移动设备数字取证过程概述(下) - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

移动设备数字取证过程概述(下)

李白 安全工具 2019-12-10 09:16:21
收藏

导语:随着移动设备技术向云服务和更加流畅的用户界面技术靠拢,云端数字取证的重要性将会显现出来。

移动设备数字取证过程概述(上)

证据审查

在证据检查步骤中,通过关键字搜索、文件雕刻、分区表的逻辑提取、物理驱动器上的空闲空间恢复被删除的文件等技术进行物理提取证据(NIJ2004,第15) 此外,还应该提取未分配的空间和受密码保护、加密和压缩的数据(NIJ2004,第15) 关键字搜索可能会找到元数据、页眉 / 页脚、内容、日期 / 时间戳或者特定驱动器上的文件位置(Cross & Shinder2008p. 236) 如果数字取证的调查员在注册表文件中发现证据,证明隐写术应用程序安装在了计算机或移动设备上,或者如果有证据表明数据隐藏技术被使用,那么这将保证需要执行更深入的分析。 调查人员将检查文件类型及其相关应用程序,同时寻找诸如异常文件扩展名、文件大小、互联网浏览器历史记录、缓存文件、电子邮件和电子邮件文件附件等细节。 某些操作系统和 Web 浏览器,如 Tails OS Tor Freenet I2P Web 浏览器是专门为匿名浏览而设计的,而不是用来保存互联网浏览历史或缓存文件。 这些反取证类型的软件使执行调查的任务更加困难,但并非不可能。

任何数字取证调查的最终目的都是在犯罪发生的时间和或地点中把用户放在键盘或移动设备后面。 这被称为时间框架分析(NIJ2004,第18) 这个目标并不总是能够实现或者可能实现,这取决于具体情况,但是对于一个无懈可击的取证案件来说,尽可能接近这个最终状态仍然是最终目标。 调查人员将试图证明非法材料或犯罪证据的所有权和拥有权,证明嫌疑人实际上是在设备上实施上述行为的用户。

记录和报告

记录证据是如何评估、获取和检查的细节,对于案件调查人员以及潜在的辩护律师、地区检察官、法官和陪审团来说都是非常重要的,因为这是刑事审判中的试金石。 在刑事审判中,往往有人的生命危在旦夕,因此,以科学的法医程序为基础进行彻底分析的重要性至关重要。 在整个调查过程中,文件记录将包括手写的证据标签,以显示监管链; 数字取证调查人员在获取和检查证据过程中使用取证软件应用程序,如取证工具包(Forensics ToolkitFTK EnCase)记录的数字笔记; 计算机设备或移动设备的照片,其中包括日期 / 时间戳; 证据是什么,从哪里收集的,由谁收集的等等。 就像科学过程一样,记录证据的目的是为了在必要时,整个过程是可重复的,不同的研究人员可以遵循相同的步骤并得出相同的结论(NIJ2004,第19) 整个数字取证调查的最终结果是一份审查报告,详细说明了数字取证调查的每一个方面,并提供给案件调查员(例如,一名警察侦探或 FBI 特工) 审查员的报告详细说明了进行调查的审查员是谁、收到供审查的证据的日期、报告的日期、审查内容的详细说明和使用的程序以及发现的内容和结论(NIJ2004,第20)

取证工具能力

取证工具是帮助数字取证调查人员履行职责的硬件或软件应用工具。 数据写入屏蔽器、阻断射频信号传输的法拉第袋、流动装置的电源线、 USB 电缆、移除流动装置外壳的专用工具,以及将记忆体与流动装置分离的烙铁等工具,都有助于取证调查人员获取证据,并彻底检查储存在该装置上的数据。

