现场勘验你了解多少?这些细节,很容易被忽略

在电子数据取证流程中现场勘验的规范性直接决定了电子数据的司法有效性,所以尤为重要。现场勘验的规范、流程、操作细节等内容非常广泛,在这里无法做详细的解读,今天就和大家一起重温有关计算机、手机、服务器、监控机等介质现场勘验过程中比较容易被忽略的注意事项。

手机现勘

手机现勘在实际案例中遇到的情况比较多,相对来说手机现场勘验较计算机和服务器来说要简单一些。

注意事项:

1、手机开启飞行模式要比关机更好,但尽量保证手机电量充足,如果有手机信号屏蔽设备效果更好;

2、手机开机密码现场需要验证,其他重要密码也要注意现场验证,如:APP的登录密码、手机隐私空间的访问密码、手机云盘空间的访问密码等;

3、手机相机的缓存数据(打开手机相机然后退出,部分手机会有退出相机前的缓存数据),现场勘查时针对此类数据可外置录像、截图等方式固定;

4、如果手机正与其他设备连接,需切断连接,以防数据传输和同步覆盖。

视频监控现勘

对于监控视频需要确认监控视频的如下情况:监控主机的品牌、监控存储介质等。

注意事项:

1、停止录像可以保证恢复的数据成功率更高;

2、北京时间校准保证监控视频时间准确性;

3、监控主机日志固定,可分析到更多监控主机的操作行为,为案件侦破提供更多辅助线索或证据;

4、视频监控现场勘查如果通过监控主机查看没找到涉案视频,不代表真正没有,可能涉案视频处于删除、丢失等状态。

服务器现勘

服务器现场勘验需要弄清楚服务器的以下情况:服务器物理环境;服务器网络环境;服务器操作系统;服务器所有磁盘阵列类型。

注意事项:

1、服务器如使用磁盘阵列需要关机取出存储硬盘单个固定数据的情况下,请提前记录好阵列磁盘顺序、相应配置等信息;

2、服务器如果需要关机要按正常流程关机,否则部分程序在后期仿真分析会出现异常;

3、如果遇到大容量阵列存储且不考虑数据恢复的情况,可使用类PE工具引导服务器对阵列中正常数据进行固定。

计算机现勘

计算机现勘中取证人员会遇到名目繁多的硬件、不同接口的硬盘、不同的计算机操作系统、不同的文件系统......而这些情况都会增加计算机现勘的难度。

注意事项:

1、有加密容器需要在解密情况下优先固定,如:TrueCrypt、VeraCrypt、BitLocker等常见的加密工具下的加密情况(如果能现场验证到正确密码效果最好);

2、有已经运行登录的非市面常见的聊天工具,可以尝试通过软件自带的消息导出功能导出聊天记录,或者通过截图工具进行关键聊天截图;

3、开机状态下的计算机剪切板、操作撤销等,可在相应数据固定后完成使用Ctrl+V、Ctrl+Z等操作验证是否有关键数据;

4、在进行在线数据提取前,一定要注意对系统的时间(时区)进行北京时间校准和记录;

5、常见的易丢失数据包括:内存数据、系统信息、正在运行的程序数据。

FAS7900现场勘验取证系统

FAS7900现场勘验取证系统(简称FAS7900)是效率源针对执法部门的实际需求,精心设计研发的一款能够单兵携带的现场快速取证设备。它可以快速、高效地对Windows、Linux、MacOS系统的电脑主机进行现场免拆机、拆机取证工作。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190923A06QS200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券