录器和数码手表。

手机和其他手持设备存储用户的个人信息,包括通话记录、互联网浏览记录、文件下载和上传、地理位置、短信、电子邮件、多媒体文件、联系人列表、日历事件和私人信息。如果启用了定位设置,它们还会记录用户的位置——总之,这些数据可能有助于调查。例如,存储的信息可能揭示用户的联系人和他们在某些违法行为中的通信细节,以及对其动机和思维方式的洞察。

以下截图显示了关于手机用户活动的项目和已删除项目报告,包括短信、电话、位置和浏览活动:

从移动电话和手持设备恢复证据的日益挑战

移动电话账户和文件的一般取证报告

然而,移动电话对取证从业人员提出了挑战,特别是随着新型手机和操作系统的快速发展,以及对保护和加密的依赖,极大地挑战了证据的恢复。随着使用不同硬件和操作系统的手机快速增长,开发一个通用的流程或工具来应对所有情况变得困难。除了不断增长的智能手机和平台种类,包括 Android、Blackberry、Apple iPhone 和 Windows Mobile 外,还有大量使用旧版系统的廉价手机。以下部分概述了从移动电话恢复证据的过程。

从移动设备提取数据

移动电话中存储着不同类型的文件证据,可能存在多个位置,包括设备内存、可拆卸存储器如 SD 卡以及可移除的 SIM 卡。

每部手机都会提供一个通常唯一的标识符,称为国际移动设备身份码IMEI),用于唯一标识广泛的移动电话。这个唯一的号码通常打印在电池仓内或手机外壳上。它也存储在手机的嵌入式存储器中,并且可以从那里显示在屏幕上并通过取证工具恢复。IMEI 用来识别和验证手机硬件与 GSM 网络的连接,防止被盗手机接入该网络。IMEI 是手机使用和身份的重要记录。

在以下截图中,XRY Micro Systemation 取证工具提取了关于 iPhone 4 的基本信息,包括其 IMEI 号码。SIM 卡识别号记录在报告的底部:

从移动设备提取数据

显示 iPhone 4 基本设备设置的取证报告

注意

用户通过另一个唯一标识符来识别:存储在 SIM 卡上的 IMEI 号码,该号码用于识别和认证用户。这有助于取证人员与电话网络联系,获取账单信息、通话位置和联系人—这些都是潜在的证据。

在从业人员中,最佳实践是记录用于访问和恢复来自移动电话的证据的手动和技术流程,并尽量减少数据丢失或更改。Android 和 Apple 手机以及其他许多手机在 SQLite 数据库中存储大量用户信息—这些信息有时在其他信息删除后仍然保留在设备上。这可能成为一个有用的信息来源,取证工具通常可以恢复广泛的文件类型,包括数据库。

在下一个截图中,使用 NowSecure Mobile Forensics 工具从 Android 手机恢复信息。此类新一代工具将检查工作组织为一个项目,使所有恢复的数据都可以分类,并通过简易的图形界面进行分析:

从移动设备提取数据

在 NowSecure Mobile Forensics 中创建法医案件

被检查的设备是一款新型号的 Android 手机,无法获取物理转储,如下图所示:

从移动设备提取数据

从 Android 手机恢复数据的选项

设备的逻辑提取或备份可以用于分析,在这个实例中,选择了设备的备份:

从移动设备提取数据

准备法医检查并插入案件详情

一旦提取完成,专家可以从一系列恢复的项目类别中进行选择,如图所示:

从移动设备提取数据

NowSecure Mobile Forensics 中从 Android 手机恢复的数据目录

在下一个实例中,提供了一系列互联网浏览活动,包括网页标题、网址和时间戳,供专家参考:

从移动设备提取数据

恢复的网页,包括标题、网址和时间戳

在下一个截图中,显示了下载文件的列表以及源网站和相关时间戳:

从移动设备提取数据

从 Android 手机下载的文件及其元数据列表

在下一个截图中,该工具已恢复存储在手机外部 SD 卡上的视频和音乐文件:

从移动设备提取数据

查看从附加 SD 卡恢复的数据

手机上安装了多种不同的应用程序,部分应用程序可以在下图中看到:

从移动设备提取数据

安装在 Android 手机上的应用程序及其安装日期

在以下的犯罪模拟中,XRY Micro Systemation 恢复了一些具有证据性质的聊天消息:

从移动设备提取数据

从 SMS 对话记录,可以追溯到呼叫者和发件人手机

电子邮件也可以从手机中恢复,以下模拟展示了嫌疑人与妻子之间的部分通讯:

从移动设备提取数据

从 Android 手机恢复的电子邮件记录和内容

恢复的关于嫌疑人 iPhone 5 的一般信息,包括 IMEI 和国际移动用户身份IMSI)号码以及关于手机的基本信息:

从移动设备中提取数据

从 iPhone 5 中获取的常规信息

以下截图是 Google 地图提取的内容,显示了手机在2012 年 12 月 23 日的具体位置。在此模拟中,可以追踪到手机位于西澳洲的位置,然后又被追踪到位于澳大利亚东海岸的维多利亚的另一个目的地。这些记录可以通过三角定位与电信公司信息进行比对,记录设备经过每个基站时的位置信息,同时获取其打电话和接电话时的位置记录。

从移动设备中提取数据

恢复的地图显示了手机的位置

在以下截图中,记录了一个新的位置,显示手机接近一个主要道路交叉口的位置:

从移动设备中提取数据

恢复的地图显示了手机在运输过程中的位置

以下表格是记录在一部 iPhone 上的聊天消息摘录,该手机被用来反驳配偶的强奸指控。它记录了两方的对话,显示出比受害者先前披露的更多的友好与同情。此案件在下级法院被驳回:

从移动设备中提取数据

夫妻之间的聊天消息作为辩解证据

在下面的摘录中,涉及一宗关于遗嘱争议的民事案件,恢复了已故人与其配偶之间的一条聊天消息以及在诺基亚手机上记录的多个语音邮件通知。遗憾的是,手机未能提供任何进一步的信息来帮助解决争议双方:

从移动设备中提取数据

与遗嘱纠纷相关的聊天消息和语音邮件通知

移动设备将信息以及系统和应用文件存储在固态硬盘上,这些硬盘体积小巧、紧凑且物理耐用。这种格式与平板设备以及小型笔记本或上网本(如 Windows Surface Pro、苹果的 MacBook Air 和华硕上网本)类似。这种设备的格式以及其安全加密技术目前使得在启动过程中制作设备镜像变得具有挑战性。与我合作的一个研究团队目前正在寻找解决方案,并在使用 ISeek 技术制作苹果桌面和 Windows Surface Pro 笔记本的逻辑副本时取得了一些成功,从而恢复了本来难以定位和恢复的证据。

移动电话和平板电脑在存储数据的容量上受到严格限制,平均只能存储大约 32 到 64 千兆字节的数据。这些驱动器的删除过程使用了磨损均衡技术,以确保高效地删除数据,从而最大限度地延长驱动器的使用寿命。这意味着,尽管删除的数据可能不显眼,但它可能在设备上持续更长时间,并且通过对删除扇区进行物理转储,有可能恢复这些数据。相反,磨损均衡和删除功能通常在手机开机时启用,因此在查获后应避免开启设备。Android 手机和 iPhone 的物理提取工作由于设备安全性以及手机厂商不愿帮助从业者进行合法证据恢复的努力而受到阻碍。

执法机关处理大量的电话拦截数据,同时编制嫌疑人和有组织犯罪集团的数据库。从单一设备恢复的数据处理可能非常耗时,但处理更多手机以重建犯罪事件以及嫌疑人之间的关系则更为复杂。像 Cellebrite 和 XRY Micro Systemation 等复杂的取证工具可以从这些大量数据中筛选出无关的材料。这些工具和其他工具能够创建关系图和时间线,帮助重建犯罪活动并快速识别关键信息群体。

现代移动取证工具提供了许多节省劳动的功能,例如准备关系矩阵、报告、数据整理报告和时间轴。以下屏幕截图中的时间轴由 NewSecure ViaExtract 取证工具生成,帮助从业者概览证据的性质和关键事件,并筛选数据以创建有意义的时间线:

从移动设备提取数据

从手机恢复的关键活动时间线

一些移动取证工具,如 MobileEdit,可以从用于同步启用密码保护的 iPhone 的计算机中检索移动备份文件。安装在计算机上的 iTunes 应用程序用于同步音乐,但默认情况下,该应用程序会存储之前连接的 iPhone 的锁定文件。如果从业者可以访问用于同步特定 iPhone 的计算机或 Mac,而手机的密码未知,这时可以使用该过程。通过定位并复制 lockdown.plist 文件,可以使用该文件配合取证工具访问锁定的 iPhone。

这些 iTunes 文件夹通常存储在以下位置:

  • Windows 10: C:\ProgramData\Apple\Lockdown

  • Mac OS X: /var/db/lockdown

其他工具能够通过暴力破解攻击恢复用户的访问 PIN 码,并且可以识别屏幕滑动解锁路径,从而允许访问锁定的手机。

管理证据污染

常规的桌面设备死区影像可以实现,但通常不适用于手机。移除内部硬盘在技术上具有挑战性且越来越不实际。然而,外部设备和 SIM 卡可以被移除,内容可以使用适当的工具进行复制和分析。

应注意隔离手机,防止其与电话服务提供商以及本地 Wi-Fi 和蓝牙服务进行通信。移除 SIM 卡可以防止与电话服务提供商的通信,但如果设备在恢复过程中开机,建议在一个与无线通信隔离的实验室中进行操作——法拉第袋或容器是另一种常见的保护选项。启用设备的飞行模式也能将手机与干扰隔离,但取证人员需要迅速找到该功能,以防干扰发生。

手机操作系统可能会受到低电池电量、极端温度、灰尘和湿气的负面影响。设备失败或连接点被腐蚀,或受到静电荷影响导致连接问题并不少见。

手机及某些其他手持设备可以通过其所有者远程访问,用以定位丢失或被盗的设备,还可以通过删除私人信息并将其重置为出厂默认状态或永久锁定手机来“杀死”手机。这可能会让窃贼感到沮丧,但也阻止了取证人员恢复证据。

从桌面和笔记本电脑以及手持设备恢复数据之间存在一些差异,尽管这些差异正变得越来越模糊,最显著的差异如下:

  • 这些设备连接到如电信系统、Wi-Fi 和蓝牙等通信网络

  • 存储在设备上的信息可能会完全丢失,因为它容易被新数据或通过无线网络接收的远程销毁命令覆盖

此外,要从移动设备中提取信息,设备必须开启,以便进行实时证据恢复。这可能会导致设备上某些数据被污染或销毁。取证工具通常会在设备上放置一个小的可执行文件,且可能会更改 Android 设备的开发者选项等。例如,在下图中,Android 手机的开发者选项在与取证软件和计算机配对之前手动更改:

管理证据污染

准备 Android 手机与取证工具配对

在以下示例中,Android 手机的设置已手动修改,以允许手机数据的取证恢复:

管理证据污染

一部 Android 手机正在与取证工具配对

如下图所示,取证工具正在开始与 iPhone 配对过程:

管理证据污染

一个 iPhone 正在与法证工具配对

隐藏非法活动

尽管执法机构成功地通过从手机中恢复的数字证据起诉了许多罪犯,但现在这一趋势正在逆转。手机强加密,一些 RIM Blackberry 和一次性手机的保护措施非常完善,通常无法恢复任何证据。一些罪犯使用多个 SIM 卡和/或预付费移动设备,用于短期使用。这有效地使从业者无法访问由电话网络提供商提供的与正常使用相关的任何计费或其他跟踪信息:

