1. 介绍
计算机技术是人们生活的重要组成部分,而且它正在迅速增长,同样发生在计算机犯罪方面,如金融诈骗,非法入侵,身份盗窃和盗窃知识产权。为了对付这些计算机相关的犯罪,计算机取证中起着非常重要的作用。 “计算机取证包括获取和分析数字信息用作证据在民事,刑事或行政案件(尼尔森,B.等人,2008)”。
计算机取证调查通常调查从计算机硬盘或其他存储设备获取的取证数据,并遵循标准的政策和程序,以确定这些设备是否已被泄露和未经授权的访问或篡改。计算机取证调查以团队的形式进行共组,并使用各种方法(例如静态和动态)和工具(例如ProDiscover或Encase)调查计算机安全事件,确保计算机网络系统安全。一个成功的计算机取证调查必须熟悉相关的在自己的国家计算机犯罪的各种法律和法规(1990如计算机滥用法,英国)和各种电脑操作系统(如Windows和Linux)和网络操作系统(例如视窗NT ) 。据尼尔森,B.等人,(2008年),公共调查及私人或企业调查是两个不同的类别,属于计算机取证调查。公众调查会由政府机构进行,私人调查会由私人电脑法医小组进行。本报告将集中在私人调查,由于事件发生在位于卢顿新开办的中小企业。
该报告包括一个计算机模型调查,数据收集和它的类型,并购的证据,取证工具,恶意调查,计算机取证的法律问题,最后这份报告还提供了必要的建议,对策和政策,以确保这一中小企业在一个安全的网络环境。
2. 案列学习
一个总部设在伦敦的小公司的一个在线管理系统最近注意到在一些账户和产品记录里存在一些异常记录,简单检查系统日志发现一些IP地址通过防火墙向外发送大量数据。同时一些用户也反映在订单处理时出现一些不正常的消息并且经常跳转到一些看起来不合法的支付页面。
该公司使用了一个通用的电子商务套件(oscommerce),并有一个有六人IT支持人员的小团队,但他们不觉得自己有能进行一次全面的恶意软件/取证调查的专业知识。
由于增加在高科技领域的竞争,该公司是急于确保他们的系统没有被破坏,他们已经采用数字取证调查,以确定任何恶意行为是否已经发生,并确保有他们的系统中没有恶意软件。
你的任务是给IT团队提供建议如何查找和净化受恶意软件感染的计算机并确保在其处所或在网络上没有其他机器已经被感染。该小组还希望你开展数字取证调查,看看你是否能追查问题的原因,并在必要时,准备对肇事者的情况。
公司使用Windows服务器,IT团队每月会打基本的补丁包,但是团队也发现一些电脑似乎没有打补丁。
交付物
在这个任务里需要你提交一个5000字的报告,包含这些内容:
• 恶意软件调查
• 数字取证调查
需要提供合理的理由说明为什么选择特定的方法
需要提供电子取证的过程以及符合的法律的取证要求
报告中需要提供取证过程中所使用工具和技术评估他们的效果以及现存的问题(特别是跨国界的取证导致的相关法律问题)
3. Association of Chief Police Officers (ACPO)
Associationof Chief Police Officers (ACPO)提出了4个原则,从事数字取证的技术人员必须遵循这些原则:
Principle 1: 存储在计算机或存储介质数据不能被修改或变更,因为这些数据可能以后会在法庭上作为证据提出。
Principle 2: 一个人必须足以胜任处理计算机或存储介质上的原始数据,如果有必要,他/她也应该能够给自己的行为的相关性和过程的证据的解释。
Principle 3: 基于电子取证过程的所有审计追踪和其他文档需要被创建和保存。一个独立的第三方能够检查这些过程并能获取相同的结果。
Principle 4: 负责取证的个人必须在法律和ACPO的原则下全面负责取证过程
4. 计算机调查模型
据Kruse II,W.G., and Heiser, J.G.(2010),电子取证是要验证、保存、提取、记录每一个过程,并验证这些证据,分析他们找到根本原因,并通提供建议或解决方案。
“计算机取证是一个新的领域,并有缺少一致性的法规和标准化”(US-CERT,2012)。每个电子取证模型是专注于某一领域,例如执法部门或电子证据发现。目前还没有被普遍接受的任何单一数字取证调查模型。人们普遍认为,数字取证模型框架必须灵活,以便它可以支持任何类型的事件和新技术(Adam,R., 2012)。
Kent, K.,et.al,(2006)根据Venter(2006)的想法开发的一个基本的数字取证调查模型称为四步取证过程(FSFP),数字取证调查可以通过甚至可以通过非技术人员进行。该模型比任何其他模式更加灵活,使组织可以采用基于已发生的事件选择最适合的模型。这些都是我们选择这个模型作为为这次调查的原因。FSFP包含以下四个基本过程,如该图所示:
