计算机取证技术跟踪肇事者留下的蛛丝马迹.docVIP

计算机取证技术跟踪肇事者留下的蛛丝马迹 　　有人悄悄告诉老板，某个员工可能会离职，对此，他想尽可能的把客户带走，带到他的新单位那里去。该公司引进了计算机取证专家，检查员工在网上的活动，在员工面前找出证据。 　　计算机取证公司TechFusion的总裁兼首席执行官Alfred Demirjian在他从业的30多年中，对这样的场景见多不怪――员工通过劫持电子邮件帐户滥用公司互联网，阴谋破坏自己以前的公司。商业软件支持公司深入研究员工的社交媒体博文和文本，或者如果他们有公司提供的智能手机，则可以通过GPS跟踪他们。 　　会给客户一定的期限，TechFusion可以通过公司电子邮件来查看员工与客户的交互。 　　Demirjian说：“计算机取证将在暴露人的恶意行为方面发挥更大的作用。随着该技术的不断进步，人们越来越难以隐瞒他们的不法行为，更容易让他们承担责任。” 　　自从Demirjian从业以来，技术已经日趋成熟。他说：“该行业从使用操作系统命令发展到基于软件的命令。与工具所应用的系统相比，现在更重要的是拥有使用工具的经验。” 　　他补充说，软件的兼容性和功能越来越强。他说：“它更快、更便宜。这让取证工程师能够执行更多的任务。” 　　TechFusion参与了一些著名的案例，最近的一??是新英格兰爱国者队的四分卫Tom Brady臭名昭彰的手机。当NFL要求检查他的文本时，Brady说他的电话丢了。后来找到了这些文本。TechFusion还负责审查Odin Lloyd当晚被杀害时在late-Aaron Hernandez家里拍摄到的监控录像。 　　计算机取证是数字取证科学的一个分支，涉及查找计算机和数字存储介质中的证据。计算机取证的目的是以可靠的取证方式检查数字媒体，旨在识别、保存、恢复、分析和呈现关于数字信息的事实和鉴定结果。这涉及数据恢复的类似技术和原理，还有创建合法审计跟踪的附加指导和举措。 　　计算机取证将在暴露人的恶意行为方面发挥更大的作用。随着该技术的不断进步，人们越来越难以隐瞒他们的不法行为，更容易让他们承担责任。 　　Tanium首席安全架构师Ryan Kazanciyan说，取证是重建和分析数字证据的过程，以确定某一设备或者系统以前是被怎样使用的。在最基本的层面上，所谓的数字证据可以采取以端点设备为中心的数据（例如硬盘或者内存中的内容）的形式，以网络为中心的数据（例如，采集通过某一设备或者网站的所有网络流量的完整数据包）的形式，或者以应用程序为中心的数据（例如与程序或者服务的使用相关的日志和其他记录）等形式。 　　取证调查员的工作流程主要是由他们要尝试回答的具体问题来推进的。通常需要使用取证的应用情形的例子包括： 　　一名执法人员逮捕了涉嫌国内恐怖主义的某个人，并希望找到与以前或者计划中的犯罪活动有关的所有通信记录、互联网活动和数据。 　　违规调查已经发现有证据表明外部攻击者访问了存有敏感知识产权的公司服务器。分析师希望确定最初的访问方式，有没有数据被访问或者被盗取了，以及系统是否遭受了任何敌对攻击（例如引入了恶意软件）。 　　它是怎样使用的，它是如何工作的？ 　　Kazanciyan说，传统的计算机取证需要利用专门的软件来勾画出目标系统的硬盘和物理内存，并自动将其解析为人类可以识别的格式。这样，调查人员可以检查和搜索某类文件或者应用程序数据（例如，电子邮件或者网络浏览器历史）、时间点数据（例如，在取证时运行的进程或者开放的网络连接），以及历史活动留下的痕迹（例如，删除的文件或者最近的活动）。 　　他说，被删除的数据和历史活动在多大程度上能够被恢复取决于一些因素，但是随着时间的推移，一般会越来越难以恢复，并且与系统的活动程度有关。 　　Kazanciyan说，这种计算机取证方法仍然适用于集中的小规模调查，但对企业规模的任务来说太耗时，资源太密集，例如在企业环境中监控数千个系统。 　　他说：“因此，在过去十年中，能够在‘实际’系统中快速搜索证据并进行分析的技术开始蓬勃发展，成为所谓的端点检测和响应（EDR）市场的基础。”EDR产品通常提供以下功能的组合： 　　关键端点设备远程监测的连续记录――例如，执行的过程或者网络连接，提供关于系统活动的随时可用的时间表。他说，这类似于飞机上的黑盒子。能够查看远程监测信息后，可以不用通过系统的本地证据源来重建历史事件。如果违规行为已经发生了，再把调查技术部署到环境中，这样做就没有什么用了。 　　分析和搜索系统的本地证据取证源，即在正常系统工作期间由操作系统自己保留的内容。这包括能够快速、有针对性地搜索文件、进程、日志条目、内存中遗留的证据，以及整个系统中的其他证据。这完善了连续事件记录器的应用，可用于扩大调查范围，并找到可能未被保留的其他线