隐藏非法活动

一部通常用于安全隐秘电子邮件的 RIM BlackBerry 9320 Curve

从云端提取移动数据

云端也成为了数字证据的宝贵来源,来自于手机备份存储以及社交媒体账户,例如 Facebook、Twitter 和 Kik。例如,Cellebrite 提供了一种法庭程序,能够在适当的法律许可下从这些网站中恢复私人用户数据。这包括使用之前从嫌疑人其他数据中检索的用户识别和密码登录这些用户账户。该过程在恢复过程中保护恢复的数据免受污染,并将其保持在法庭状态以供进一步检查。

分析 GPS 设备和其他手持设备

GPS 网络用于导航和查看全球各地的位置。正如前文所述,它们是手机功能的重要组成部分,并且现在通常安装在汽车仪表板上,取代了安装在挡风玻璃或支架上的独立单元。

手持设备,包括卫星电话、平板电脑和网络书籍,还存储有关设备访问过的位置的有限信息以及显示设备在特定位置的时间戳。发布到社交媒体网站的 EXIF 数据也可能包含有关拍摄照片的大致位置的信息。更先进的移动取证工具可以验证照片是否是使用所谓的相机弹道过程在移动设备上拍摄的。数字书籍阅读器,如 Kindle,也会受到法证检查,因为它们被发现隐藏了证据材料。

从平板电脑和其他手持设备获取数据相对简单,类似于计算机和手机。它们为证据重建提供了有用的数据。GPS 设备越来越难以从中检索数据,特别是那些内置在车辆仪表板中的设备。通常情况下,这些设备提供的数据不会超过家庭位置和作为潜在目的地输入的位置。它们通常不记录旅程和旅程的任何有意义的时间顺序,但它们可以通过协助手机记录和电信日志来增加调查的内容。

案例研究 - 炸弹恶作剧中的手机证据

这个案例研究进一步说明了数字证据应始终得到协作、验证,尽可能核实,绝对不能轻信的重要性。

该案件中的被告被控根据与向被告的父亲发送短信有关的电信立法的严重罪行,声称一颗炸弹将在被告的兄弟姐妹所就读的学校爆炸。这一威胁被报告给当地警察,后者随即疏散了学校作为安全措施。学校的搜查证实了这一威胁可能是一个恶作剧,但这仍然是一个非常严重的问题。不幸的是,这些恶作剧太常见了,在学校遭到敲诈者、极端分子和有严重心理健康问题的人袭击的情况下,执法部门和受影响的各方总是认真对待。然而,它们如此频繁,以至于人们很难责怪第一响应者偶尔对逮捕这些恶作剧的肇事者采取漠不关心的态度。

事发前,被告一直在手机上收到一些恼人和险恶的短信。这些短信部分用英语写成,部分用另一种亚洲语言写成。它们似乎提到了一个当时居住在另一个国家的前情人。它们还对被告的未婚妻发表了贬低的评论,后者也开始收到类似的短信。

在这个时候,被告看起来更像是受害者,手机上收到了一些险恶的短信,以下是其中一些的样本:

案例研究 - 炸弹恶作剧中的手机证据

被告及其未婚妻对这些短信的回应似乎刺激了来电者发出更多威胁性的短信,包括从未婚妻手机中提取的以下短信:

案例研究 - 炸弹恶作剧中的手机证据

后来发给未婚妻的短信暗示了炸弹威胁和其他险恶行为:

案例研究 - 炸弹恶作剧中的手机证据

这些短信的语气变得更加奇怪和威胁:

案例研究 - 炸弹恶作剧中的手机证据

并且它们继续以类似的方式:

案例研究 - 炸弹恐吓中的手机证据

在这一点上,被告向当地警方投诉了这些信息以及被告与年幼兄弟共享的父母家中明显发生的入室盗窃。投诉被记录,警方前往家中,但他们注意到虽然被告的卧室被洗劫一空,但显然没有被盗。

第二天,被告的父亲收到了一条炸弹恐吓信息,警方接管了被告父亲的手机,后来能够确定来电者的订户号码。电话提供商提供了手机与其他联系人之间的通话记录日志,这些记录仅限于属于被告、未婚妻和父亲的手机。手机的 IMEI 和 SIM 卡的 IMSI 号码被确定,进一步的调查证实手机属于被告,尽管 SIM 卡是在未提供身份证明的情况下购买的(这并不罕见)。

被告卧室(先前被盗)的搜查发现手机放在被告床底下。事实证明,这部手机是被告购买并后来换成了新型号的旧手机。因此,被告接受了询问,随后被逮捕,起诉行动开始。然而,被告这位受人尊敬的办公室工作人员的动机并未得到确认——考虑到背景情况,这是不寻常的。此外,警方并未注意到导致炸弹恐吓事件的前期事件,于是我被委托去寻找事情的真相。

通过比较可用的起诉证据与辩护调查结果,对犯罪进行了重建。毫无疑问,短信是从属于被告的扣押手机发送的,但从未找到 SIM 卡。被告通过手机、记录在上面的短信以及电信提供商提供的协助信息与犯罪联系在一起——这是强有力的证据,但并非必然是动机不足的结论。

我通过辩护团队向检察官提出了以下关切:

  • 起诉方提供的发现事实缺乏辩护团队进行合理审查所需的基本信息。

  • 未对被告的新手机或未婚妻的手机进行法庭报告,这些手机包含了无罪证据。

  • 未提供用于从扣押的手机中提取数据的法庭工具和流程的详细信息。

  • 通过这些过程获得的扣押手机的实际法庭文件副本未完整分享。

  • 未检查任何手机中恢复的任何 Wi-Fi 连接细节,并提供给辩护团队。

  • 没有提供任何可能从犯罪者手机中恢复的 GPS 位置数据的详细信息,特别是在发送威胁性短信时。

  • 没有提供有关扣押手机的记录位置的详细信息,以确定在被告和其他当事人收到恶意和威胁电话的期间,通过连接到电话塔来确定其位置。

最后提出的问题很重要,以确定发送炸弹威胁信息的人的位置,并将其与被告的手机位置进行比较,该手机在发送炸弹威胁信息时处于活动状态。被告声称在威胁发生时处于一个遥远的郊区,并有一个坚实而独立的不在场证明来支持这一说法。如果可以证明威胁是从另一个地点发送的,这似乎是可能的,那么可以推断在关键时刻被告并没有手机。

在检控机构被告知这些问题的一天内,对被告的指控出人意料地被撤销,而没有提供理由。不希望对参与此案的机构过分批评,似乎存在一些系统性问题,这在处理数字证据时并不罕见。当然,检控调查存在缺陷,不完整,并且过于狭隘地专注于在低级法院迅速定罪以解决警官可能认为是例行骚扰电话的问题。粗心的警务工作导致调查标准低下,过度依赖扣押的设备,并未注意或考虑其他数字和证人证据。

尚不清楚实际罪犯是谁,但以下观察似乎表明是被告的年幼兄弟,因为:

  • 他可以进入被告的卧室,并在发送威胁后将带有罪证的手机放在床底下后取走并后来放回。

  • 他能流利地讲外语,并对家庭内部和家庭成员的活动有亲密的了解,正如短信中所反映的那样。

  • 他患有某种形式的精神疾病,智力较低,这似乎在一些短信中有所体现。

  • 他不喜欢未婚妻,并对父母和被告有着过分的占有欲。

实际上,他有动机、手段和机会牵连被告。奇怪的是,被告似乎不愿提供除手机证据外的其他证据,并似乎在保护兄弟。这只是猜测,但高度可信,有一些理由认为被告希望数字证据能成功推翻案件而不牵连兄弟。

这是一个不寻常的案例,你可能会觉得很有趣,虽然它提供了一个真实案例的样本,但它也引出了下一章,重点讨论一个永远重要的法医规则:追求真相,依赖所有证据,绝不让调查员的偏见遮掩真相。

总结

本章提供了定位和恢复与个人通信记录相关的数字证据的关键过程,包括存储在计算机设备上的电子邮件和浏览记录,以及存储在手机上的电话通信。它概述了恢复和搜索互联网浏览记录及其他消息系统(如 Skype)的方法。它还更详细地描述了电子邮件分析和恢复的过程。

引入了手机取证及其在法医检查中的重要性,同时解释了从个人计算设备和 GPS 设备获取证据日益增长的挑战。案例研究提供了对手机证据的一些关键问题的见解。它描述了调查人员对手机取证复杂性理解不足以及对案件相关环境的假设过度依赖所带来的陷阱。

第九章,验证证据,将回顾数字证据分析的基础:对证据的彻底审查,以验证其真实性、相关性和可靠性。你将进一步认识到并欣赏对数字设备和证据进行科学检查的重要性,以确保保持最佳的法医实践。

尤其是,下一章将描述一些常见的陷阱,这些陷阱通过草率和有偏见的检查削弱了数字取证的价值。一个案例研究将展示正确选择和分析证据的重要性,并强调在选择证据时保持公正,以确保符合法庭的期望。验证证据的相关性和真实性,以期其在法律程序中被采纳,依赖于对证据进行测试和检查,确保其与声称的一致。这包括对收集的证据进行更为结构化的分析,包括根据法医标准发展和测试假设与反驳论点。

第九章. 验证证据

缺乏清晰的数字证据验证模型是数字取证这一新兴学科中实践者面临的许多根本性弱点之一。“每个案件都是独特的!”是常见的口号。的确如此,但大多数案件有许多共同的特征,这些共同知识可以比现在更好地加以利用,并且在更广泛的范围内应用。

本章反思了数字证据分析的基本理念,即确保无论案件的情况如何,以及对实践者施加了什么样的限制,都应尽可能彻底地检查证据,以测试其真实性、相关性和可靠性。

本章描述了一些常见的陷阱,这些陷阱会降低数字证据的可采性,并影响已提交证据的证明力或价值。验证证据依赖于对其进行测试和检查,以确保其所声明的内容是准确的。这需要对所收集的证据进行结构化分析,包括根据法医学标准发展和测试假设与反论点。实践者需要基于某种合理的推理过程来证明其证据选择,这一过程必须是可以解释的,并且没有偏见或无根据的评论。

在听证会上以普通人能够理解的术语呈现复杂的技术证据,是许多法医检查和实践者的努力与专业知识的结晶。出庭作证要求保持冷静和清晰的精心准备,并且证据的确凿性至关重要。本书并非旨在成为提供专家证人的一系列建议的权威指南;这是一个过于复杂的问题;您可以参考以下资源来了解更多内容:

legal.thomsonreuters.com.au/expert-evidence-individual-technical-chapters/productdetail/118878

本章末尾的案例研究将展示证据选择和分析的重要性。它将强调在选择证据时保持公正性的重要性,以确保满足法院的期望。

本章概述了验证数字证据的困难,并提供了一些解决方案来应对这一问题。它将描述并讨论以下内容:

  • 不可靠数字证据的性质和问题

  • 在选择数字证据以满足法律期望时,公正性和客观性的重要性

  • 对收集到的证据进行结构化分析,包括根据法医学标准发展和测试假设及反论点

  • 正式化验证过程和最佳实践的解决方案

  • 数字证据的呈现

  • 数字取证实践者面临的伦理问题

  • 一个案例研究,描述了问题并为法医实践者提供了建议

不可靠数字证据的性质和问题

在法律听证会上提交的证据必须符合法院的期望。数字证据的有效性必须经过检验,以确定其在法律案件中的可采性,就像其他确立的证据形式验证一样。

如第三章所述,数字证据的性质和特殊属性,为了使证据在听证会上可采,必须满足三个条件:其获得是合法的,与案件相关,并且没有被污染。

一般来说,必须证明其在获取前、获取过程中或获取后没有被篡改或损坏,并且已经收集到足够的证据来支持案件。如果符合这些条件,就可以认为该证据已被验证,或者至少经过了测试,并且其有效性已经得到了确认。如果它有效,那么它可以被提交并根据其证据价值进行判断。

