今天的数位监识(Forensic),
也是一个我不熟悉的领域。
说起来真的比较比较有接触到,
大概就是打picoCTF时有Forensic这个类型的解题,
CTF当然是一个学习资安的好方式,可以增进知识与技术,
不过我相信CTF的类型所需具备的知识能力,
与实务上我们工作所经常接触的必然会有所差异。
不过我也没做过数位监识相关类型的职务,
所以好像也没办法多说甚麽XD
不过我其实是有心想接触这个领域的,
如同前几篇有提到,今年有顺利地出了一本Burp网站渗透测试的书,
因为出书几乎是花了整整两个多月的下班假日时间。
如果没有出书的话,我本来是预计今年要去报名CHFI认证的。
「EC-Council CHFI资安监识调查专家认证课程」
我是并没有打算从事数位监识的工作,或是深入钻研该领域,
但是希望能够具备这个领域的基础知识与技能。
照惯例,每篇文章都会附上第一篇的文章,让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252
数位监识是透过标准、严谨及正确的程序,将数位证据适当的进行保存、还原、撷取、分析等。以利於进行事件调查,并提供数位证据协助法庭判决。
EnCase, FTK, TCT。可以用来做资料复制、档案复原、检视登录档等等...
非永久性的数据,可能会随着没电、断电、运算或是互动,而消失或是被窜改的数据都算是。例如储存在RAM里面的资料可能被计算给覆盖或是断电而消失。
证据同一性,指在法院所呈现的证据即原始得用以证明待证事实的证据,亦即呈现於法院的证据必须未经窜改或删除。换言之,必须是纯净且无污染,确实用以证明待证事实的原始证据,才符合诉讼法对於证据同一性的要求。
来源4这篇
https://www.fisc.com.tw/Upload/d8bcb29c-5c2c-4641-a3cb-9d126a0b75da/TC/7904.pdf
Chain of Custody 监管链
数位资料可以采用HASH验证。(好像应该有其他答案,突然都想不到QQ
SAM是Windows当中用来储存使用者帐户密码的资料库档案。用於让Windows使用者进行身份验证。
Steganography是隐写术,是一种将秘密讯息隐藏在看似正常的讯息中的技巧与技术。简单来说,PTT乡民流行的藏头文也算是一种隐写术。
Recuva, Pandora Recovery, ADRC data recovery, FreeUndelete, Active UNDELETE, Active partition or File recovery...
云端方式要取得实体的储存装置或是设备不容易。证据处理流程的权责区分,例如刚刚提到的Chain of Custody,究竟应该云端厂商该负责多少勒~(可能要看厂商的责任模型或签订的SLA范围吧?)。进入司法程序,可能会面临跨过的司法相关程序?
我自己觉得这是一个值得思考的好题目啦XD
不过答案都是我随便想想的喔,呵呵呵
如果是关机的话,就不要开机,直接扣押(好像是废话,干嘛开机XD);如果是开机情况的话,视情况而定,可以先利用取证工具进行初步取证,已尽量不影响系统资料内容的情况下进行。
数位监识~ 刚刚查资料的时候,
越查越觉得好多特别的内容,不过今天就先到这惹。
若有要补充也都欢迎留言
<<: DAY 18 处理接收到的LINE emoji讯息-补充
大家好,我是长风青云。今天是铁人赛第十七天。不知为何自从我离职後,反而每天进入了忙碌的阶段。(听我今...
前言 该系列是为了让看过Vue官方文件或学过Vue但是却不知道怎麽下手去重构现在有的网站而去规画的系...
Golang 指标 研究到一半突然发现了一个很久很久没看到的词,「指标」! 我印象中 印象中 印象中...
网页服务器 学习了快一个月後总算可以来撰写无线的智慧装置, 相信利用这些技术肯定能提升你的育儿体验,...
在最後一天的内容中,我们会以参数量、乘法数、训练过程中每一个epoch所需的时间与测试过程中每一笔资...