“Preserve and Document Evidence”箭头表示在取证各个过程中需要保存和记录所有的证书,以便证据可以在法庭中提交。我们将在下面的部分将讨论每个FSFP调查模型和每一个过程。
5. 调查范围
在这例子中取证调查的范围:
- 验证恶意软件行为(5个方面:Why, When, Where, What, Who)
- 验证网络的安全性
- 如果网络被污染,查找受到影响的范围
- 如果需要,验证过程的合法性
- 提供补救措施加固系统
6. 调查的法律挑战
根据Nelson,B., et al., (2008),取证过程中会遇到的法律挑战:
- 确定是否需要执法部门的协助,如果是的话,他们可能会在调查期间为您提供帮助,或者在调查结束后向法律部门提交的调查
报告。
- 获得书面的授权访问许可,除非在另外一个事件响应中已经获得许可。
- 同法律顾问讨论,以确定取证不当可能造成的法律问题
- 确保客户端的证书和隐私问题能被考虑
7. 初步准备
很明显,我们在调查之前需要做一个准备,以便有效的进行调查,准备工作如下:
- 收集正在评估客户端的所有信息,类似事件严重性
- 确定调查对中小企业业务的影响,如网络停机时间,从事件恢复的持续时间,收入损失和机密信息丢失。
- 获得网络拓扑图和网络设备信息。
- 识别外接存储设备,如录音笔,闪存,外置硬盘,CD,DVD,存储卡和远程计算机。
- 验证这次取证使用的取证工具
- 使用“netmon”工具在恶意行为仍在运行的时候捕捉实事的网络流量。
- 记录在取证过程中的所有行为,这些记录有可能在法庭上作为证据提交。
- 镜像目标设备的硬盘并使用MD5计算哈希值。
8. 收集
“收集阶段是这个过程的第一阶段需要识别,标签,记录,并获得从可能相关数据来源的数据,指导方针和处理程序都需要保持数据的完整性。”(CJCSM6510.01B,2012)。在一个计算机取证调查中可以收集两种不同类型的数据:易失性数据和非易失性数据(持久性数据)。易失性数据是存在当系统上,当断电时擦除,如内存(RAM);注册表和缓存。非易失性数据是电源开启或关闭时一直存在系统上,例如:在高清文件。由于存在不稳定的数据,一台计算机取证调查必须知道获取数据的最佳方式。证据可以在本地或远程进行收集。
8.1 易失性数据:
下图显示了如何捕获易失性数据。取证工作站和目标机器必须位于同一个局域网中,在这种情况下“Cryptcat'工具可用于在取证工作站监听在目标机器器的端口。在目标机器上使用打开cmd.exe,然后使用下面的命令:
cryptcat <ip address> 6543-k key
在取证工作站使用下面命令:
cryptcat -l -p 6543 -k key>> <file name>
下图列出了图形界面的工具:
使用各种工具获取取证数据
HBGray’sFastDump – 本地物理内存采集
HBGray’sF-Response – 远程物理内存采集
ipconfig –收集目标系统的细节信息
netusersand qusers – 检验用户登录日志
doskey/history– 收集命令历史
netfile –验证服务和驱动
最后,收集剪贴板中的内容也是非常重要的一个计算机取证调查。在运行的机器上可以获得更多的证据,因此,如果异常仍然存在,那么我们可以从正在运行的进程,网络连接和存储在内存中的数据检索了大量的重要证据。所以必须确保受影响的电脑不是为了收集这些证据关机。
8.2 非易失性数据
获取易失性数据后,我们开始捕获非易失性数据。第一步需要复制整个操作系统,这一步也叫做取证镜像。镜像可以保存没有任何修改和变更的原始的数据作为证据在法庭上提交。取证镜像可以通过取证工具EnCase,ProDiscover 和 FTK制作,取证调查员使用一个磁盘块写工具连接到目标系统,并通过使用这些取证工具将目标驱动器的全部内容复制到另一个存储设备。硬盘克隆是做整个系统的复制,取证镜像与硬盘克隆的不同是取证镜像只能用取证工具访问,硬盘克隆可以加载到任意系统上访问。硬盘克隆只包含原始数据,硬盘的每一个位将被复制,并没有其他额外的内容将被添加。取证镜像包含一些额外的数据,如哈希和时间戳,并压缩了空的磁盘块。取证镜像使用MD5或SHA-2值确保数字证据的完整性。(Nelson,B., et al., 2008)