目前并没有普遍公认或标准化的流程来指导数字取证从业人员验证数字证据制品,以确保其在法律程序中的可采性。然而,迫切需要对数字证据的有效性进行更科学的测量,而不是依赖从业人员或律师的直觉,这些直觉可能在简单的“是”或“否”证据分析中具有洞察力。

从更复杂或曲折的情况中可以明显看出,数字证据由于其特殊性质可能会产生误导。最重要的是,文件位置、时间戳和其他包含文件前因及文件数据的元数据需要仔细审查,以确保能够充分识别和解释其属性。当关联文件事件时,如果引入了一定程度的不确定性,那么必须以某种方式进行测量,以确定展品的有效性,这使得分析变得更加具有挑战性。

为了说明表面看起来简单的问题,考虑一下在计算机的已发送邮件文件夹中找到的有罪电子邮件的位置。计算机所有者在嫌疑人主导的检查中成为主要嫌疑人(这种情况太常见了),因为通常存在隐含的有罪推定,因为计算机所有者最有可能对其创建和发送负责。在证据主导的检查中,证据是客观地、不带偏见和错误直觉地进行审查的,试图确定其前因以及与可能的犯罪嫌疑人的关联。了解这种替代类型检查的整个过程后,法院更倾向于采用这种客观过程,而非仅凭直觉判断。

在这个例子中,简单地说明电子邮件文件在发件箱中,暗示它是由计算机的某个用户发送的——这确实是或者不是。但实际上,检查其前因会引发一系列问题,包括确定是否有“黑客攻击”,是否是从另一台计算机发送并同步到嫌疑人计算机的,时间戳是否异常,或者信息是否被篡改。如果对这些问题的回答是“是”、“不是”甚至“不确定”,通过仔细关注细节,可能会对发生了什么有所了解,但这仍然需要通过可能性进行判断。如果某些问题或所有问题的答案是不确定的,那么这会增加对证据合理性的怀疑;因此,需要对证据进行一些测试、检查,并在可能的情况下进行证据的 corroboration 来确定真相。

用普通人能够理解的方式解释这些复杂性,需要对技术细节有清晰的理解,并具备良好的沟通能力。后续章节中将更详细地描述这一点。文献表明,阻碍从业人员有效验证证据可采性的困难可能归因于:

  • 向法院解释数字证据的技术复杂性挑战

  • 法医子学科的不成熟

  • 计算机和网络的安全完整性不足

  • 证据污染

解释数字证据的复杂性挑战

这是广泛接受的观点,且我通过自己的研究和与多个法律团队的合作也证实了这一点:法律界和客户往往对计算机系统缺乏清晰的理解,并且常常对呈现给他们的数字证据的有效性和重要性感到困惑。尽管数字证据与其他间接证据(如纸质文件)有很多相似之处,但其固有的技术复杂性使得法医专家在许多法律环境中尝试呈现和解释数字证据时面临挑战。对数字证据的日益依赖可能会增加其可采性面临的法律挑战,最终影响其证据效力。

使用图表、图尔敏图(在本章节的数字证据展示部分有描述)以及其他视觉辅助工具,比单纯的详细报告更能打破许多人感到困惑的局限;视觉材料可以突破沟通障碍。

法医子学科的不成熟

观察者指出,许多实践者在数字取证检查中迅速采用科学过程和工具的愿望过于鲁莽,同时有一种不良的看法,认为方法和过程的适当审查与验证是没有必要的。这种审查和测试往往完全甚至部分被忽视。我对这一不良做法表示担忧。似乎这种误解会导致新过程产生的证据受到质疑,因为在恢复和分析过程中使用的过程或新法医工具未经过验证,无法确定其是否适用于法医检查。这并不意味着恢复的证据无效,而是说如果这些过程和工具没有经过测试和独立的科学评估,那么它们会使证据的可靠性降低。

这是一个全球性的问题,案件依赖于基于有缺陷的法医科学分析的信息和证词,而这些分析被认为导致了无辜者的错误定罪。缺乏标准化的法医实践协议以及对许多法医过程和实践有效性的 uncertainty,令人惊讶的是并不罕见。

因为不当的证据收集、处理和保存过程而在法庭程序中被拒绝的证据,实际上是浪费的努力。长时间以来,知情观察者和实践者普遍认为,虽然这一学科有所发展,但尚未成熟。对这一学科缺乏实质性和重要性的研究,未能确定广泛的科学标准。此外,目前并没有明确建立的科学来支撑和支持数字证据的使用。指纹分析作为嫌疑人识别的手段,长期以来是一个成熟的学科;然而,最近由于缺乏坚实的科学基础,它开始受到审查。

数字取证的未成熟性引发了对其作为科学学科的正当性提出质疑,原因是缺乏标准化和法律管辖区以及刑事和民事调查环境中的一致性。

计算机和网络的安全完整性不有效

法庭在评估证据时遇到困难,因为有时实践者难以向其提供关于存储证据的计算和网络系统的完整性和可靠性的保证。在提供数字证据时,常见的做法是由记录的保管人或其他合格的证人证明记录是可信的。

法庭假定计算设备和管理计算机网络的人员的证据完整性是可靠的,同时还期望能够提供保障,证明计算机和网络系统的安全性和完整性,而这些系统通常易受各种威胁的影响。

证据污染

证据不仅必须合法获取,法院现在已认识到数字证据在篡改和认证方面的风险增加。近年来,DNA 证据可以被伪造和制造,从而产生关于其可靠性的巨大不确定性,这一点已被充分证明。近期也明确表明,数字证据可能在不留下明显篡改痕迹的情况下被修改,尽管可以推测证据曾经存在,但如果它确实存在,它已经无法恢复。

使用有效的法医工具可以在从数字设备恢复数据时最小化证据污染的风险,这有助于法院确定恢复数据的可靠性。然而,当对涉及数字法医工具和流程的案件应用标准测试时,如美国的标准,数字法医作为一门科学学科的地位引发了一些争议,因为缺乏广泛接受的标准和流程。数字证据的保存在前面的章节中已有较为详细的描述,其重要性不容忽视。

在选择证据时保持公正

数字证据的恢复和法医分析及其最终在法庭上的呈现与其他法医证物没有区别。这需要遵循最佳的法医标准,并期望从业人员具备特殊技能,尤其是:

  • 能够进行公正、无偏见且彻底的证据审查

  • 拥有并遵循强烈的道德规范

  • 一定程度的良好的法医审查经验

  • 能够访问其他从业人员进行交流互动

  • 广泛阅读数字法医实践和案例研究

  • 拥有最佳法医工具,并具备高水平的使用和部署能力

  • 充分理解相关法律法规

  • 认识到自身能力的局限性并及时寻求专家支持

  • 了解客户需求并在早期阶段明确定义审查性质的能力,并在必要时持续进行

  • 具备良好的沟通能力,能够向法律团队并最终向法院解释发现结果

  • 能够让法院相信证据已经过检查和测试以验证其有效性

这些特质是法医从业人员所期望具备的,最重要的是,他们必须证明在案件审查中没有偏见。那些基本上是“肮脏证人”的从业人员丧失了公正性,得到了为客户或组织服务的名声,显然他们绝不是法院的仆人。其他人往往选择符合自己主观观点的证据,这通常被称为检查者偏见

懒散和庸俗可能主导执业者的行为,尤其是在他们认为自己的意见不会受到挑战时,以及他们可能会产生一种优越感。这种情况发生时,良心强烈的人必须避免这一陷阱。这些伦理问题将在稍后的数字取证执业者面临的伦理问题部分详细讨论。

根据我在刑事和民事案件中工作的取证经验,显而易见的是,即使是在较小的数据集里寻找证据,也需要耐心、专注以及为客户做好工作的决心。这个领域可能听起来很有魅力,偶尔在法庭上亮相,展示和辩论证据,确实能带来成就感,但有时却令人感到煎熬和恐惧。尽管如此,证据的呈现,不论其价值如何,必须基于稳妥的专业检查和分析。

在理想的世界里,时间和资源不受限制,执业者可以花时间和心思进行彻底、从容的分析。然而,如果客户预算有限,可能只能在有限的时间内完成彻底的检查。临近的审判日期和其他紧张的日程往往会限制执业者的时间。此外,缺乏确保检查彻底性的时间,结合过重的工作负荷或案件内容(例如性不端行为和暴力等令人不快的话题),有时会导致执业者感到压力和失望——这显然不利于保持有效的取证输出。

含义只有在上下文中才能清晰理解

信息的模式结合在一起提供实质内容,就像拼图一样,碎片被组合在一起以呈现出一个完整的画面。然而,这些证据性资料可能很容易被误解,有时会产生误导性,甚至显而易见是错误的。

错过的证据或未被认为与调查相关的信息可能会带来灾难性的后果,常见的问题是未能:

  • 确认证据的存在

  • 收集新鲜的证据

  • 确定与搜查令相关的材料

  • 正确标记和记录展品

相反,执业者可能会:

  • 将并非证据的物品误认为证据

  • 收集搜查令所不允许的物品

  • 错误地标记展品

  • 制造伪证

错误的案件管理和证据验证

自 2008 年以来,我为澳大利亚的辩护刑事律师提供数字证据的专家分析。这涉及重新审查和验证州和联邦执法案件中呈现的数字证据。许多被告成功说服了陪审团,并因此被判无罪。虽然陪审团的审议是严格保密的,但人们认为,数字证据的重新审查和测试提供了额外的解释和对证据的相反看法,同时更加清晰地呈现所有证据,可能帮助陪审团做出更公正或更充分知情的决策。

对我和我在该领域的同事们来说,显而易见的是两个相关的问题:

  • 通过不充分分析和展示数字证据而导致的案件管理失误

  • 数字证据的验证不完整和不准确

在实际操作中,不充分分析往往由多种因素导致,例如案件负担或从业者经验不足。然而,有时也可能是由于与案件相关的证据被忽视或未被识别。这些证据可能是无罪辩护型的,即它可能为嫌疑人辩解或指控其他嫌疑人。一些从业人员倾向于在选择证据时只挑选最简单的证据,而没有对证据进行分析,确保它确实是所声称的内容,这仍然是一个问题。这表明从业人员需要更多的责任心,因为他们实际上是法庭的服务者。

在审查证据时,真正的危险在于,无论其形式如何,证据可能会具有诱惑力,并提供寻找者希望看到的内容。乍一看似乎显而易见的东西,可能会是具有误导性的。实践者必须坚持证据本身,而不是沉迷于是否基于个人感受来证明有罪或无罪。由于数字证据的偏见和错误解读而导致的诉讼失败并不罕见。这是无益的,因为它可能加重那些证据成功挑战后,并未导致有罪之人定罪的案件。相反,偏见证据可能导致无辜者被定罪。

从业人员必须预料到他们的陈述和专家意见会受到质疑和驳斥,因为在许多司法辖区,法律的基本原则是被告在未被证明有罪之前是无罪的。有一些例外情况,例如毒品贩运和持有案件,其中基本的保护被逆转。在这些案件中,证明清白的责任落在被告身上,必须解释清楚证据并证明自己是无辜的。

