linux 内存取证_【取证流程】电子数据证据远程勘验
原創(chuàng):弘連網(wǎng)絡(luò)
電子數(shù)據(jù)證據(jù)遠(yuǎn)程勘驗(yàn)在日常的取證工作中必不可少,但由于存在信息安全差、數(shù)據(jù)可能被篡改的問(wèn)題。
取證過(guò)程中,有明確的取證要求來(lái)確保取證過(guò)程的規(guī)范顯得至關(guān)重要,今天我們就一起來(lái)回顧下遇到遠(yuǎn)程勘驗(yàn)的取證場(chǎng)景,正確的取證流程是什么呢?
01準(zhǔn)備工具工具準(zhǔn)備作為取證前期準(zhǔn)備的重要部分之一,不可馬虎。主要包含以下幾點(diǎn):
外置錄像設(shè)備;
不小于目標(biāo)容量的存證盤(存儲(chǔ)內(nèi)存鏡像、磁盤鏡像);
建議準(zhǔn)備軟件:屏幕錄像軟件,遠(yuǎn)勘取證工具(如弘連網(wǎng)鏡互聯(lián)網(wǎng)取證、網(wǎng)探Windows,網(wǎng)探Linux等),哈希校驗(yàn)工具;
取證過(guò)程確保網(wǎng)絡(luò)連接穩(wěn)定可靠;
如無(wú)特殊說(shuō)明,所有文件保存在存證盤中。
服務(wù)器一般的取證重心集中在系統(tǒng)日志、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)流量數(shù)據(jù)、應(yīng)用源代碼等。
打開(kāi)外置錄像設(shè)備,確保取證過(guò)程清晰可見(jiàn);
進(jìn)行時(shí)間校驗(yàn),并打開(kāi)屏幕錄像軟件 ;
遠(yuǎn)程主機(jī)外部網(wǎng)絡(luò)信息記錄(如域名、路由、服務(wù)器開(kāi)放情況);
遠(yuǎn)程主機(jī)操作系統(tǒng)信息記錄(系統(tǒng)基本信息、操作日志等);
遠(yuǎn)程主機(jī)網(wǎng)站數(shù)據(jù)及數(shù)據(jù)庫(kù)固定;
遠(yuǎn)程主機(jī)存儲(chǔ)介質(zhì)和文件固定;
取證結(jié)束,檢查相關(guān)文件及數(shù)據(jù)的哈希值,截圖展示在錄像中,保證數(shù)據(jù)完整;
結(jié)束屏幕錄像,檢查錄像文件哈希值;
關(guān)閉外置錄像機(jī);
網(wǎng)站一般的取證重心集中在靜態(tài)網(wǎng)頁(yè)、動(dòng)態(tài)網(wǎng)頁(yè)、富媒體、網(wǎng)站鏡像等。
打開(kāi)外置錄像設(shè)備,確保取證過(guò)程清晰可見(jiàn);
進(jìn)行時(shí)間校驗(yàn),并打開(kāi)屏幕錄像軟件 ;
環(huán)境建立和基本信息獲取(服務(wù)器IP地址、協(xié)議等);
網(wǎng)站獲取參數(shù)和環(huán)境參數(shù)記錄;
網(wǎng)站數(shù)據(jù)獲取:靜態(tài)網(wǎng)頁(yè)、動(dòng)態(tài)網(wǎng)頁(yè)、媒體文件等;
取證結(jié)束,檢查保存的網(wǎng)頁(yè)固定、網(wǎng)站鏡像、數(shù)據(jù)文件的哈希值,截圖展示在錄像中;
結(jié)束屏幕錄像,檢查錄像文件哈希值;
相關(guān)檢驗(yàn)記錄;
遠(yuǎn)程主機(jī)獲取的數(shù)據(jù)、數(shù)據(jù)文件、鏡像文件、對(duì)應(yīng)的哈希值、對(duì)應(yīng)的屏幕錄像文件;
外置錄像機(jī)的全局錄像文件;
取證工作必須嚴(yán)謹(jǐn)和規(guī)范,我們往往需要掌握各種各樣的取證方式,從最簡(jiǎn)單的軟件使用,到進(jìn)一步的原理了解,這對(duì)我們?nèi)∽C從業(yè)者來(lái)說(shuō)帶來(lái)了更多的挑戰(zhàn),希望大家遇到電子數(shù)據(jù)證據(jù)遠(yuǎn)程勘驗(yàn)的取證場(chǎng)景時(shí),能夠有一個(gè)清晰明了的流程思路,希望本文能給大家?guī)?lái)幫助!
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的linux 内存取证_【取证流程】电子数据证据远程勘验的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 109满修多少钱啊?
- 下一篇: 颐和园东宫门游览路线图