电脑取证分析工具可以按类别分为磁盘和数据采集工具、文件查看器、文件分析工具、注册表分析工具、互联网分析工具、电子邮件分析工具、移动设备分析工具、 MAC OS 分析工具、网络取证工具和数据库取证工具(shankhar2017) 对于几乎每一种类型的操作系统,至少有一个或多个数字取证工具能够进行取证分析。 列出每一个可用的数字取证工具超出了本文的讨论范围,我将重点介绍一些与移动设备取证相关的重要工具。 Paraben P2 eXplorer 是另一个很棒的移动设备取证工具,售价199美元,或者你可以使用一个免费的有限功能版本。 P2 eXplorer 允许调查人员以只读本地和物理光盘的不同格式同时安装多个取证镜像,并查看被删除的数据和未分配的空间(Shankdhar2017) 然而,重要的是要记住,不仅仅是取证工具造成了刑事案件,还有案件和数字取证调查人员遵循取证程序的程度,这些程序将决定证据在审判中是否站得住脚,他们的案件对嫌疑人的指控有多强,以及最终是否罪犯会被陪审团定罪。

商业取证软件工具

X-Ways 是一款商业化的数字取证产品,适用于 Windows 操作系统的所有版本。 X-Ways 提供了大量的取证功能,如注册表分析、散列分析、完整的案例管理、内存和 RAM 分析、元数据提取,以及几种不同的数据恢复技术,包括文件雕刻(Shankdhar2017) Encase 是业内最知名的公司之一,其广受欢迎的取证套件为许多不同的执法机构所使用,是一项全套交易,从头到尾提供完整的案件管理。 还应该指出的是,如果说 Encase 是最广受尊敬的取证工具之一,那么它已经被全国各地的法院所接受。 Encase 工具不是免费的或开源的,单个许可证的起步价用为每个用户995美元,之后多个许可证的起步价还会上涨(Shankdhar, 2017)

开源取证软件工具

一些最好的数字取证工具是开源的,完全免费下载和使用。 所需要的只是如何使用这个工具的知识,可以通过阅读软件应用程序附带的自学手册或从网站论坛学到的知识来学习。 专业人士和业余爱好者使用的一个流行的开源数字取证工具是数字取证框架,它对 Windows Linux 操作系统都很有用(Shankdhar2017) 此外,Open Computer Forensics Architecture (OCFA)是另一个适用于多操作系统的开源取证应用程序(Shankdhar2017) 计算机辅助调查环境或 CAINE,因为它通常被称为另一个非常好的开源数字取证应用程序,是一个 Linux 操作系统发行版(Shankdhar2017) 另一个开源的数字取证工具是 SANS 侦查取证工具包(SANS Investigative Forensics ToolkitSIFT) ,它是在 Ubuntu (Linux)操作系统上构建的。 SIFT 是开源的,功能丰富,并且可以从 SANS 网站(Shankdhar2017)免费下载。 Sleuth 工具包是另一个开源取证工具,它是一个命令行工具的集合,以及基于图形用户界面(GUI)的解剖程序,能够对移动设备进行取证分析(Carrier2017) 还有 Linux Unix 取证工具,如 LTools MTools The Coroner's Toolkit Tctutils (Cross & Shinder2008pp. 256-257)

反取证软件工具

正如有些开发人员编写数字取证软件应用程序一样,也有些开发人员编写反取证软件工具,因为这类软件也有需求。 反取证软件工具是专门设计来阻挠取证工作,以恢复足够的数据,使证据不会在法庭上得到法律认可(Littlefield, 2017)。该理论认为,数字取证严重依赖调查人员使用的软件应用工具进行获取和分析,这可能会损害和负面影响调查结果(Littlefield, 2017) 对于执法部门和数字取证的调查人员来说,这已经几乎是不可能的了,他们通常积压了大量的工作,试图跟上网络犯罪分子使用的不断变化的新技术,考虑到犯罪分子使用的反取证工具可能会影响调查的收集阶段,成功调查的机会大大降低。