“被告推定无罪”似乎是一个陈词滥调和误解的术语。警察如果没有足够的证据证明被告有罪,是不会起诉的,这也是一个危险的谬论。初步案件并不假定被告有罪,也不意味着最终必然有罪。检方的责任是为法官或陪审团提供尽可能有力的案件以供审议。被告不需要证明自己无罪;检方必须证明事件与被告之间是否存在联系。实际上,检方必须证明被告并非无辜。

就依赖数字证据的案件而言,通常证据可能是真的,但却容易被否定。需要某些验证过程来确定证据是否准确、事实是否属实、是否相关(并始终相关)、是否适用于违法行为发生的时间,并且是否能够呈现完整的事实真相。还可以加入其他同义词,但关键是需要某种正式的程序来帮助从业者界定他们所呈现的证据的有效性。相关内容将在以下章节中讨论。

数字证据的结构化和平衡分析

很明显,阅读过前几章后,希望你能意识到直觉并不足够,也无法给法庭留下深刻印象——需要坚实的事实并且应通过逻辑分析来支持。必须努力寻找所有证据,单凭直觉可能不足以帮助缺乏经验的从业者发现隐藏和难以找到的证据。没有全面识别所有应被寻找的证据,可能会阻碍对关键事实的调查。这可能是由于从业者的无能或经验不足,或者由于缺乏时间和可用资源。

不对证据进行验证可能会毁掉案件,如果证据后来被成功质疑。我特别批评那些在追求将主要嫌疑人“框住”的过程中忽视有利辩解证据的从业者。将嫌疑人与可能构成罪证的事件联系起来(假设这些事件确实是罪证),是任何调查中的第一个障碍,这需要进行假设验证。即便这些事件构成罪证,也必须验证它们与嫌疑人之间的关系。

发展假设

例如,公司系统管理员进行的内部调查通常会导致一份较为非正式的报告提交给管理层,并且往往会导致证据被污染。这一常见现象困扰着法医调查,并在本章结尾的案例研究中得到了突出展示。关于设备或网络上可能发生的事件,通常是由调查人员、执法团队以外的人来提出假设或论点。

法医检查的结果可以在刑事或民事法院、某些法律听证会上,或者在内部纪律案件中提交给管理团队。领导行动的团队将提出一个由各种证据物件和论点支持的最终假设。在听证会之前,从业人员可能需要测试数字证据的每个假设,这些假设可能会被驳斥,或者需要证实以支持其有效性。一位真正的专业人士会寻找另一种假设或反假设,以测试哪一种更可能。

更精确的衡量和标准化证据的方法可能有助于从业人员、调查人员和陪审员决定证据的有效性。对于从业人员来说,始终保持客观是至关重要的。一旦数字证据被作为证据接受,常识似乎就会消失。

为某些类型的案件制定标准操作程序将限制人为错误的可能性,并且通常作为一般过程最为有效。当然,仍然需要为各种类型的案件制定一套必要的行动步骤。重要的是,证据能够独立突出并指向真相。从业人员应避免在审查过程中根据情况选择采取哪些行动,因为这可能被视为有争议的,非证据主导的,过于主观且倾向于寻求罪行。这也可能会错过线索,误解其他事实,而不是建立在一个坚实的框架之上。

建立论证模型

从业人员需要尝试回答的一个重要问题是,哪些属性是证据在特定调查背景下有效所必需的和/或充分的。这在一定程度上将依赖于以下因素:

  • 数据的完整性,或确保证据未被故意或无意篡改,是一个主要关切。

  • 必须具备认证信息的能力。

  • 能够重现用于收集和检查证据的过程是另一个需要考虑的问题。

  • 重要的是要知道,证据的扣押不会实质性地改变证据或其来源系统的状态。

  • 可能还需要证明,只有与调查相关的信息被访问了。

图尔敏的论证模型

我是图尔敏论证模型的倡导者,并且发现它在图示形式下有助于向法律团队解释在案件不同层次上关于数字证据的论点。

图尔敏的理论定义了论证中的六个方面,这些方面在任何类型的论证中都是常见的,如下图所示,该图展示了一个论证过程,即嫌疑人明知自己电脑上有攻击性图像(该论证的支持点),但这一论点被数据和文件时间戳的不可靠性所反驳(对论点有效性的保留):

托尔敏论证模型

托尔敏图展示了验证证据有效性的简易性

一个有趣的网站提供了关于论证模型的背景和示例,网址是changingminds.org/disciplines/argument/making_argument/toulmin.htm

该图是证据的简单表示,我用它来展示最终假设,然后每组证据可以在单独的图表中拆解,展示主张和保留意见(或反论点)的可能性。它要求从业人员以可视化的形式展示关键问题和普通人能理解的反问题。

数字证据验证的形式化

数字证据中的“验证”一词定义不清。我提供以下验证的定义:

“数字证据的验证是一个确保法院案件中呈现的数字证据是合法可采的过程,这意味着可以证明其是合法获取的;未经污染、相关,并且由于其情境性质,得到证实;并且其证明价值超过其偏见效应。”

目前没有现行流程指导数字取证从业人员验证数字证据的有效性,以确保其在法律程序中的可采性。我的持续研究和数字取证检查增强验证模型的开发,旨在使取证从业人员能够以关于证据项目的问题形式输入数据,并通过模型中嵌入的计算,得出证据可采性有效性的诊断。模型中包含了一个软件应用,结合了贝叶斯网络推理过程和基于数字取证检查中遇到的一系列案例研究和情境的数据存储库。

正式化验证过程的预期好处

原型模型隐含的功能是,它能够量化数字验证过程,并以简单易懂的格式提供从业人员用于诊断证据验证的测量值。具体来说,模型设计必须:

  • 确保每项取证检查所适用的验证条件已经满足,特别是在检查和测试每一项证据有效性时的彻底性。

  • 提供可靠的证据有效性测量,以确定每一项证据是否符合证据可采性条件

这里展示的原型模型旨在通过帮助取证从业人员更好地理解和明确他们自己的取证工具、流程和实践,来协助数字证据验证。具体目标包括:

  • 开发数字证据验证的正式流程

  • 将这一过程实施在一个实践模型中,供从业者使用

  • 提供对证据有意义且易于理解的预判,帮助从业者并最终帮助法庭

  • 在验证过程中最小化错误和证据误解

  • 提供彻底的验证检查机制

  • 通过提供更可靠的证据分析,并能够通过科学过程验证分析,减少冗长且昂贵的法律挑战的发生

基于设计的模型被认为对法庭和法律从业者有益,能够提供更可靠的科学证据分析。

选择的理由

在各种推理模型中,选择了贝叶斯网络模型进行实验。贝叶斯推理作为一种正式的推理过程,已被法医学专家用于帮助理解和解释法律案件中复杂证据的性质。它在解读存在不确定性的证据时特别有用,尤其是当证据的可靠性存在疑问时。贝叶斯模型对于理想法庭评估新证据项的规范性较强,并且比以往更加明确地区分了信息和意见。

法律辩护人和法官倾向于依赖归纳推理来基于支持事实发展和评估合理的假设。然而,法医学从业者在证据验证过程中使用贝叶斯概率论的好处,尤其是与法院的区别,仍具有一定的价值。

研究人员强调区分科学知识和司法判断的重要性和适宜性,因为前者可以通过贝叶斯概率论得出。诉讼律师和法官通常避免基于概率推理的统计学来解释证据的合理性,但是否有必要让法律从业者理解概率推理的基本原理?在数字环境中,使用这些过程增强决策者对证据最可能表明的内容的理解,可能会带来益处。

我的研究表明,这种模型为从业者提供了一个有用的验证过程,能够:

  • 以结构化的方式浏览证据组,以识别需要验证的证据

  • 测试并检查这些证据,衡量它们作为证据的有效性

  • 提供易于理解的测量计算方法解释

  • 提供有意义的有效性度量

  • 作为新手从业者的培训工具

证据的合理性帮助法医专家提供他们证据的客观证明价值的评估。从中,陪审团或裁判员可以决定被告有罪或无罪的概率。贝叶斯定理基于概率或某事发生或成立的可能性。它可以用赔率来表示,例如预测印度在测试赛中战胜巴基斯坦的可能性。这些赔率不是随机的猜测,也不是基于证据线索的推测性猜测(如归纳推理),而是基于已知和可能的结果,通常能够产生比人类猜测更可靠的预测。

在法律案件中,试图证明有罪的证据的证明力度可以通过似然比表示:

选择的理由

当该似然比与决策者已知的其他证据的强度(先前的赔率)结合时,决策者就掌握了后验赔率。贝叶斯逻辑也可以类似地用于衡量可接纳性的似然比,如下所示:

选择的理由

在贝叶斯推理中,任何正在考虑的假设都必须具有某种成立的概率。如果基于附加证据的假设为真,那么就会有一定的概率观察到该证据;相反,如果该假设是假的,则有另一个不同的概率观察到该证据。

模型的概念框架

我的研究认为,每个证据对象的有效性必须在其被认为可以接纳之前进行验证。换句话说,支持某一状态事实声明的证据验证至关重要。这些数字证据(以及一般的间接证据)可接纳的条件可以定义为其法律可接纳性、其未受污染的状态、与当前问题的相关性,以及理想情况下,是否有佐证。描述这四个证据条件及证据与声明之间关系的概念框架如下所示:

模型的概念框架

模型的概念框架

因此,为了模型的目的,所有可接纳条件必须满足,即,如果证据在法律上可接纳、未受污染且相关,那么该证据可以被接纳,并且在适当的情况下,证据应当被独立佐证。在下图中,突出显示的可接纳条件及其相互依赖性如下所示:

模型的概念框架

可接纳性条件图示

原型模型基于需要验证的证据可采纳条件的子结构。每个条件的提议子集已包含在内,以概述模型结构,如下所示:

模型的概念框架

需要验证的证据可采纳性条件的结构

验证过程

需要验证的证据输入通过模型进行处理,基于对一组相关的、预定的问题的回应,这些问题以e1e2等形式表示,存储在统计数据库中,如下图所示。证据输入是选择证据并准备进行质询的正式方式,建立在预设的测试和检查基础上。质询输入需要与预定事件和阈值的统计数据库进行比较,以衡量证据的可采纳性:

验证过程

数字取证检查的增强验证模型

通过由嵌入式贝叶斯网络推理软件应用程序完成的计算,该程序利用统计数据库,模型生成一条输出声明,指出证据物品的有效性。统计数据库包含与正在审查的证据物品相关的广泛信息问题。这些问题要求有经验的证据证明,以表明它们及其相关的回答范围适合纳入统计数据库。可以基于证据物品是否满足特定的可采纳性条件来验证广泛的数字证据物品,输出结果或回应可以是简单的Yes(是)、No(否)、Unsure(不确定)、Discounted(已折扣)或Cannot Be Determined(无法确定)。

输出结果包括可供实践者理解的推理过程说明,以及对于如果提供的测量结果得出负面预期所需进一步调查过程的建议评论。

将贝叶斯推理应用于验证分析

本模型所展示的真正价值在于帮助验证那些存在一定不确定性的证据。模型的第一个条件——证据的法律可采纳性——是一个相对直接的组成部分,不像其他条件那样复杂,且没有明确的最终结果声明。这个相对简单的条件将在以下小节中描述。

法律可采纳性分析的相对简易性

在许多情况下,证据的有效性是明确证实的且没有争议的。证据的合法可采性要求遵循某些法律程序,允许扣押和检查证据,或者要求合法所有者授权获取该证据。除非在特殊情况下,通常需要确认证据是否合法获取,才能在审判中提交。证据扣押的合法性,例如根据搜查令扣押的手机,似乎很简单,前提是没有需要更严格遵守搜查令的特殊情况。

