馬上加入Android 台灣中文網,立即免費下載應用遊戲。
您需要 登錄 才可以下載或查看,沒有帳號?註冊
x
取證分析標準作業程序
最近有人問我ISO 27037是什麼?其實它就是有關電子證據處理的標準,但其實別被它的長篇大論給嚇著了.若你有仔細看一下,它也只提到了”前段”的作業.也就是說,它提到了電子證據的蒐集,保存,擷取,運送,但後面真正至為關鍵的分析程序,它就不提了.為何呢,因為太複雜之故.
很多單位很喜歡掛在嘴邊的就是”遵循標準作業程序SOP”,聽來多麼專業啊~是的,乍聽之下是有這麼一回事.但內行人皆知,所謂SOP的主要精神及用意便是”防呆”,”防止手殘”,等於為了讓即便不是那麼清楚為何如此執行的人,也能照表操課.但有項東西不是SOP能輕易取代的,那就是”經驗” .
若問我標準化在數字取證上的意義及可行性,我認為”取證程序”可以,因為作業一貫化,只要遵循最高原則-“確保證物不致遭受污染”.但是”分析程序”呢?很抱歉,沒有標準化的可能及必要性.
什麼原因呢?因為”經驗”及”判斷”才是決定能否做好分析工作的關鍵因素.這是照表操課做不來的.計算機軟硬件,網絡,虛擬環境,數據庫等等經緯萬端,經驗豐富便有助於做出較佳判斷,反之則容易誤判或忽略重要線索.
舉個簡單的例子讓你了解經驗的差異,若你對MBR的了解,只是在使用取證工具時學到了可以設法去decode得到Partition entry,然後其中一個會有bootable flag – 80….這只是你從取證工具得到的訊息,但其實是一知半解,強記罷了.若一旦有所變化,例如裝有多重引導系統的MBR,就看不懂了.
換言之,若你已是玩家,有使用過第三方軟件處理過多重引導系統,例如裝了Windows,再裝Linux等等.你就會知道MBR格式的硬盤,最多是四個主要分割區或三個主要分割區加上一個延伸分割區,而延伸分割區又可劃分成多個邏輯分割區.而每種文件系統背後都有個唯一標識符,例如Linux Native是83.
總的來說,本身在計算機領域有打滾過幾年,再來涉獵取證,是較佳的學習曲線.反之,若直接從取證切入,則往往易因只是知道用工具,但卻不夠了解分析對象(不論是軟件或硬件)本身的特性,而較易有誤判,或甚至忽略重要線索的情事發生,不可不慎.而了解特性,又懂得善用工具,並有能力判斷工具的分析結果是否有異常,則代表經驗累積已達一定程度.
這就是取證有趣的地方,往往有些取證人員找線索快些,有些則慢上許多,而同樣是找出線索了,但巧妙各有不同,有些是很精準到位,依脈絡講證據,很快就找到答案了.有些只是運氣好,在看了10天半個月的search hits之後,終於給他/她看到了.從這些現象背後,我們多少可以看出差異何在??? ”經驗”仍是佔了大半因素.
《免責聲明》
一. 所有軟體皆由網路蒐集轉載測試,不承擔任何技術及版權等等問題。
二. 所有資訊作為測試用途,請於24小時內刪除,請購買正版,並且尊重智慧財產權。
三. 請於下載完後24小時以內將檔案刪除,請勿作商業上之用途。
四. 軟體若有侵權,請立即告知,本人將立刻做出刪除之動作。 |
鑽石
碎鑽
金豆
收藏
分享
專題
提升卡
變色卡
排首位