打开通向高效证据的搜集和响应的一扇门

打开通向高效证据的搜集和响应的一扇门第1页，课件共46页，创作于2023年2月介绍第2页，课件共46页，创作于2023年2月简介

MatthewM.Shannon,信息系统安全认证专家,计算机取证调查员MatthewShannon,自2004年1月开始担任Agile风险管理有限公司负责人，是信息安全和计算机取证方面的专家，他有10年企业工作的经历，曾在毕马威会计事务所、埃克森美孚公司、联合技术公司等企业工作过。Matthew也是F-Response软件的主要设计者之一，它是首款真正采用与供应商无关技术实现远程计算机取证、应急响应和电子发现。F-Response在美国和其他国家，包括澳大利亚、巴西、中国、德国和波兰都得到广泛应用，包括政府部门、法律部门和企业。Matthew作为一名演讲嘉宾出席过很多会议，包括第11届DEFCON黑客大会、美国保密会议等，不仅如此，最近他又受邀参加即将在中国北京举行的中国计算机取证峰会和在香港举行的国际高科技犯罪调查协会。Mr.Shannon在1999年以优等生身份毕业于美国佛罗里达大学决策和信息科学专业，此外，在2004年他还因他的专业和市场成就被Tampa海湾商业杂志评为当地30岁以下最成功的30人之一。第3页，课件共46页，创作于2023年2月摘要介绍当前计算机取证和应急响应的简要概述实时计算机取证和应急响应概要实时计算机取证出现趋势F-Response作为实时取证工具问题和讨论第4页，课件共46页，创作于2023年2月当前计算机取证第5页，课件共46页，创作于2023年2月在物理世界和数字世界的证据收集第6页，课件共46页，创作于2023年2月当前计算机取证实际操作步骤典型做法是对一台脱机或关机的计算机的硬盘进行取证操作下述经典的计算机取证步骤现在依然十分重要:获取阶段(保护和搜集)认证阶段(委托第三方)分析和报告第7页，课件共46页，创作于2023年2月当前计算机取证实际操作步骤

应急响应时间轴

第8页，课件共46页，创作于2023年2月时间轴详细内容3:12–

攻击发生7:12–

开始发现并注意.11:12–

开始获取和认证17:12-开始分析在可能获得更多信息之前流失了14个小时。第9页，课件共46页，创作于2023年2月获取正如期望的那样，获取阶段集中在对硬盘设备上的证据搜集上面。典型地，这个阶段包括从主盘生成一个或多个磁盘镜像这一过程。任何工具都可以使用，包括如TASK/DD/Sleuthkit等开源软件和X-Ways,SMART,EncaseMacForensicsLab等商业软件。第10页，课件共46页，创作于2023年2月认证认证过程可以发生在证据获取时或证据获取后。在这个阶段对原始证据的镜像或副本进行认证。典型的，这个过程通过使用MD5或者SHA1哈希匹配来完成。第11页，课件共46页，创作于2023年2月分析第三阶段操作步骤包括对新获取的证据镜像或副本进行研究和调查的过程。有很多软件可用于证据分析，最好多种工具一起使用，能对分析结果相互验证，或能帮助找到更多证据。开源工具(TASK/Sleuthkit/Autopsy)商业工具(X-Ways,SMART,Encase,MacForensicsLab,FTK,等等)第12页，课件共46页，创作于2023年2月需要关注的问题随着磁盘容量不断增大，获取磁盘镜像的时间越来越长，因而获取阶段的下一步骤分析阶段耽搁的时间也就越久。分析过程之后经常得不到一个实质性的结果，造成证据获取和认证过程做了无用功，浪费了时间。第13页，课件共46页，创作于2023年2月实时计算机取证第14页，课件共46页，创作于2023年2月实时计算机取证什么是实时取证？按定义说，实时取证就是对正在运行的计算机进行证据的获取、认证和分析。第15页，课件共46页，创作于2023年2月为什么要实时取证?灵活性:取证是一个不断变化的领域，不同情况下的案件要区别对待，实时取证必能给取证调查多提供一个有用的选择。速度：实时取证就是快速获取答案和快速保存那些易失信息。传统证据搜集：实时取证技术是对物理世界犯罪情况调查人员使用的传统证据搜集技术的回归。第16页，课件共46页，创作于2023年2月实时取证获取不是所有案例需要全部的获取阶段。让我们看几个案例，实时取证在其中是有用且重要的。应急响应基于服务器的RAID阵列普通案例调查逻辑文件获取第17页，课件共46页，创作于2023年2月实时取证应急响应时间轴第18页，课件共46页，创作于2023年2月实时取证时间轴细节3:12–

