打開通向高效證據的搜集和響應的一扇門第1頁，課件共46頁，創作于2023年2月介紹第2頁，課件共46頁，創作于2023年2月簡介

MatthewM.Shannon,信息系統安全認證專家,計算機取證調查員MatthewShannon,自2004年1月開始擔任Agile風險管理有限公司負責人，是信息安全和計算機取證方面的專家，他有10年企業工作的經歷，曾在畢馬威會計事務所、埃克森美孚公司、聯合技術公司等企業工作過。Matthew也是F-Response軟件的主要設計者之一，它是首款真正采用與供應商無關技術實現遠程計算機取證、應急響應和電子發現。F-Response在美國和其他國家，包括澳大利亞、巴西、中國、德國和波蘭都得到廣泛應用，包括政府部門、法律部門和企業。Matthew作為一名演講嘉賓出席過很多會議，包括第11屆DEFCON黑客大會、美國保密會議等，不僅如此，最近他又受邀參加即將在中國北京舉行的中國計算機取證峰會和在香港舉行的國際高科技犯罪調查協會。Mr.Shannon在1999年以優等生身份畢業于美國佛羅里達大學決策和信息科學專業，此外，在2004年他還因他的專業和市場成就被Tampa海灣商業雜志評為當地30歲以下最成功的30人之一。第3頁，課件共46頁，創作于2023年2月摘要介紹當前計算機取證和應急響應的簡要概述實時計算機取證和應急響應概要實時計算機取證出現趨勢F-Response作為實時取證工具問題和討論第4頁，課件共46頁，創作于2023年2月當前計算機取證第5頁，課件共46頁，創作于2023年2月在物理世界和數字世界的證據收集第6頁，課件共46頁，創作于2023年2月當前計算機取證實際操作步驟典型做法是對一臺脫機或關機的計算機的硬盤進行取證操作下述經典的計算機取證步驟現在依然十分重要:獲取階段(保護和搜集)認證階段(委托第三方)分析和報告第7頁，課件共46頁，創作于2023年2月當前計算機取證實際操作步驟

應急響應時間軸

第8頁，課件共46頁，創作于2023年2月時間軸詳細內容3:12–

攻擊發生7:12–

開始發現并注意.11:12–

開始獲取和認證17:12-開始分析在可能獲得更多信息之前流失了14個小時。第9頁，課件共46頁，創作于2023年2月獲取正如期望的那樣，獲取階段集中在對硬盤設備上的證據搜集上面。典型地，這個階段包括從主盤生成一個或多個磁盤鏡像這一過程。任何工具都可以使用，包括如TASK/DD/Sleuthkit等開源軟件和X-Ways,SMART,EncaseMacForensicsLab等商業軟件。第10頁，課件共46頁，創作于2023年2月認證認證過程可以發生在證據獲取時或證據獲取后。在這個階段對原始證據的鏡像或副本進行認證。典型的，這個過程通過使用MD5或者SHA1哈希匹配來完成。第11頁，課件共46頁，創作于2023年2月分析第三階段操作步驟包括對新獲取的證據鏡像或副本進行研究和調查的過程。有很多軟件可用于證據分析，最好多種工具一起使用，能對分析結果相互驗證，或能幫助找到更多證據。開源工具(TASK/Sleuthkit/Autopsy)商業工具(X-Ways,SMART,Encase,MacForensicsLab,FTK,等等)第12頁，課件共46頁，創作于2023年2月需要關注的問題隨著磁盤容量不斷增大，獲取磁盤鏡像的時間越來越長，因而獲取階段的下一步驟分析階段耽擱的時間也就越久。分析過程之后經常得不到一個實質性的結果，造成證據獲取和認證過程做了無用功，浪費了時間。第13頁，課件共46頁，創作于2023年2月實時計算機取證第14頁，課件共46頁，創作于2023年2月實時計算機取證什么是實時取證？按定義說，實時取證就是對正在運行的計算機進行證據的獲取、認證和分析。第15頁，課件共46頁，創作于2023年2月為什么要實時取證?靈活性:取證是一個不斷變化的領域，不同情況下的案件要區別對待，實時取證必能給取證調查多提供一個有用的選擇。速度：實時取證就是快速獲取答案和快速保存那些易失信息。傳統證據搜集：實時取證技術是對物理世界犯罪情況調查人員使用的傳統證據搜集技術的回歸。第16頁，課件共46頁，創作于2023年2月實時取證獲取不是所有案例需要全部的獲取階段。讓我們看幾個案例，實時取證在其中是有用且重要的。應急響應基于服務器的RAID陣列普通案例調查邏輯文件獲取第17頁，課件共46頁，創作于2023年2月實時取證應急響應時間軸第18頁，課件共46頁，創作于2023年2月實時取證時間軸細節3:12–