犯罪分子经常使用数据混淆和加密等反取证技术。根据开放权利组织的数据,从2012年到2013年,共有19起拒绝公开加密密钥的案件,结果只有3起被起诉(Littlefield2017) 一些罪犯还利用反取证软件,如“ Slacker”(Littlefield2017) ,将少量合法的安全数据隐藏在二级加密分区内的一个加密分区中,隐藏的文件数量较大。 如果一个经验更丰富的调查员不知道检查它或者没有第一个加密容器的钥匙,这种策略显然可以愚弄他们。 当然,隐写术是网络罪犯,尤其是恋童癖者的最爱,他们使用隐写术应用程序来压缩、加密和隐藏他们的非法数据,将其隐藏在诸如其他图像、音频和视频文件等媒体文件中(Littlefield2017) 其他反取证技术包括使用 Live CD和虚拟磁盘,这些磁盘可以从 CD DVD USB 设备上运行,在操作系统上几乎不留痕迹(Littlefield2017) 一些犯罪分子还通过从没有参加法律条约的国家、没有引渡条款的国家、甚至比美国有更严格的数据隐私法的国家犯下网络犯罪来绕过美国或其他国际法,从而使美国联邦执法当局很难追踪和起诉这些犯罪分子。 在某些情况下,由于涉及到更为严重的网络犯罪,美国司法部(DOJ)已经对其他国家的网络犯罪提出起诉,因为这些国家并不与美国合作,比如俄罗斯、中国、朝鲜和伊朗。

总结

总而言之,随着移动设备技术向云服务和更加流畅的用户界面技术靠拢,云端数字取证的重要性将会显现出来。 在这个时代,移动设备的拥有和使用达到了历史最高水平。 在这种情况下,美国海关和边境巡逻局(CBP)有权在没有搜查令的情况下,在边境入境点搜查美国公民的移动设备,而无视宪法第四修正案提供的保护。 在这个时代,美国各地的执法机构可以自由地使用尖端情报收集技术捕捉黄貂鱼国际移动用户识别码(IMSI)和社交媒体开源情报软件应用程序来收集普通公民的每一天,执法当局可以以国家安全的名义传唤网络服务提供商,以获取存储在美国公民网络上的私人数据。

在美国历史上,从来没有哪一次美国人受到政府和警察如此严密的监视,他们本应该保护美国人,但却一次又一次地侵犯他们的隐私权,像一滩水一样被打得落花流水。 至少可以说,这是一个令人不安的趋势,需要国会层面的法律行动来扭转。 底线是,移动设备数字取证会在不久的将来继续呈爆炸式增长,对合格的数字取证专家的需求将极高,这将推高那些希望追求数字取证作为职业的人的潜在薪水。 随着技术的不断发展,数字取证领域的复杂程度将越来越难以掌握。

参考资料

Carrier, B. (2017),开源数字取证。检索自: http://www.sleuthkit.org/

Cross, M., & Shinder, D. L. (2008). 网络犯罪现场. Burlington, MA: Syngress.

Easttom, C., & Taylor, J. (2011). 计算机犯罪,调查和法律。 波士顿,马萨诸塞州:课程技术。

网络犯罪投诉中心 (IC3). (2016).网络犯罪报告。检索自: https://www.ic3.gov/media/annualreport/2016_IC3Report.pdf

Littlefield, R. (2017, August 9).反取证和密码学:罪犯如何破坏网络犯罪调查的洞察力。检索自: https://littlefield.co/anti-forensics-and-cryptography-an-insight-into-how-offenders-disrupt-cyber-crime-investigations-e44637513709

Mitchell, B. (2017, June 9)理解开放系统互连模型,检索自: https://www.lifewire.com/open-systems-interconnection-model-816290

国家司法研究所(20044)。数字证据的法医检验:执法指南,20171125日检索自 https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Pew Research Center:网络与技术(2017112)移动简报。检索自: http://www.pewinternet.org/fact-sheet/mobile/

Ray, A. (2015, January 22).手机的历史和演变。检索自: https://www.artinstitutes.edu/about/blog/the-history-and-evolution-of-cell-phones

Shankdhar, P. (2017, May 26). 22 流行的计算机取证工具 [Updated for 2017]. Retrieved from http://resources.infosecinstitute.com/computer-forensics-tools/

  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论