数据采集可以通过离线和在线的调查完成。取证镜像可以通过离线调查完成。在线网络传输数据可以通过ethereal或者Wireshark收集,防火墙日志、杀毒软件日志和域控制日志可以通过调差非易失性数据获得。同样需要搜集Web服务器日志、windows事件日志、数据库日志、IDS日志和应用日志。一旦我们收集了所有的数字证据,我们需要在取证链(收集、保存、传输、法庭呈现)做好记录。为了保证取证链的完整性,从开始取证到调查结束作为报告提交过程都需要使用文档记录。
在开展进一步的处理之前,我们需要按位镜像磁盘,需要访问整个磁盘的卷和复制原始媒体,包括已经删除的文件。磁盘镜像完后,需要使用哈希值保证获取的数据是真实的、完整的。数据的完整性在整个调查过程中都需要注意,证据文件的哈希值需要保存在多个地方。大多数工具以只读的实现不修改证据文件的目的,外部存储设备、WindowsNT服务器的硬盘在这种情况下必须要取证。
9. 检查
一旦我们收集了所有的可能证据,我们需要考虑使用各种取证工具做检查。需要检查的位置包括文件系统、注册表、网络和数据,如下:
9.1 文件系统检查
NTFS是一种新的文件系统技术,NTFS磁盘可以看做事一个文件。MFT是主要文件表包含所有文件和磁盘的信息,也是NTFS的第一个文件,MFT的记录也称为元数据。文件存储在MFT中有2种方式:常驻的和非常驻的。小于512byte的文件存储在MFT内被认为是常驻的,大于512byte的是存储在MFT之外被认为是非常驻的。在WindowsNT中删除一个文件,文件会被系统重新命名并移到回收站中,操作系统存储着文件路径和文件名2种信息。如果文件被在回收站删除,文件在磁盘中的簇被标记为可以重新写数据。NTFS比FAT更有效率,因为可以更快的回收被删除的空间。NTFS磁盘是一种数据流,意味着可以被附加另外一个文件,数据流可以按如下的方式存储:
C:echo text_mess >file1.txt:file2.txt
文件可以使用如下命令检索
C:more < file1.txt:file2.txt
W2K.Stream和Win2K.Team是使用数据流开发的病毒,作用是改变原始的数据流。作为一个研究者,我们必须意识到Windows文件系统的FAT和NTFS的区别(Nelson,B., et. al., 2008)。
9.2 Windows注册表检查
据 (Carvey, H., 2005) 一个注册表可以被作为是一个日志文件,因为他包含取证调查员认为是关键的东西,如在FILETIME中最后文件修改时间。通过分析系统的注册表,解决组织内部和外部的问题,维护组织的声誉,这真神奇。
从win98开始,注册表就是Windows系统的关键组成,Windows的注册表通常结构是“Hives”:
- HKEY_CLASSES_ROOT: 确保所需的程序被执行。
- HKEY_CURRENT_USER: 包含当前登录到系统的用户的一般信息
- HKEY_LOCAL_MACHINE: 包含系统的硬件和驱动信息
- HKEY_USERS: 包含特定系统的用户所有信息。
- HKEY_CURRENT_CONFIG: 存储系统目前的配置信息
Windows注册表包含易失性和非易失性信息。这意味着取证分析员需要熟悉Windows注册表的键值、数据。
Autostart Location: 自启动注册表项目
HKEY_LOCAL_MACHIN/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFile Execution Option 用于重定向程序功能,可以利用重定向到一个木马文件。
分析人员可以检查自启动位置,以判断问题是出在恶意软件、用户误操作或攻击者导致的原因,可以使用 SysInternals.com 的AutoRuns工具协助分析。
User Activity: 用户行为可以在HKEY_CUREENT_USER中创建的HKEY_USERSID查找。NTUSER.DAT 包含用户注册表的相关配置信息,检查这里可能会获得用户行为的相关线索。
Most Recent Used (MRU) List: MRU包含用户最近的具体行为,并可能由此推断出将来的行为。HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion/Explorer/RunMRU 维护一个详细的用户命令列表,运行的每个命令都会在里面增加一个键值。
取证分析人员可以研究这块注册表值来判断问题是由于用户原因或者是恶意软件原因导致。
