Digital Forensics 数字取证
事件发生后收集、保全、分析数字证据,还原”发生了什么”。 不是修复,是查清。
4 个核心阶段
| 阶段 | 干啥 |
|---|---|
| 1. Identification | 找证据在哪 |
| 2. Preservation | 按 证据保全规程保护现场 |
| 3. Analysis | 分析提取到的数据 |
| 4. Reporting | 写报告,供法律/管理决策 |
关键原则
- 链式监管(Chain of Custody) —— 谁碰过证据、什么时间、做了什么,全记录
- 不污染原数据 —— 永远在副本上分析,原始证据冻结
- 可重复 —— 同一份证据,别的取证员应该能得出同样结论
- 遵守 order of volatility —— 易失的先抓(RAM → 硬盘 → 网络日志)
工具
| 类型 | 工具 |
|---|---|
| 磁盘镜像 | dd, FTK Imager, Guymager |
| 内存取证 | Volatility, Rekall |
| 综合 | Autopsy(开源), EnCase(商业) |
| 网络 | Wireshark, NetworkMiner |
跟 IR 的关系
IR 偏重”控制损失、恢复业务”,forensics 偏重”查清真相、收集证据”。 两者常在一起,但目标不同。