在电子发现过程中,搜查令可能会规定只收集特定数据,以保护数据保管人和用户的隐私。任何超出搜查令条款收集的证据可能会面临法律挑战。

这些合法授权的情况可以通过一个简单的决策树过程和流程图进行检查,通常会给实践者和法律代表提供正面或负面的结果。根据搜查令收集的证据合法性检查过程在以下图表中有所展示。该过程要求满足所有检查条件;否则,收集到的信息可能无法被采纳。实践者必须参考立法下的其他扣押形式以及所有者的许可,并应用类似的检查:

法律可采性分析的相对简易性

流程图:测试证据合法获取的条件

在这些情况下,并不需要复杂的软件过程,但检查其他可采条件可能需要一些结构化的指导。尤其是在确定计算设备上基于文件的事件的相关性时,正如下一小节中的示例所解释的那样。

更复杂的组件需要科学测量

文件与操作系统和应用程序系统之间的关系涉及复杂的动态,需进行仔细审查。对于数字证据有效性的更科学测量需求,在更加复杂或曲折的情况下尤为明显,因为数字证据的性质可能由于其特性而产生误导。

这些特性包括检查文件位置;时间戳;创建、传输和存储的前因;以及其他帮助重建设备或系统使用的事件,如软件和用户生成的事件。当将文件事件(或其缺失)关联时,这一分析变得更加具有挑战性,并引入了一定的不可确定性,这种不可确定性必须以某种方式被测量,以确定证据的有效性。

如果仅凭直觉和经验对这些复杂问题进行评估,可能并不正确。可能存在对基本事实的主观和权宜处理的倾向。关于相关性的解释,在不同的从业人员中也会有所不同,且很少有人或根本没有考虑测试他们的假设。当然,除了自己的组织或团队外,实际上没有任何中心化的资料库供从业人员查阅,因此,一些从业人员可能会表现出防御性自我中心的倾向——这显然不是理想的科学环境,但出于安全原因,可能不会分享此类案件细节。

例如,已经证明,基于网页的电子邮件消息相对容易伪造和替换,且通过一些基本知识,干预的证据也容易被掩盖。

如果为了突出模型,我们拆解其中一个可采纳性条件,例如证据的相关性,如下图所示,则必须检查七个已识别的子条件,以确定其相关性。例如,若以子条件r7为例,用户与事件之间的联系是明确的,不影响相关性。

存在许多可能的远程访问实例,应促使从业人员验证某个陈述是否成立。检查嫌疑用户与关键事件之间的关联可能需要检查,是否有其他用户通过物理访问、黑客攻击等远程访问方式,或通过如 TightVNC 等软件应用程序的存在访问计算机:

需要科学测量的更复杂组件

可采纳性条件——相关性

这些可能的远程访问实例可能表明,单一用户并未独占计算机的访问权限,因此需要更大的确定性来建立特定用户与违规证据之间的联系。在实践中,作为案件审查的一部分,从业人员应检查所有这些潜在的联系。为了说明这一过程,以下演示通过假设的情况展示了如何通过软件应用程序的存在来测量远程访问漏洞的可能性。

流程图如下所示,展示了检查应用程序和文件的过程,以确定在与违规行为相关的时间是否发生了其他用户访问。检查过程的不同结果有助于从业人员判断证据是否可采纳,因为发生远程访问的可能性很小。检查结果还可能表明,证据不太可能牵连到计算机所有者,因为其他用户的访问是通过远程访问得以暗示的。此过程还可能显示,其他用户访问的可能性不确定,或可能无法确定。

更复杂的组件需要科学测量

检查通过设备上安装的应用程序进行远程访问的过程

关键问题是远程应用程序是否在违规发生期间已安装并使用。从业者可能确认或不确认计算机上是否存在该应用程序,因为它可能已被卸载或删除且没有留下痕迹,并且日志文件可能也不再存在。如果无法得出结论,检查其他系统记录(如事件查看器和注册表)可能会揭示该应用程序以前的使用情况。任何显示应用程序在违规时或接近违规时启用了远程访问的迹象,都会引发未经授权使用计算机的可能性。此示例用于演示该模型处理推理输入并提供有用输出预后的能力。

在此选定的样本场景中,重要的是确定计算机上是否曾经存在远程访问应用程序。如果确认这一点,那么它可能对违规事件的性质产生的影响应该被视为理所当然地考虑。一个勤勉的从业者会检查应用程序文件的元数据,以确定应用程序是否在安装之前已经安装。如果确认先前已安装,那么重点将放在检查应用程序和系统日志,以确认该应用程序是否在违规时使用。

对应用程序运行证据的正面回应应该引发警觉,如果其他证据支持在违规时使用该应用程序,那么从业者应考虑计算机的其他用户活动。

如果能够确定应用程序在违规时未被使用,这将使从业者得出结论,认为此事不会降低证据的价值。此外,如果应用程序一直存在于计算机上且未使用,则不会降低其有效性。

然而,如果应用程序已安装,这将引起对其在违规时使用的担忧,并需要进一步检查。应用程序降低证据有效性的可能性增加,并且可能会被衡量,特别是当能证明它在违规时已被安装并使用时。如果其使用不确定,这将影响可能性比率,并具有不确定预后的含义。

如果其他证据支持在违规时使用该应用程序,则会呈现不同的可能性比率。正是这些问题的累积结果和所提供的输出测量值,使从业者能够深入了解所提出的含义,但有时,大脑需要额外的帮助。

确定先验概率

每个假设都有一个先验概率,即在任何证据被关联之前,该假设为真的概率,并且可以在任何时候进行修改。在假设远程用户通过在目标计算机上安装并运行远程访问软件来利用漏洞的例子中,设置先验概率是首要任务。

模型中的每个子类别都有不同的阈值,用以向专家展示不同的输出。

在试图确定是否存在远程应用程序来利用该设备时,可能会决定这种事件的发生概率不高或极不可能,其他的量表也可能会被选择,但仍然在合理预期的范围内。问题是,是否有远程应用程序允许外部攻击用户的计算机。实践者必须决定是否有发生这种事件的概率较低、极不可能、可能、最有可能等。所有的预测必须是合理的,并且在计算机上可能发生的范围内。

如果事件发生不频繁,可以选择一个较低的先验概率阈值 0.01,表示概率为 1/100。如果发生的可能性更大,可以选择较高的先验概率阈值,比如 0.1,表示概率为 1/10。较低的阈值意味着这种事件发生的频率较低,而较高的阈值则表示发生频率较高。

模型中嵌入了灵活性,允许根据刑事和民事案件的确定性标准进行调整,例如刑事案件中的“超出合理怀疑”或民事案件中的“平衡概率”。在刑事案件中,如果证据不能超出合理怀疑,那么被告应当得到怀疑的利益。

设置后验概率

下一步是根据不同假设来确定后验概率或后期概率。与此命题相关的有两个证据:

  • 违规时远程应用程序是否在运行?

  • 系统日志是否确认在违规时远程应用程序正在运行?

如果其中任何一个在运行,这将表明远程用户在违规发生时访问了计算机的概率(这可能是未经授权的黑客攻击,也可能不是)。我们可以将此概率设置为 0.8,即 10 次中有 8 次的概率。我们也可以将阈值设置为 1.0,这意味着当这些事件中的任何一个在违规期间发生时,就可以确定远程攻击已经发生。然而,没有确凿的证据时,无法预测这样的确定性。

在尺度的另一端,我们可以将其设置为 0.01,这意味着即使远程应用程序没有受到攻击,仍然有 1/100 的概率观察到应用程序在违规时正在运行。在测试样本中,先验概率分别设置为 0.1 和 0.01,以观察在计算这两个问题的输出时是否有显著差异。每个问题的后验概率分别设置为 0.8 和 0.1,因为这两个问题的重要性被认为相同,均用于确定远程攻击的可能性。

这些后验概率比率是基于以下认识计算的:如果这两个问题中的任何一个回答为肯定,那么远程攻击的可能性就很高;如果两个问题的答案都为肯定,则高度可能。更高的 0.8 阈值支持这一测量,而 0.01 阈值则被认为是代表了不应轻易忽视这一概念的事实。

模型根据这个问题提出了这些阈值:远程应用程序在违规时是否正在运行?在这种情况下:

  • 如果远程应用程序在违规时正在运行,则观察到的概率为 0.8。

  • 即使远程应用程序未被攻破,也会观察到在违规行为发生时应用程序正在运行的概率为 0.01。

它还会考虑以下问题:系统日志是否确认远程应用程序在违规时正在运行?在这种情况下:

  • 如果远程应用程序在违规时正在运行,则观察到的系统日志显示的概率为 0.8。

  • 即使远程应用程序未被攻破,也会观察到系统日志显示在违规行为发生时应用程序正在运行的概率为 0.01。

基于对不确定提示的完整响应范围,模型的输出如下表所示。如表所示,在使用 0.1 和 0.01 的先验概率比率时,观察到了一些差异。使用较低的 0.01 概率比率时,比使用较高的 0.1 阈值时,支持假设的范围或赔率较低。

以下九个输出报告包括:

  • 假设是可能的:来自实例D的一个结果。

  • 假设不确定:来自实例BCFGHI的六个结果。

  • 假设被否定:来自实例AE的两个结果。

    应用程序状态与赔率实例远程应用程序在违规期间是否正在运行其他系统数据是否表明远程应用程序在违规期间正在运行先验赔率(后验赔率 0.8 和 0.01)模型计算得出的赔率远程应用程序攻破的预后
    A0.12 in 443这个假设被排除
    0.011 in 2,427
    B0.19 in 14这个假设不确定
    0.018 in 57
    C0.19 in 14这个假设不确定
    0.018 in 57
    D0.1712 in 713这个假设是可能的
    0.0166 in 67
    E不确定不确定0.11 in 100这个假设被排除
    0.01
    F不确定0.153 in 59这个假设不确定
    0.0117 in 38
    G不确定0.153 in 59这个假设不确定
    0.0117 in 38
    H不确定0.17 in 319这个假设不确定
    0.011 in 491
    I不确定0.17 in 319这个假设不确定
    0.011 in 491

检查远程访问应用程序是否在违规时运行

关于远程访问应用程序在违规时是否运行的结果分析,检查过程提供了不同的结果,具体描述如下:

  • 这个假设是可能的:从这些结果中,执业人员会认识到,在一个实例(D)中,反映出两个问题都是积极输入的情况下,远程利用的可能性较高。

  • 这个假设不确定:实例 B、C、F、G、H 和 I 应该让评估者意识到,是否发生了远程利用现在有一些不确定性。在实例 B、C、F 和 G 中,0.1 的结果显示支持这些假设的可能性大于反对,而 0.01 的结果则显示相反。其余实例显示使用任何可能性比率时对假设的支持非常小。结果的不确定性可以衡量,且有些结果偏向排除这些假设,尤其是实例 H 和 I,而 B、C、F 和 G 是更模棱两可的结果,暗示远程访问利用是可能的,但并未得到证明。

  • 这个假设被排除:实例 A 和 F 表明这个假设极不可能。

提供给执业人员的注释,包括关于输入问题的重要性及一些背景信息,以协助检查和测试响应问题所依据的证据,也会包含在输出报告中。

以下是关于应用程序在违规时是否运行的样本说明:

注释

证据:应用程序在违规时是活跃的

问题:应用程序在违规时是否运行?