UserAssist: UserAssist在HKEY_CURRENT_USER/Software/Mcirosoft/Windows/CurrentVersion/Explorer/UserAssist包含2个键值,看起来像是每个应用、对象保持的加密记录的全局唯一标识符(UserAssist键主要包含你经常打开的EXE文件信息和链接),里面可能会包含恶意软件被用户激发的记录,使用UserAssistview可以解密和查看相关内容。
USB removable Storage: 所有连接过系统的设备都会在注册表里留下一条记录,在HKEY_LOCAL_MACHINE/System/ControlSet00x/Enum/USBSTORz中可以查看,下图是一个USB设备的ID
调查员可以通过分析连接到系统上的USB设备来寻找相关线索。
Wireless SSIDs: 电脑上使用的无线SSID可以通过在HKEY_LOCAL_MACHINE/Software/Microsoft/WZCSVC/Parameters/Interface(Windows8上位置在HKEY_LOCAL_MACHINE/Software/Microsoft/WlanSVC/Interfaces)上看到,他们的子项看起来像是一个全局唯一标识符,上面揭示了系统连接过的每一个无线的SSID,右键点击修改会看到明文的SSID。IP地址和其他网络信息可以在HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/TCPIP/Interfaces/GUID下找到。
Windows的注册表是调查取证的重要信息来源,如果调查员知道在哪里会获得有用数据,可以分析那些页面存在重定向、跟踪用户活动和网络配置等相关的信息。
9.3 网络取证调查
收集和采集在网络中发生的事情叫网络取证,有时候也叫做数据包采集或数据包挖掘。目的受搜集网络数据包流量,如:邮件、网页浏览等信息,并保证这些信息的来源一致,可以执行更深入的调查。
网络取证有两种主要的方式。第一个是与安全相关的,其中一个网络监控系统监控可疑的流量和任何类型的入侵。这是因为攻击者可能删除受感染的主机的所有日志文件,所以在这种情况下,基于网络的证据是发挥在取证分析的主要作用。网络取证的第二个方式涉及到有关执法部门,在那里已被捕获的网络流量可以通过关键字搜索和人类传播的分析。
9.3.1 网络取证的工具和技术
我们可以用一个取证启动DVD/CD-ROM盘,USB闪存驱动器,甚至是软盘进行任何操作。首先,我们需要转储的内存,首选使用足够大USB闪存进行。如果需要收集非易失性数据和实时数据,我们还必须进行风险评估,以评估所有操作是否安全,这些数据可能在一个调查中非常有用。整个过程我们应该使用取证工具包,因为这将有助于满足调查取证的要求。这些工具应该是可信的,可以是商业或开源工具。
应该使用可靠的工具在机器上收集一些非常重要和需要谨慎处理的信息,如:
- Process listings.进程列表
- Service listings.服务列表
- System information.系统信息
- Logged on and registered users.登录和已注册用户
- Network connections.网络连接
- Registry information.注册表信息
- Binary dump of memory.内存转储
(7safe,2013)
有许多不同种类的网络取证工具,每一个不同的功能。有些只是数据包嗅探和其他包括处理识别,指纹识别,定位,测绘,电子邮件通讯,网络服务等。下表列出了一些可用于网络取证及其功能的开源工具。
Tool | Platform | Web Site | Attributes |
---|---|---|---|
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: 过滤和收集;L: 日志分析; R: 重组数据流; C: 关联数据; A: 应用层视图
9.4 数据取证调查
数据库是数据是代表文件或文件集合的形式的信息的集合。从数据库中检索的数据可以通过一组查询来完成。数据库取证可以被定义为计算机调查中的应用与分析技术,收集数据库中的证据并在法庭上展示。数据库包含敏感数据,会有更高的机会的因为一个安全漏洞被入侵者攻击并获取这些个人信息。