攻击发生7:12–

开始发现并注意7:12-全盘分析开始在可能获取更多信息前流逝了4个小时第19页，课件共46页，创作于2023年2月应急响应案例使用实时分析工具和技术可以立即分析遭到攻击的服务器，而这些操作和改动对磁盘上潜在的证据的影响微乎其微。不是所有攻击都会立即显现，通常需要预分析。如果没有合适的工具进行操作，则这种预分析的行为可能会改变和破坏潜在的关键证据。第20页，课件共46页，创作于2023年2月基于服务器的RAID阵列使用传统方法很难获得基于服务器的RAID阵列(廉价磁盘冗余阵列)数据。通过获取每一个磁盘的数据，最后获得整个磁盘上的数据，这种方法有时很难访问到RAID阵列上的原始数据。让RAID作为一个逻辑的物理磁盘对其进行实时镜像，通常效果会更好，效率更高。第21页，课件共46页，创作于2023年2月一般案例调查不是所有的调查都能称之为案例一般情况下的调查都只是找找看看形式的查看，不带有怀疑其中某部分内容的倾向。在这些案例中，证据获取阶段在没有必要的情况下耽误了分析工作的时间，并且很可能增加操作失误。第22页，课件共46页，创作于2023年2月逻辑文件获取不是所有的案例都需要对物理磁盘进行全盘镜像。在一定情况下，只获取选定的逻辑文件是完全可行的。这些文件通常包括Email，Office文档或某些具有特殊技术的文件。第23页，课件共46页，创作于2023年2月实时取证认证当从一台运行的电脑上搜集证据时，获得所搜集证据的认证信息也是同等重要的。美国联邦证据法第九章，认证和证明。在大多数证据获取情节中，你最新获取的镜像往往成为最好的证据，不管是在实时状态下获取的还是非实时状态下获取的。第24页，课件共46页，创作于2023年2月实时取证分析通常包含对物理磁盘和物理内存的分析。对某些特定的问题可能会很快给出答案。病毒？RootKit？便于证据获取前的分析，让调查者专注于直接获取有用数据的过程中来。第25页，课件共46页，创作于2023年2月法庭上的实时取证第26页，课件共46页，创作于2023年2月下述关于法律规则的幻灯片下面几张幻灯片集中研究美国联邦证据法，相似的法律存在于很多国家的关于证据认可法律法规部分。我们推荐你们以此信息为基础，去回顾你们本国的法律以及相关程序。第27页，课件共46页，创作于2023年2月法庭中的可受理问题指什么？实时取证给我们工作提供了极大的灵活性，但多大一部分是我们真正需要的？

回答：美国联邦证据法和联邦民事诉讼法没有告诉你怎样做，作为负责人，你的工作就是做出能够事实的合理决定，合理利用人类规则。

第28页，课件共46页，创作于2023年2月保管链“保管链”这个术语在联邦证据法中出现过多少次？

回答：一次也没有。

保管链非常重要，并在联邦证据法第九章专门论述过，但这个术语从没有在联邦证据法中出现过。

第29页，课件共46页，创作于2023年2月联邦证据法第九章：认证和证明

规则901：认证和证明的要求(a)一般规定 作为法庭可受理证据的先决条件，对认证和证明的要求是它要满足支持者所提供的证据和他声称的一致这一要求。第30页，课件共46页，创作于2023年2月计算机证据在联邦证据法中电脑这个词出现过多少次？

回答：一次

第十章规则1001(3);

Original的定义

第31页，课件共46页，创作于2023年2月联邦证据法第十章：关于著作、唱片和图片的内容规则1001.定义;(3)Original.