攻擊發生7:12–

開始發現并注意7:12-全盤分析開始在可能獲取更多信息前流逝了4個小時第19頁，課件共46頁，創作于2023年2月應急響應案例使用實時分析工具和技術可以立即分析遭到攻擊的服務器，而這些操作和改動對磁盤上潛在的證據的影響微乎其微。不是所有攻擊都會立即顯現，通常需要預分析。如果沒有合適的工具進行操作，則這種預分析的行為可能會改變和破壞潛在的關鍵證據。第20頁，課件共46頁，創作于2023年2月基于服務器的RAID陣列使用傳統方法很難獲得基于服務器的RAID陣列(廉價磁盤冗余陣列)數據。通過獲取每一個磁盤的數據，最后獲得整個磁盤上的數據，這種方法有時很難訪問到RAID陣列上的原始數據。讓RAID作為一個邏輯的物理磁盤對其進行實時鏡像，通常效果會更好，效率更高。第21頁，課件共46頁，創作于2023年2月一般案例調查不是所有的調查都能稱之為案例一般情況下的調查都只是找找看看形式的查看，不帶有懷疑其中某部分內容的傾向。在這些案例中，證據獲取階段在沒有必要的情況下耽誤了分析工作的時間，并且很可能增加操作失誤。第22頁，課件共46頁，創作于2023年2月邏輯文件獲取不是所有的案例都需要對物理磁盤進行全盤鏡像。在一定情況下，只獲取選定的邏輯文件是完全可行的。這些文件通常包括Email，Office文檔或某些具有特殊技術的文件。第23頁，課件共46頁，創作于2023年2月實時取證認證當從一臺運行的電腦上搜集證據時，獲得所搜集證據的認證信息也是同等重要的。美國聯邦證據法第九章，認證和證明。在大多數證據獲取情節中，你最新獲取的鏡像往往成為最好的證據，不管是在實時狀態下獲取的還是非實時狀態下獲取的。第24頁，課件共46頁，創作于2023年2月實時取證分析通常包含對物理磁盤和物理內存的分析。對某些特定的問題可能會很快給出答案。病毒？RootKit？便于證據獲取前的分析，讓調查者專注于直接獲取有用數據的過程中來。第25頁，課件共46頁，創作于2023年2月法庭上的實時取證第26頁，課件共46頁，創作于2023年2月下述關于法律規則的幻燈片下面幾張幻燈片集中研究美國聯邦證據法，相似的法律存在于很多國家的關于證據認可法律法規部分。我們推薦你們以此信息為基礎，去回顧你們本國的法律以及相關程序。第27頁，課件共46頁，創作于2023年2月法庭中的可受理問題指什么？實時取證給我們工作提供了極大的靈活性，但多大一部分是我們真正需要的？

回答：美國聯邦證據法和聯邦民事訴訟法沒有告訴你怎樣做，作為負責人，你的工作就是做出能夠事實的合理決定，合理利用人類規則。

第28頁，課件共46頁，創作于2023年2月保管鏈“保管鏈”這個術語在聯邦證據法中出現過多少次？

回答：一次也沒有。

保管鏈非常重要，并在聯邦證據法第九章專門論述過，但這個術語從沒有在聯邦證據法中出現過。

第29頁，課件共46頁，創作于2023年2月聯邦證據法第九章：認證和證明

規則901：認證和證明的要求(a)一般規定 作為法庭可受理證據的先決條件，對認證和證明的要求是它要滿足支持者所提供的證據和他聲稱的一致這一要求。第30頁，課件共46頁，創作于2023年2月計算機證據在聯邦證據法中電腦這個詞出現過多少次？

回答：一次

第十章規則1001(3);

Original的定義

第31頁，課件共46頁，創作于2023年2月聯邦證據法第十章：關于著作、唱片和圖片的內容規則1001.定義;(3)Original.