在案例研究中提到,从数据库发送出大量的数据,所以现在的取证团队的任务是通过取证工具的帮助执行对数据库的取证调查。数据库取证专注于识别,保存和分析数据。访问数据库的用户需要从数据库服务器得到授权和认证的。一旦授权完成后,只有该用户可以访问的数据或修改数据。现在,如果我们检查数据库的审计日志,我们可以得到谁得到的权限来访问数据的用户的列表。取证团队需要查找的数据库的远程连接的IP地址。
本次调查也可以帮助我们了解是否存在被用户故意删除的任何数据行,并恢复它们,而且也有助于我们来证明或反驳的数据安全漏洞,并它可以帮助我们确定数据库遭到的侵入的范围。Windowsforensic tool v1.0.03使用执行的DMV(分布式管理视图)和DBCC(数据库一致性检查)命令来收集足以如前所述证据或否决入侵。
10. 分析
首先,我们需要分析我们收集和审查证据。我们会研究证据中是否包含任何隐藏的文件或不寻常的文件。然后,我们也会看是否有任何运行的异常进程,或打开异常的接口,或异常的应用程序请求。然后,我们会检查异常帐户。我们还可以找到系统的补丁是否更新。通过这些分析的结果,我们会知道是否有恶意活动。然后,我们将制定进一步的战略取证调查,如全面内存分析,文件系统,事件关联和时间线分析的完整分析。根据这个案例,有网络系统的恶意活动,它也证实了我们的初步分析。为了找到恶意代码,我们要做的恶意软件的可执行文件的分析。恶意软件的可执行文件的分析可以分为静态分析和行为分析。
11. 恶意软件分析
根据Verizon的“2012年数据泄漏调查报告”的报告,99%的漏洞导致在数天或更少的时间数据被泄露,而85%花了几个星期的调查。这是安全部门的严重挑战,因为攻击者在一个受控的环境中获得了大量的时间。更多的“自由时间”会导致更多的数据被盗和更严重的损害。
执行恶意软件取证时需要注意:在WindowsPC上的某些部分保存了恶意软件的安装和使用标识的方式和数据。法律部门需要审计纳入记录的哈希值,签字,打包文件,碰撞日志,系统还原点和页面缓存。现在的文件系统和事件日志调查可以分辨恶意软件在系统上的行为。高级专家可以关注一些关键点,如系统自启动区,判断恶意软件的安装时间,寻找恶意软件的特征关键词用于查找其他受感染的主机。认识到普通的攻击特征,包括邮件攻击、浏览器访问历史和非授权的登录。
Accordingto Syngress “Malware Forensics – Investigating and Analyzing Malicious Code,2003″ there should be done an investigation based on the following:
恶意软件分析需达到如下目的:
- 查找已知的恶意软件
- 回顾已安装的程序
- 检查预读文件
- 检查可执行文件
- 检查自启动
- 检查计划任务
- 检查日志
- 检查用户帐户
- 检查文件系统
- 检查注册表
- 还原点
- 关键词搜索
在执行恶意软件分析之前,需要先建立分析环境,使用虚拟机和ghost可以协助进行分析。
11.1 静态分析
静态软件分析是不需要运行恶意软件就可以分析的一种方法,相比动态分析,静态分析因为恶意软件没有运行而更安,同样也更安全,同样也没有删除或变更文件。最好是使用不同的操作系统进行分析,因为双击的误操作可能导致恶意软件运行。有许多静态分析方法,如:文件指纹、病毒扫描、包检测、数据串、文件系统的FE格式或反汇编。
11.2 动态分析
动态分析是一种运行恶意软件并观察其行为的分析方法,也被叫做行文分析。动态分析不是安全的行为,需要先建立一个安全的分析环境。有许多动态分析工具,不过SysInternals 的rocess Monitor和Wireshark是最常用的分析工具。
在许多恶意软件分析实例里,一个简单的静态和动态分析可以发现恶意软件的所有答案
12. 发现
在调查到现在阶段,我们总结所有的发现:
- 持续的远程访问公司计算机的攻击者身份
- 取证分析证明计算机已经被感染。
- 在一些系统上,升级补丁没有打上。
- 在一些感染的计算机上发现可疑的恶意软件。
- 恶意软件的功能和和目标让我们得出结论,这是“垃圾邮件”发送软件
- 检测到攻击者能够使用恶意软件访问客户端系统,在客户端访问支付网关的使用跳转到另外的地址。
13. 纠正措施
确定攻击者能够通过客户端的系统中的恶意软件在客户使用支付网关时提供恶意的网站链接。这里可以总结2个重要的结论。
- 大多数描述的方法在某种程度上涉及到人的因素,因此,员工需要定期培训,安全培训将提高网络的安全性;
- 黑客通过入侵合法网站然后发布恶意程序的大量案列收哦明即使是一个称职的用户恶意软件仍然可以感染他的电脑。因此,我们需要采取一些安全措施措施:杀毒软件,及时安装系统的更新,以及监控互联网流量。