响应:是

注意:应用程序的操作日志可能提供确认,证明应用程序在违规期间是活跃的。检查 Windows 中的可用卷影副本也可能提供一些确认,证明应用程序在关键时刻是活跃的。

这是有关应用程序在违规时段运行的样本注释,基于系统日志:

注意

证据:其他系统日志确认远程应用程序运行

问题:其他系统日志是否确认远程应用程序运行?

回复:是的

注意:此信息可能来源于 Windows 事件查看器文件。Windows 注册表还可能提供额外信息。

现有的限制和范围

该模型处理的是展品的可接受性而不是其证据重量。证据的重量,包括其合理性,超出了模型的范围,是调查团队和法律从业者讨论和最终由陪审团决定的问题。

原型和其他模型的结果必须增强对数字证据物件有效性的复杂性和似然比的理解。这被视为增强从业者将其发现传达给他人的方式的一部分。

数字证据的呈现

有两种主要类型的专业人士在审判、询问或听证会上提供证词:

  • 技术或科学证人证词

  • 专家证人证词

数字取证从业者可能被要求扮演两种或两种角色。技术或科学证人提供调查过程中发现的事实证据,并描述发现的内容及其获取方式。专家证人基于经验对所观察到的内容提供意见,使用演绎推理来说明或检查的事实。

强调再次强调,在撰写报告或亲自作证时,从业者必须确保无论是有利于被告还是不利于被告的证据都被提供给对方。从业者在呈现证据时必须确保以下事项:

  • 结论在技术上是合理的

  • 证据坚实支持它们并且被适当地保留

  • 已考虑到可能发现的任何有利证据

准备数字取证报告

在准备法庭审查报告时,重要的是力求清晰简明,并确保证据易于访问并正确交叉引用。报告应提出建议,包括预防事件再次发生的建议,并描述允许其发生的根本原因(如果有的话)。

在最佳状态下呈现证据,并逐步展示检查过程。此外,还应描述案件的优势和劣势如下:

  • 首先和最后的最受欢迎的立场

  • 中间的选择

  • 在过程的背景下总结证据

  • 在对方之前处理异常情况

  • 如有结论,提出结论

  • 提供得出这些结论的依据

  • 处理其他可能的解释及其基础

  • 清晰的结论,包括可理解和有理有据的推理

  • 如果给定的信息有误或发生变化,结果和结论是否会改变

这里展示了一个样本报告大纲:

准备数字取证报告

一个样本法医报告布局

它包含一个执行摘要,简明扼要地概述报告的目的、涉及的过程、恢复证据的分析以及其他关键事实。报告的主体部分提供了更详细的案件背景和法医检查的目标。

报告还应包括证据恢复过程,包括链条信息(如果没有单独的登记册)。然后,具体详细地描述检查结果,在这一部分的末尾进行讨论,并将其嵌入报告的相关部分。报告的最后包括任何建议和结论,并附上图表、表格以及相关文件的附件。

出庭

陪审团对从业人员的证据非常重视,这得益于《犯罪现场调查》。我们所有人都有责任帮助他们理解不高估它。仅仅因为从业人员了解自己的专业领域,并不意味着陪审团和法律团队也能理解。

专家的基本规则是:

  • 知识要扎实

  • 永远不要低估律师

  • 在回答问题前要先思考

  • 诚实

  • 结果并不重要

记住,从业人员应保持公正,并且需要证明:

  • 使用的过程背后的科学原理

  • 技术的过程或验证数据

  • 使用的参考数据库及使用原因

  • 他们计算统计数据和可能性比率的能力(为这些过程的必要性辩护,正如在验证模型中所述!)

从业人员还应实践以下内容:

  • 使用简明的语言,避免行话。

  • 保持在自己的专业领域内。

  • 确保他们在相关特定事项上的研究是最新的,特别是当该领域不断变化时。

  • 如果报告中存在错误,或从业人员在试验前改变了想法,需紧急通知律师。

  • 如果从业人员在法庭上改变了想法,那就改变吧:要勇敢。如果真相要求改变立场,就要做好准备。

  • 承认知识的不足或不确定性,并接受其他合理的提议。

  • 如果问题不清楚或提出复杂问题,请要求重复并拆解问题——如果含义仍不明确,拒绝回答。

  • 注意问题中的假设和误引,并确保所依赖的信息容易找到,例如在计算机上共享信息作为视觉辅助工具时。

  • 尽量避免防御性反应。

  • 对诸如“难道不可能吗?”的问题回答:“我没有看到任何证据支持这个说法。”或者“这非常不可能。”

  • 留意模糊或多部分的问题。

  • 为法官提问并准备接受进一步的交叉盘问做好准备。

  • 保留初步笔记并在审判前复查。

  • 标注笔记,带到法庭,并要求在作证时引用它们。

  • 倾听、暂停、思考,仅回答被问到的问题。

  • 说出完整的真相,不要对律师居高临下。

  • 如果答案是“是”或“不是”可能引起误导,请不要仅仅回答这些——寻求法官的帮助。

  • 在审判前向朋友练习。

  • 不要表现得过于聪明。

  • 不要争辩或失去重点。

  • 不要试图猜测。

  • 在各个案件之间保持一致性。

  • 将每个问题视为案件中最重要的一个。

除非从业人员:

  • 居高临下地与律师对话

  • 显示明显的偏见

  • 自负、失去耐性并变得防御性强

  • 准备不足

  • 提供令人困惑、难以阅读、杂乱无章的视觉辅助材料

法院和法律团队希望看到从业人员的资质,其中应包括:

  • 你的职称和工作年限

  • 在该领域工作的年数

  • 进行此类分析的次数

  • 资质,包括学术背景和培训课程

  • 在数字取证过程和工具的能力上具备的技能和认证

  • 职业经验

  • 发表的文章

  • 向专业学会作的讲座和报告

  • 先前的专家证词,包括作证的法院类型

  • 专业组织的会员身份

  • 参加的研讨会/座谈会

面对数字取证从业人员的伦理问题

伦理学关乎对与错的行为,促使我们反思一个人在各种情况中应如何行动,尤其是当面临伦理困境时。通常,每种情况下,每一项行动选择都有令人信服的支持和反对论点。

除其他行为外,伦理行为要求:

  • 诚实

  • 公正

  • 良好的声誉

  • 一致性

  • 良好意愿

  • 勤奋

  • 熟练程度

  • 社区意识

伦理学是哲学的一个分支,研究人类与他人、动物、环境以及宇宙中所有事物之间的相互关系。它询问某个行为是否是:

  • 好或坏

  • 对与错

  • 可接受或不可接受

  • 善良或邪恶

伦理学实际上是很难定义的,不同的解释和环境使得尝试定义一个普遍意义变得复杂。我们每个人都可能从许多来源中衍生出个人的伦理观,包括家庭和文化、宗教或信仰、法律体系以及我们生活的地方。考虑到需要保持最高标准,在进行法医检查时的懒散和庸俗是不可原谅的。

从业人员将会经历一些考验其伦理标准的情况,正如以下案例研究所示。公正性和对法院的服务听起来可能有些陈旧,但当被迫放弃标准时,它却是一个坚固的防线。专家的首要责任是对法院,而非对委托方。

案例研究——假定未经授权使用知识产权

这个最近的案例研究展示了在检查过程中可能出现的一些问题,并提供了一些避免常见陷阱的建议。

案例背景

这是一起涉及员工的工业间谍案件,员工涉嫌窃取雇主的知识产权。当监控录像显示员工在下班后两个小时仍在工作站上时,产生了怀疑——这种行为对员工来说非常不寻常。对监控录像的审查显示,画面中部分可见员工的笔记本电脑,并且可以看到桌面上文件的打开。

对公司的服务器进行检查确认了在与 CCTV 监控录像同时,下载了一些文件,包括图像、电子表格以及一些文本文件。服务器日志还显示了服务器与笔记本电脑上的电子邮件账户之间的同步。雇主得知员工将加入竞争公司及其他有关其不忠的传闻后,员工的服务在 3 个月后被终止。

在员工离职之前,公司悄悄地在笔记本电脑(公司的财产)上安装了一个应用程序,用于监控感兴趣的浏览活动。此举的合法性存在疑问。员工离职后,IT 管理人员对笔记本进行了检查,寻找可能证明员工有罪的信息。他们安装了各种应用程序试图恢复已删除的文件,但未能成功。此时,寻求了法医专家的服务,希望通过寻找证据来决定是否有足够的理由向警方提出投诉。

法医恢复

随后对笔记本进行了检查,但无论是通过启动还是移除硬盘,均无法获得硬盘的物理镜像,这个过程显得繁琐且有一定风险可能损坏设备。理想情况下,物理镜像能够恢复已删除的数据,但此次情况下,并不能保证安装在固态硬盘上的设备特有的操作系统能提供更多的证据。

不是所有设备都能够通过启动过程进行恢复,设备移除(如果可能)应作为最后手段。建议在一个特别配置的外部硬盘上安装 ISeekDiscovery,以便捕获设备的逻辑镜像,但由于插入硬盘可能覆盖附加硬盘日志,因此对此表示担忧。

公司法务团队被告知,证据可能会有些许污染,但由于设备已经被其他人员访问过,损害已经发生,法医过程不太可能进一步污染数据。已获得许可继续提取数据,且已按程序完成。

法医检查

检查恢复了一些数据,并作出了以下观察:

  • 确认在服务器下载发生的下班后期间,笔记本电脑处于开启状态。时间与其他证据相符,这些证据与员工在办公室工作场所的身体存在有关。

  • 找到了一些图片文件的位置,这些文件与从服务器下载的信息有些相似。从笔记本电脑中恢复的一些图片文件名与服务器日志中记录的文件名似乎完全相同。

  • 笔记本电脑上还找到了其他一些看似属于组织的知识产权的图片文件。

  • 服务器日志中记录的多个相似文件名在笔记本电脑上找到了,但时间戳不匹配。

  • 服务器日志中记录的多个文件名在笔记本电脑上未找到。

  • 笔记本电脑上找到了多个电子邮件和日历文件,且这些文件似乎与组织的业务相关。

  • 设备上有一些克隆软件的证据,表明有组织财产被复制。

将嫌疑人与设备以及设备与服务器的联系

IT 管理员无法确认服务器日志中记录的文件是否通过员工的笔记本电脑进行了打开和访问,依据是服务器日志中显示的 IP 地址。根据 IT 管理员的说法,这是在员工登录服务器时,分配给多个员工的 IP 地址。然而,尽管进行了大量搜索,笔记本电脑上没有找到该 IP 地址的任何痕迹,这很可能是在员工离职后,设备退役过程中被删除的。IT 管理员还确认,除了 IT 管理团队外,没有其他员工有权限远程访问服务器。并且确认了 IT 管理团队未曾访问过服务器。

还建议保留访问日志的备份副本作为潜在证据。办公室的监控视频显示了员工在工作场所的身影,而不是显示建筑物的监控视频,视频中显示其他员工已提前离开。笔记本电脑没有显著的标识特征来确认它就是监控视频中显示的那一台,尽管可以看到疑似员工正在使用其键盘。笔记本电脑上没有任何记录表明与服务器有连接,除了通过电子邮件同步和公司拥有的数据之外,这些数据后来通过搜索词被识别出来。

对该日期恢复的其他数据表明,员工的电子邮件账户曾用于发送和接收工作消息。这建立了员工、笔记本电脑与服务器之间的合理联系,且难以反驳。然而,确认文件被下载到笔记本电脑并在未经授权的情况下使用并不那么简单。

分析下载的文件

在笔记本电脑上仅恢复了部分已下载的文件,并且时间戳与下载时间不匹配,有些时间戳早于,另一些则晚于服务器记录。同样,日志中显示的任何同步服务器电子邮件也未在笔记本电脑上找到。