对一个作品或唱片Original的定义，是指这个著作或唱片本身，同时也包含和著作、唱片具有相同效果的任何副本。对照片Original的定义，不仅包含底片，还包含由此底片洗出来的任何照片。如果数据存于电脑中或类似设备中，任何打印出来的或通过其他渠道生成的人们可清洗读取的数据副本，都视其为Original的。第32页，课件共46页，创作于2023年2月工具和方法我怎么知道某一个计算机取证工具已经被法庭承认可以使用呢？

回答：在美国没有这种认证程序，但Daubert规则决定了通过科学技术搜集到的证据的可受理与否。

第33页，课件共46页，创作于2023年2月Daubert规则

在每项技术被法庭认为可受理之前，有五点要考虑这项技术是否已经在实际条件下经过测试了（而不仅在实验室）是否经过同行审查和公开发表？已知的或潜在的错误几率是多少？是零么？还是可以低到接近于零？是否存在控制技术操作的一个标准？是否被科学共同体内的科学家们普遍接受?第34页，课件共46页，创作于2023年2月实时计算机取证的出现趋势第35页，课件共46页，创作于2023年2月实时计算机取证的出现趋势在调查过程中，物理内存扮演了越来越重要的角色。实时计算机取证工具和传统计算机取证工具重叠功能不多。响应的时机变得愈发重要，几天可以缩成几个小时甚至几分钟。第36页，课件共46页，创作于2023年2月理念F-Response®

提供了灵活解决日益出现的问题的办法，它能使用任何现有的检查工具，通过网络进行实时取证服务。检查工作要求直接、只读地访问物理存储设备,F-Response®

可以利用网络实现这种形式的访问。F-Response®

是安全的，访问需要双方强制认证，只读形式的访问避免检查人员进行检查分析操作时改动任何数据。这种能力大大增加了电子取证调查和电子结果发现的效率。第37页，课件共46页，创作于2023年2月如何工作F-Response®使用iSCSI

标准协议创建一个安全只读的连接，连接被检查的机器和检查人员的机器。F-Response®将存储设备映射到检查人员的机器上，使它看起来像在检查人员自己的机器上检查一样。连接是只读的，因此任何情况下的数据更改都是不可能发生的。通过F-Response®连接，实时取证获取或预分析就可以实施啦。第38页，课件共46页，创作于2023年2月F-Response®Key外观F-Response®FOB……无需驱动安装的HID（美国一个读卡器和卡片品牌名）设备第39页，课件共46页，创作于2023年2月F-Response®

实际运用下图描述了F-Response®的应用.F-Response®程序安装在网络中的计算机上，本地取证分析人员持有F-Response®USB许可密钥FOB和合适的第三方分析工具。F-Response®可以帮助实时分析通过网络连接的计算机。第40页，课件共46页，创作于2023年2月使用简便使用F-Response®

进行取证分析的操作如下：取证人员需要一个连接网络的运行的计算机以进行调查。F-Response®

采用iSCSI协议写的程序运行在将被检查的机器上。F-Response®

代码很小，可以在检查之前装入机器，也可以在检查时装入电脑。安装后不许重启动即可使用。F-Response®

在被检查的机器下建立起了安全的，多方认证的，只读的网络连接。利用F-Response®检查人员通过网络开始执行分析的过程。接受检查的机器的用户仍然可以进行自己的操作，在检查的过程中对原机器提供的服务没有任何中断。第41页，课件共46页，创作于2023年2月F-Response®

实例案例研究：

最近一个客户遭受了一次功过网络进行的攻击，F-Response®允许我们同时检查若干个电脑，这样可以识别问题和修复问题。先镜像后分析需要花费好几天，我们却在几个小时内完成任务。经验：

大多是案例中，镜像每一个需要检查的电脑通常是不合理也是不符合实际的。F-Response®允许调查人员迅速响应，同时在数小时内出具报告（相对于几天）且费用较低。，通过网络可以对机器进行实时查看而不影响用户的使用。第42页，课件共46页，创作于2023年2月为吸引公司、顾问、管理服务提供商、电子发现公司、先遣队等不同行业和人群的使用，F-Response®提供三种不同的许可证可供选择。许可证由一个安全的USB密钥（名叫FOB）来实现。F-Response®FieldKit是基于图形界面的解决方案，它允许调查人员一次只能检查一台机器。在这个情况下，无需驱动的F-Response®USB许可密钥或者说“FOB”就插在被检查的机器上。F-Response®Consultant