数字取证座右铭


  • 不要破坏数据现场很难实现,入侵者可能修改命令内容,一旦运行系统的某个命令ls,就再释放一个木马,或者使用某个命令的时候,木马判断已经被发现,自动销毁服务器中的数据所以要使用U盘操作系统更加安全,但是U盘申请使用计算机内存也会使其数据发生改变
  • 寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取(一旦断电关机或者误操作就发生变化,丢失)
  • 系统内存是主要的易失性存储介质取证对象,不修改无法获取其中的数据
  • 非易失性存储介质通常使用完整镜像拷贝保存(U盘、光盘、硬盘)镜像不同于文件备份(复制拷贝)把硬盘每个磁道的每个扇区的磁极指向标识数据0还是1完整地复制恶意攻击者可能在硬盘上使用过某个软件,使用后删除来掩盖自己的使用行为即使文件已经被删除,但是在扇区里还占有一定的空间,默认的操作系统上的删除,在磁盘里只是在硬盘分区表开头(第一个字符)做一个标记,标记该文件是删除状态,可以用来存储其他数据,但实际上文件所有内容仍旧在硬盘空间中,可以通过数据恢复工具对删掉的数据进行恢复。
  • 选择正常关机还是直接拔掉电源(如果发现服务器被入侵要怎样关机)如果直接拔电就会造成保存在内存中的数据丢失但是恶意程序如果发现关机行为可能把自己清除抹除犯罪证据,或者对硬盘数据进行擦除但是建议直接拔电源,尤其是Linux系统现在使用的是ExT4文件系统(日志型文件系统),可以通过日志对文件内容进行修复
  • 证据搜索如今的文件动辄几百G,难以搜索
    • 原数据保存下来的数据
    • 信息信息分析组成信息链
    • 证据信息提炼,攻击轨迹

文章作者: Pikachu
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Pikachu !
作者: Pikachu
  目录