连接的存储设备

在 IT 管理员人员安装数据恢复设备到笔记本电脑之前,未检测到任何关于外部设备连接的信息,如 U 盘或外部存储设备。这些信息有助于确定是否使用外部设备复制了公司的数据。

这种连接日志缺失可能归因于以下因素:

  • 操作系统未保持完整的附加设备列表,类似于 Windows 系统。

  • IT 管理员团队在法医检查之前附加外部设备,尝试恢复已删除的文件并检查笔记本电脑。这会导致覆盖并删除任何早期的日志事件。

  • 在涉嫌违规事件发生和员工离职之间的三个月期间,系统可能还记录了连接的设备,但这些事件可能已覆盖任何相关的早期连接记录,并很快发生了变化。

  • 日志可能已经被手动删除,但这需要一定的存在知识和技术技能。

  • USB 端口位于键盘的左侧和右侧,靠近屏幕。显然,根据监控录像,没有报告发现任何连接的设备。

笔记本电脑未配备 micro-SD 卡槽,因此该数据传输过程不可用。或者,如果图片和其他文档如电子表格和 PDF 文件曾出现在桌面上并随后被删除,如果它们已被删除并从回收站中移除,恢复这些文件的可能性很小——简单来说,证据并不存在。

非法复制数据

在涉嫌违规后,克隆应用程序的安装文件位于笔记本电脑上,且早期浏览记录与该软件网站有关。该应用程序会对笔记本电脑进行克隆,这意味着如果它被使用,将允许用户保存完整的数据记录,以便未来可能使用。通过这种过程保存的数据可以让用户在另一台机器上重新安装数据并使数据可用。目前无法确定该应用程序是否用于克隆设备;然而,存在这种可能性。谁加载并安装了该应用程序尚未确定,且这可能不是员工所为,因为笔记本电脑的数据完整性在法医检查之前,已在某种程度上受到工作人员操作的影响。

结果

有一些证据显示员工最有可能持有公司财产,并利用该财产来私下谋取商业机会。是否这些信息足以证明盗窃或知识产权滥用的案件尚不确定,但实际上,这并不是从业者所关心的问题。为什么在这里呈现这种不起眼但并不罕见的案件,是因为它让公司形象受损,并突显了从业者面临的一些挑战:

  • 客户是以怀疑为驱动,基于八卦和暗示在初始阶段就已决定员工有罪,而从业者则是证据驱动且保持中立。

  • 客户期待这些怀疑得到确认,但当证据部分不明确且不具决定性时,感到失望。

  • 证据在某种程度上证实了这些怀疑,但仅限于此,案件显得薄弱,客户期待法医提供更多的辅助证据——有时确实如此;有时则恰恰相反。

  • 客户要求将有关证据污染的评论从从业者报告中删除。由于伦理和程序原因,这一要求被拒绝,客户被严厉告知,从业者是法院的仆人,而非客户的仆人,并且不是一个可以受客户操控的调查员。从业者的这一拒绝得到了客户律师的支持。

  • 在这个特定法域内,安装网页浏览追踪应用程序是否合法存在一些疑问,这需要法官的授权令。

亲爱的读者,请思考一下,如果从业者未能作出全面且诚实的说明,法律团队本可能会继续推进,准备起诉或诉讼,并且有合理的机会通过威胁迫使员工承认某些责任和罪行。

如果从业者妥协并删除了污染信息,外界会怀疑客户可能通过一个看似合理的案件进行拖延,试图让员工承认怀疑中的违规行为。但一旦从业者迎合客户的意愿,便会陷入堕落的滑坡。通常,反方法律团队会发现并未做出全面和公开的证据披露。这可能导致案件被法院驳回,并且从业者的声誉受到损害,甚至可能是永久性的。

总结

本章描述了不可靠的数字证据问题、在进行法医检查时需要保持公正性,以及一些常见的陷阱,这些陷阱通过草率和偏见的检查降低了数字法医的价值。

结构化和平衡分析的迫切需求被概述,同时还强调了验证证据的必要性,以确定其在法律程序中提交时的相关性和真实性。该过程强调了测试和检查证据的重要性,以确保其与声明一致。这包括对所收集证据的更结构化分析的讨论,包括根据法医标准发展和测试假设以及反驳论点。

提出了一个验证的原型模型,旨在帮助实践者处理复杂证据,其中通过一个示例场景展示了测试和检查数字证据的过程。证据报告的呈现和法院出庭也得到了简要讨论。

在案例研究中概述了伦理问题,并强调了选择和分析证据的重要性,同时强调了在选择证据时保持公正性,以确保法院的期望得到满足。

第十章,赋能实践者与其他利益相关者,将总结书中涵盖的主题,讨论影响实践者和利益相关者的趋势,并强调以更务实的方式管理可能在法律听证中依赖的数字信息的必要性。它将描述通过更好的流程赋能数字取证实践者和其他利益相关者的方法。我将重点介绍数字取证实践中的趋势,以及采用更好策略来管理日益庞大和复杂数据集的需求。同时,还将介绍增加利益相关者意识和提高他们管理所托管的数字信息能力的流程、工具和法医应急策略。

第十章:赋能从业人员及其他利益相关者

本章将回顾本书的关键内容,并强调当前挑战从业人员的议题。我们将涵盖以下主题:

  • 数字证据的演变与从业人员角色的关系

  • 针对新硬件和软件所带来的挑战的解决方案

  • 更有效的证据恢复与保存

  • 增强的证据选择与分析工具

  • 通信媒体和云计算带来的挑战

  • 有效证据处理与验证的需求

  • 应急计划

本章还将讨论提高利益相关者意识并在其信任下管理数字信息的能力的过程、工具和取证应急策略。

数字证据的演变与从业人员角色的关系

这是一项真正令人兴奋且充满回报的职业——结合了调查员的技能、律师的智慧和计算机分析师的知识。能够就检查结果向法律顾问或调查团队提供建议,将从业人员置于一个独特且特权的位置。

无论结果如何,从业人员的建议都不容忽视。检查结果往往显示很少有有价值的信息;在许多情况下,根本没有任何可恢复的内容。然而,客户和律师常常会说,这次调查是有意义的,因为它可以被排除,并且证据搜索可以集中在其他地方。根据雇佣从业人员的一方,有时能够找到有助于定罪或无罪释放的证据,这同样令人高兴。

从业人员并非在真空中工作。他们遵循标准流程,并通过案件经验和法院判决制定自己的流程。问题在于这些标准是否足够充分,是否容易理解并在实践中应用。实践者不断更新自己对新兴应用和设备的知识。积累专业知识对他们来说是一段探索之旅。

第三章,数字证据的性质及特殊属性,介绍了使用像 ILookIX 这样复杂工具从设备中恢复数据的过程,并描述了数字证据的性质:它可能在哪里找到、如何恢复以及如何在调查中使用。那一章浓缩了大量信息,足以填满一本书。可以说,理解数字证据的特性是进入这一领域的前提。此外,数字证据并非静态:新的文件类型、应用程序、操作系统、存储库、通信网络和处理过程以惊人的频率涌现。

从业者必须跟上这些趋势,但很少有相关的出版物或共享信息,导致每个人都需要自行探索新的格式和流程,并确定恢复和处理证据的最佳方法。发现的交流缓慢而繁琐,通常仅限于出版物和评审,且在同行评审后,通常需要很长时间才能发布,或者被做成快速的博客文章但没有经过适当的审查,或者由于保密和隐私问题被“保留在公司内部”。本书并未对数字证据提供百科全书式的覆盖,但涵盖了该学科的一个相当广泛的领域。

从业者需要能够解释数字证据的属性及其在加重案件证据中的作用,但必须确保其符合可采性规则。解释证据的可靠性和真实性,并能够提供一些佐证,帮助法院评估其价值,不仅仅是选择和展示证据,因为从业者的职责是解读并解释证据和元数据的完整含义,并向外行解释其可能的意义。

随着学科的发展并希望逐步成熟,从业者将是这场变革的领军者,但如果他们不进行研究和分享任何知识,那么这对他们来说将是一项艰巨的任务。并非所有从业者都有时间,即使他们有分享发现和经验的意愿,而且如前所述,也有保密要求。第九章,验证证据,介绍了一个证据验证过程,对于新手从业者作为培训工具,以及对于经验更丰富的从业者作为导航工具,采用这样的流程可能会有价值。随着新问题的出现,该过程可以进行更新,并用于其可采性检查设计之外的其他用途。

新硬件和软件所带来的挑战的解决方案

第二章,硬件和软件环境,描述了不同的操作系统和文件系统,并介绍了定位潜在价值证据的过程。文件系统变得极为复杂,可能有些不必要地复杂,但正因如此,它们保留了过去可能被删除的违纪行为的信息。挑战在于知道该从哪里寻找——前提是从业者知道如何导航新操作系统和应用程序。

传统的成像-索引-搜索过程或成像并手动搜索的方式,已经变得不可持续;其庞大的数据量和复杂性不仅耗时,而且并非总能保证定位到证据,很多情况下只能靠运气。虽然“深度清洗”分析总会有其必要性,但更有效的方式已经出现。我的研究和实地工作表明,尽管很难放弃这些熟悉的过程,但确实存在一种更好的方式来恢复潜在的证据。

ISeekDiscovery 自动化工具目前正在修改中,以便除电子发现外,还能用于刑事调查。该自动化工具能够恢复删除的文件和注册表文件,并收集所有特定的文件类型。多个刑事辩护案件已使用 ILookIX 和 ISeekDiscovery 进行了测试,恢复率很高,但 ISeekDiscovery 能够精准捕获所需的数据,并且在数据恢复后的目录整理和处理方面更为高效。

尽管传统工具可以对文件进行目录整理并零消除重复文件以减少数据集,但它们无法与自动化工具在短时间内搜索并返回结果的能力相比,也无法进行基于初步分析的后续搜索。将其应用于电子发现和网络环境中时,自动化工具可以远程启动,结果也可以安全地远程查看并提取到法律过程团队中。这样可以节省时间、旅行成本、昂贵的专业人员费用,以及解决系统中固有的挑战。这使得执业者可以更快速地访问和分析证据,并将更多时间投入到证据分析中。

更有效的证据恢复和保存

看起来可以肯定的是,随着新技术的挑战和从不断增长的大型复杂数据集中恢复证据的能力,这需要一种务实的证据恢复方法,而现有的刑事和电子发现法医工具并没有达到这一要求。依我看,它们已经是过时的流程,实际上并未提供快速证据分析所需的支持。本书介绍了保存数字证据的新技术和流程,使恢复变得更快速、更可靠。

驱动器的成像是大多数刑事调查中从台式机、笔记本和联网计算机收集数字信息的传统方式。手机和其他手持设备需要不同的数据提取过程。对于电子发现来说,由于需要从联网系统中寻找证据,成像变得不切实际,使用复杂的软件对庞大的数据集进行索引和复制已成为常规做法。

现有技术的图像处理并未提供最好的保护措施来保全收集的证据。手机提取往往只捕捉逻辑数据,现在很少能恢复需要更深入分析的物理数据。电子取证对于许多组织来说,已经变得过于昂贵,涉及时间、专家和网络中断,且使用现有的数据恢复工具并不理想。

从平板电脑甚至某些桌面设备中提取数据正变得越来越困难,原因在于系统加密和设备启动时的困难。这些问题正成为常见的障碍,使得从这些设备中恢复数据变得困难,有时甚至是不可能的。我的研究同事们不断寻找克服这些障碍的方法,但遗憾的是,这个学科通常在新设备和系统的推出方面落后了一些。

我所提出的工具,包括 IXImager 和 ISeekDiscovery 套件,能够安全且便捷地保存证据。.ASB取证容器格式是唯一的取证图像类型,它被安全地存储在一个容器内,容器自认证且防篡改。这个过程给执法人员带来的安心感是,记录保管日志有来源:其真实性可以被验证。

同样,ISeekDiscovery .ISK 格式是一个安全的存储库,具有可移动性,不会在系统中留下数据痕迹,与传统的电子取证数据集相比相对较小。这些工具的处理过程不仅安全可靠,而且体积更小,采用压缩格式,在.ISK存储库的情况下,所需的存储空间大大减少。

通信媒介和云计算带来的挑战

显然,手机和其他手持设备是台式机和笔记本电脑的竞争对手,因为它们便携、相对实惠且易于使用。由于外部存储介质的紧凑性以及将更多个人和组织数据存储在远程服务器(如云端)的趋势,存储大小不再是使用这些小型设备的障碍。

这引发了若干场景。那些司法管辖区对存储或传输到这些设备的私密数据没有保护措施的国家,可以随意访问私人数据,主要问题是加密数据恢复的困难。其他司法管辖区更注重公民的隐私权,但仍面临从加密设备中恢复证据的问题。目前,这一学科可能正处于一个转折点,数据存储正转变为远程网络中心,这些中心的访问比过去更加不便,显然也无法进行图像处理!