對一個作品或唱片Original的定義，是指這個著作或唱片本身，同時也包含和著作、唱片具有相同效果的任何副本。對照片Original的定義，不僅包含底片，還包含由此底片洗出來的任何照片。如果數據存于電腦中或類似設備中，任何打印出來的或通過其他渠道生成的人們可清洗讀取的數據副本，都視其為Original的。第32頁，課件共46頁，創作于2023年2月工具和方法我怎么知道某一個計算機取證工具已經被法庭承認可以使用呢？

回答：在美國沒有這種認證程序，但Daubert規則決定了通過科學技術搜集到的證據的可受理與否。

第33頁，課件共46頁，創作于2023年2月Daubert規則

在每項技術被法庭認為可受理之前，有五點要考慮這項技術是否已經在實際條件下經過測試了（而不僅在實驗室）是否經過同行審查和公開發表？已知的或潛在的錯誤幾率是多少？是零么？還是可以低到接近于零？是否存在控制技術操作的一個標準？是否被科學共同體內的科學家們普遍接受?第34頁，課件共46頁，創作于2023年2月實時計算機取證的出現趨勢第35頁，課件共46頁，創作于2023年2月實時計算機取證的出現趨勢在調查過程中，物理內存扮演了越來越重要的角色。實時計算機取證工具和傳統計算機取證工具重疊功能不多。響應的時機變得愈發重要，幾天可以縮成幾個小時甚至幾分鐘。第36頁，課件共46頁，創作于2023年2月理念F-Response?

提供了靈活解決日益出現的問題的辦法，它能使用任何現有的檢查工具，通過網絡進行實時取證服務。檢查工作要求直接、只讀地訪問物理存儲設備,F-Response?

可以利用網絡實現這種形式的訪問。F-Response?

是安全的，訪問需要雙方強制認證，只讀形式的訪問避免檢查人員進行檢查分析操作時改動任何數據。這種能力大大增加了電子取證調查和電子結果發現的效率。第37頁，課件共46頁，創作于2023年2月如何工作F-Response?使用iSCSI

標準協議創建一個安全只讀的連接，連接被檢查的機器和檢查人員的機器。F-Response?將存儲設備映射到檢查人員的機器上，使它看起來像在檢查人員自己的機器上檢查一樣。連接是只讀的，因此任何情況下的數據更改都是不可能發生的。通過F-Response?連接，實時取證獲取或預分析就可以實施啦。第38頁，課件共46頁，創作于2023年2月F-Response?Key外觀F-Response?FOB……無需驅動安裝的HID（美國一個讀卡器和卡片品牌名）設備第39頁，課件共46頁，創作于2023年2月F-Response?

實際運用下圖描述了F-Response?的應用.F-Response?程序安裝在網絡中的計算機上，本地取證分析人員持有F-Response?USB許可密鑰FOB和合適的第三方分析工具。F-Response?可以幫助實時分析通過網絡連接的計算機。第40頁，課件共46頁，創作于2023年2月使用簡便使用F-Response?

進行取證分析的操作如下：取證人員需要一個連接網絡的運行的計算機以進行調查。F-Response?

采用iSCSI協議寫的程序運行在將被檢查的機器上。F-Response?

代碼很小，可以在檢查之前裝入機器，也可以在檢查時裝入電腦。安裝后不許重啟動即可使用。F-Response?

在被檢查的機器下建立起了安全的，多方認證的，只讀的網絡連接。利用F-Response?檢查人員通過網絡開始執行分析的過程。接受檢查的機器的用戶仍然可以進行自己的操作，在檢查的過程中對原機器提供的服務沒有任何中斷。第41頁，課件共46頁，創作于2023年2月F-Response?

實例案例研究：

最近一個客戶遭受了一次功過網絡進行的攻擊，F-Response?允許我們同時檢查若干個電腦，這樣可以識別問題和修復問題。先鏡像后分析需要花費好幾天，我們卻在幾個小時內完成任務。經驗：

大多是案例中，鏡像每一個需要檢查的電腦通常是不合理也是不符合實際的。F-Response?允許調查人員迅速響應，同時在數小時內出具報告（相對于幾天）且費用較低。，通過網絡可以對機器進行實時查看而不影響用戶的使用。第42頁，課件共46頁，創作于2023年2月為吸引公司、顧問、管理服務提供商、電子發現公司、先遣隊等不同行業和人群的使用，F-Response?提供三種不同的許可證可供選擇。許可證由一個安全的USB密鑰（名叫FOB）來實現。F-Response?FieldKit是基于圖形界面的解決方案，它允許調查人員一次只能檢查一臺機器。在這個情況下，無需驅動的F-Response?USB許可密鑰或者說“FOB”就插在被檢查的機器上。F-Response?Consultant