防止恶意软件的主要对策有:
- 认证和密码保护
- 杀毒软件
- 防火墙(软件或者硬件的)
- DMZ (demilitarized zone)
- IDS (Intrusion Detection System)
- 包过滤
- 路由和交换
- 代理服务
- V** (Virtual Private Networks)
- 登录和审计
- 访问控制时间
- 在公共域中保护系统是不可能的
在我们的实例中,最有用的是下面2个:
- 防火墙
- 登录审计
防火墙检查进入到用户的计算机上的所有网页。每个网页被拦截和分析恶意代码。如果由用户访问的网页包含恶意代码,会阻止访问,同时会它显示了所请求的页面被感染的通知。如果网页不包含恶意代码,用户可以继续访问。
通过日志记录,我们意味着可以收集和储存有关出现在信息系统中的事件的信息。举例来说,谁当试图登录到系统,以及这次尝试在什么时候结束,哪些信息资源被使用,谁改过这些信息等等。
审计是将积累的数据进行分析,将几乎实时的的数据进行比较,执行日志审计要达到以下的目标:
- 审计普通用户和管理员
- 提供重建时间的的选择
- 检测尝试违反信息安全的记录
- 提供信息以验证和分析
13.1 安全策略
国际标准ISO/IEC27000系列中有如何制定和实施组织信息安全策略的相关内容
实用的规则有以下几个部分
- 安全策略
- 组织信息俺钻
- 资产管理
- 人力资源安全
- 物理和环境安全
- 通信和操作安全
- 访问控制
- 信息系统的购买、开发和维护
- 信息安全事件管理
- 商业持续性管理
- 遵从法律和规范
在互联网上的业务需求需要考虑如下几个问题:为满足组织需求需要什么样的软件和硬件与组织措施?什么是风险?应该用什么道德标准,组织开展与互联网的业务需要遵从什么样样的道德标准?谁为此负责?在回答这些问题的基础上组织安全策略的概念。
下来的部分包含在互联网安全的工作假设安全策略的片段。这些片段主要是基于对安全设备的类型进行分析设计。
全策略主要包含两类:技术策略(包含使用的软硬件)和管理策略(员工使用和运行系统)。
CommonSecurity Policy for an Organisation:
一个组织的通用安全策略
任何信息系统必须要有安全策略
安全策略鼻血被高级管理层接受
安全策略应该是简单和容易理解的形式能被所有员工接受
安全策略应该包含
定义信息安全的对象、范围和机制,允许定义被共同使用
领导对信息安全的立场和原则
识别信息安全的通用和特定职责
与安全策略相关的指导和细则
安全策略必须满足以下要求
符合国家和国际法律
包含在安全问题上对个人的培训
包含检测和防御恶意软件的说明
定义违反安全策略的后果
考虑商业持续性需求
必须定义回顾和更新安全策略的负责人
安全策略需要在如下情况下进行修改
变更了组织结构
变更组织技术结构
需要定期对安全策略的符合性进调查
对组织执行安全策略的绩效成本/效果的评估(ISO/IEC 17799:2005)
14. 报告
取证报告强调了证据并和协助收集的更多证据可以在法庭上使用。报告必须列出取证范围,计算机取证调查员必须了解到取证报告的类型,如正式报告、书面报告、口头报告。一个正式的报告包含来自结果的实事,书面报告像是一个声明或誓言,他必须清晰、准确和详细。口头报告的结构化程度较低,是调查尚未覆盖的区域的初步报告。调查计划是一个结构化的文档,可以帮助研律师了解辩护证据可以预料的问题。调查计划还有助于律师了解哪些是在计算机取证调查中使用的术语和功能。通常一个计算机取证报告包含以下功能:
- 报告的目的
- 报告作者
- 事件概要
- 证据
- 分析
- 结论
- 支持文档
许多取证工具可以生成取证调查报告,像是ProDiscover
15. 总结
本文包含怎么进行计算机取证以及介绍了各种不用的取证工具,本文也包含了ACPO的4个原则和ISO17799信息安全策略需要在组织中执行以提升组织的安全网络架构。同样还介绍了为什么我们使用这个取证模型并取证分析了模型的前4步也是取证的最重要的步骤。报告包含分析过程- 获取的证据以及分析的结果,包含建议 – 避免发生同样的问题。
数字取证调查是一项具有挑战性的过程,因为每一次的事件都不同于其他事故。计算机取证调查必须在技术和法律有足够准备时进行。由于它是由一台计算机取证调查提供的证据,可能使一个重要案件证据的组成部分,因此调查报告必须准确,详细。
[via infosecinstitute]