移动电话本身给取证恢复带来了障碍,增加了执法人员的普遍沮丧感,因为他们无法访问隐藏在设备中的证据。

手机证据恢复

从 Apple iPhone 恢复数据尤其几乎不可能实现。Android 及其他操作系统也正朝着同样的方向发展。新的机型和版本使得除非输入密码或 PIN 码已被解码或由设备所有者提供,否则几乎不可能恢复这些手机的逻辑提取——这通常并不是一个可行的选择。对于 iPhone 和 Android 设备而言,恢复包含已删除数据的完整物理转储的时代已经一去不复返。

我一直在评估一些手机取证恢复工具,但似乎没有哪一款能接近解决这个问题。令人失望的是,供应商对取得这些设备访问权限的进展异常沉默。我的研究同事们正在努力寻找解决方案,以解密其中一些设备并恢复可以通过 ILookIX 和 ISeek 处理的物理转储。例如,ILookIX 已经能够从 iPhone 4 恢复约 60%的额外数据,而其他移动取证工具无法做到。希望这种恢复成功能够扩展到新版本的 iPhone。因此,亲爱的读者,请关注最新进展,特别是在 FBI 与 Apple 关于访问 iPhone 的争端之后。

云计算 - 对用户来说非常方便,但对从业者而言却是一个问题。

通过正常的访问协议,用户可以访问云资源以恢复数字证据,即便这些资源并不属于该用户。然而,识别数据从源存储设备到目标存储设备的路径并不是一件简单的事情,这条路径也可能不固定。此外,数据的所有者通常无法对存储数据的服务器进行物理控制,这使得所需的数据映像变得复杂,且数据可能存储在不同的司法管辖区,可能需要跨区域旅行和额外的资源。这也意味着,数据被非从业人员访问和恢复,而这些人可能对应该恢复哪些数据缺乏足够的理解,并且在保护证据的可采性方面可能不可靠。

一种更可行的替代方案是使用 ISeekDiscovery 自动化工具远程恢复数据,该工具不具侵入性,可以远程启动,安全性高,并能分离数据以确保遵守法院命令和搜查令,与传统的恢复过程相比,后者通常需要将服务器停机长时间,并且可能具有侵入性,甚至可能污染证据和其他数据。

有效证据处理和验证的需求

本书介绍了一系列数字取证工具,并介绍了一些用于恢复、保存和分析潜在证据的低层次流程。第九章《验证证据》提出了一种验证数字证据的候选模型,这可以视为帮助从业者在映射分析过程、导航数字证据数据集和图像时开发模型的基础。证据的测试和检查至关重要,但有时只是在口头上得到了重视。

Adams(2012 年)的研究为刑事和民事环境中的数字数据取证提供了一个正式且及时的通用模型,特别是在不断发展的事件响应领域。由于该学科所有领域缺乏统一的标准模型,这一问题令人困扰,而先进数据获取模型ADAM)为从业者提供了诸多值得推崇的优点。

ADAM 包含以下关于证据获取的严格要求:

  • 从业者的活动不得改变原始数据。

  • 必须保留与原始数据和任何原始数据副本的恢复和处理相关的所有活动记录,包括遵守适当的证据规则、保持链条记录,并进行如哈希验证等过程。

  • 从业者不得从事超出自己能力或知识范围的活动。

  • 从业者在进行工作时必须考虑个人安全的各个方面。

ADAM 模型包括三个数字数据获取阶段:初步规划阶段、现场调查阶段和数字数据获取阶段。该模型旨在为法律听证会中的获取过程提供清晰的展示。关于这一创新模型的更多信息可以在这里找到:

researchrepository.murdoch.edu.au/14422/2/02Whole.pdf

应急规划

战略商业管理识别处于风险中的资产并预测威胁。审慎的组织预测风险,并提前建立应对流程以减轻威胁,或在安全漏洞发生后更好地管理后果。一个组织的 IT 团队通常负责对电子信息进行威胁分析,并实施威胁最小化和管理流程。他们的主要角色是恢复电子资源和网络在安全漏洞后的功能,包括物理和人员安全。

管理人员和 IT 人员在调查安全漏洞、犯罪事件和人员不当行为方面的参与度日益增加,如第九章中所呈现的案例研究《验证证据》中所述,验证证据,然而他们通常缺乏保存和恢复证据的经验和能力。

商业经理和非法医从业者面临困难,他们往往是数字证据的无意保管人,后者在法庭上被依赖。组织通常不了解数字证据的复杂性以及如何在不改变其完整性的情况下定位和恢复它。如果没有为最终需要保存数字证据的事件做好准备,组织就很难在最佳利益下处理证据。

亲眼目睹了组织在处理涉及数字证据恢复的事件时缺乏准备,并且这种情况经常发生,我在此指出,那些拥有法医应急预案的组织在事件发生后恢复得更快,并且更有可能追究违法者的责任。对于大大小小的组织来说,除了安全事件应急预案外,制定某种形式的法医响应预案真的是一种明智的策略。虽然现有的风险评估标准可能有用,但它们通常不包括数字法医响应。

在民事电子数据发现案件中,缺乏应对发现要求的准备可能会导致高昂的成本,并且破坏组织的信息管理常规。有一些软件程序可以预见到发现的可能性,这有助于简化发现搜索过程并在一定程度上降低成本。

这类程序对于小型企业来说并不总是负担得起,或被认为是必要的。在电子邮件搜索的发现过程中,双方都需要付出高昂的费用,在莫妮卡·莱温斯基案件中,搜索相关电子邮件文件的费用超过了 1700 万美元。毫无疑问,如果调查人员能使用 ISeekDiscovery 自动化工具,这个费用将会大大减少!

强烈推荐某种形式的务实法医应急预案,可能包括以下内容:

  • 应急预案和负责研究、维护和测试该预案的团队任命

  • 使用计算机事件响应团队CIRT)提供专业调查和响应,以调查安全事件并恢复和保存数字证据

  • 提高标准和问题意识

  • 维护紧密配置的网络安全以保护信息资产和潜在的数字证据

  • 由数字法医从业者验证系统和数字证据的安全配置

参考文献

Adams, R. 2012. "高级数据采集模型(ADAM):数字法医实践的过程模型。" 默多克大学工程与信息技术学院,博士论文。

摘要

本章总结了书中提出的关键主题,并回顾了影响从业者和利益相关者的趋势。

实用数字取证 通过将数字取证学科介绍得如此清晰,部分解开了其技术上的神秘感,使你能够更清楚地理解该学科的基础知识。案例研究贯穿整本书,并通过分析示例突出关键的恢复和分析流程。

本书强烈支持在法律程序中管理数字信息时采取更务实的方式。它描述了通过更好的流程和取证工具,如何增强数字取证从业人员和其他相关方的能力。

出现的新取证工具,特别是 ILookIX 和 ISseekDiscovery 自动化工具,正在帮助从业人员更高效地进行取证检查,这些工具使得从业人员的工作更易管理、产出更具成效。

这是一次"原汁原味"的学科介绍,因为如果不提及从业者面临的一些重大挑战,那将是不公平的。这不是一项职业,它是一种使命,尽管存在挑战,但它也能带来丰厚的回报。我希望你们中的一些人能从本书中获得启发,并鼓励你们将数字取证视为自己的真正使命。对于有经验的从业者,我希望这些页面中的内容能够引起共鸣,并为你们提供新的工具和流程的视角。

我和我的同事们对一些从业者缺乏专业性表示失望。无论这是否归因于傲慢、无知、自满,或其他原因,他们显然没有作为法庭的服务者行事。正如在第九章《验证证据》中所暗示的那样,验证证据,谁出钱谁不应主导—从业者需要对比客户和雇主更高的权威负责。本书的目标是通过呈现增强从业者专业性的流程和工具,为数字取证领域的文献做出积极贡献。

然而,一个令人遗憾的事实是,数字取证学科的成熟度较低,其中包括对标准和问责制的自满——这一问题在政府和私人组织中尤为普遍。如果本书未提及这些缺陷,那么它无疑会过分美化该学科的现状,尽管大多数从业者的工作非常积极,且新兴的流程和工具也带来了许多好处。

为了强调这一点,最近有一个案件,我的一位同事在为辩方法律团队工作时,被指派验证一政府机构秘密录音的音频文件。这位同事是一位经验丰富的取证从业者,曾在多个政府取证团队接受过培训并工作过,他发现这些音频文件并非原始数据,而是由数据归档软件生成的副本。拥有原始数据对于检查音频是否在恢复后有任何可能的篡改至关重要。

在政府代理人拖延了数月之后,并且一再坚持提供的数据是原始数据时,他们最终承认这并不是原始数据,尽管之前曾保证与原始数据相关的哈希日志是有效的,实际上并非如此。此外,代理人无法提供任何关于哈希日志真实性的来源证明,这与第四章中描述的恢复与保存数字证据.ASB取证容器文件所提供的取证图像容器保护不同。显然,代理人对复制的数据进行了哈希处理,而非原始数据,这让数据的完整性产生了疑问。看起来这些代理人要么不知道,要么不关心,或者因为某些不明原因撒谎关于数据保存和恢复过程。

一个验证测试,例如第九章中描述的验证证据,用于测试成像或保存过程的完整性,显然没有被应用。令这位从业者真正感到震惊的是,其中一位代理人的一句话,他显然对证据被如此挑战感到恼火,表示:“我们不是被雇佣来做取证分析师的——我们只是收集情报。”

本书突出了数字取证实践中的趋势,并呼吁更好的策略来管理日益庞大且复杂的数据集——考虑到上述代理人的爆发,这显然是必要的!

从事这一职业的人员以及考虑加入该领域的人不应过于沮丧于这些反复出现的不良实践示例,因为这是一项非常有回报的学科,尤其是在获得因出色工作而受到认可时。找到并分析那些来之不易的信息所带来的成就感,增加了从业者的经验,这也为他们打下了坚实的基础。这项学科需要新的血液,要求提问并质疑一切,而不是满足于现有的“足够好就行”这种观点。最重要的是,必须始终记住,像其他职业一样,从业者的学习永远没有完成的时候。

avatar
文章
阅读
粉丝