数位监识篇

今天的数位监识(Forensic)，
也是一个我不熟悉的领域。

说起来真的比较比较有接触到，
大概就是打picoCTF时有Forensic这个类型的解题，
CTF当然是一个学习资安的好方式，可以增进知识与技术，
不过我相信CTF的类型所需具备的知识能力，
与实务上我们工作所经常接触的必然会有所差异。
不过我也没做过数位监识相关类型的职务，
所以好像也没办法多说甚麽XD

不过我其实是有心想接触这个领域的，
如同前几篇有提到，今年有顺利地出了一本Burp网站渗透测试的书，
因为出书几乎是花了整整两个多月的下班假日时间。
如果没有出书的话，我本来是预计今年要去报名CHFI认证的。
「EC-Council CHFI资安监识调查专家认证课程」

我是并没有打算从事数位监识的工作，或是深入钻研该领域，
但是希望能够具备这个领域的基础知识与技能。

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.描述一下甚麽是数位监识(Forensic)？

数位监识是透过标准、严谨及正确的程序，将数位证据适当的进行保存、还原、撷取、分析等。以利於进行事件调查，并提供数位证据协助法庭判决。

2.有用过甚麽数位监识工具？该工具的用途是甚麽？

EnCase, FTK, TCT。可以用来做资料复制、档案复原、检视登录档等等...

3.甚麽是易挥发证据（Volatile evidence）？

非永久性的数据，可能会随着没电、断电、运算或是互动，而消失或是被窜改的数据都算是。例如储存在RAM里面的资料可能被计算给覆盖或是断电而消失。

4.甚麽是证据同一性？

证据同一性，指在法院所呈现的证据即原始得用以证明待证事实的证据，亦即呈现於法院的证据必须未经窜改或删除。换言之，必须是纯净且无污染，确实用以证明待证事实的原始证据，才符合诉讼法对於证据同一性的要求。

来源4这篇
https://www.fisc.com.tw/Upload/d8bcb29c-5c2c-4641-a3cb-9d126a0b75da/TC/7904.pdf

5.是甚麽样的原则(规则)确保了该证据为法院可以接受的证据，完整记录了所有证据的保存流程，确认未遭受窜改。

Chain of Custody 监管链

6.执行数位监识的时候，会将数位证据复制备份，要如何证明复制的数位证据与原始证据完全相同？

数位资料可以采用HASH验证。（好像应该有其他答案，突然都想不到QQ

7.Windows中的SAM是甚麽？

SAM是Windows当中用来储存使用者帐户密码的资料库档案。用於让Windows使用者进行身份验证。

8.甚麽是Steganography

Steganography是隐写术，是一种将秘密讯息隐藏在看似正常的讯息中的技巧与技术。简单来说，PTT乡民流行的藏头文也算是一种隐写术。

9.有哪些工具可以用来恢复已删除的文件？

Recuva, Pandora Recovery, ADRC data recovery, FreeUndelete, Active UNDELETE, Active partition or File recovery...

10.传统与云端上的数位监识有甚麽差异？云端可能会遇到甚麽样的困难？

云端方式要取得实体的储存装置或是设备不容易。证据处理流程的权责区分，例如刚刚提到的Chain of Custody，究竟应该云端厂商该负责多少勒～（可能要看厂商的责任模型或签订的SLA范围吧?）。进入司法程序，可能会面临跨过的司法相关程序？

我自己觉得这是一个值得思考的好题目啦XD
不过答案都是我随便想想的喔，呵呵呵

11.若今天扣押的证据为整套电脑设备，描述一下在电脑处於开机与关机两种不同状态之下，要如何进行扣押？

如果是关机的话，就不要开机，直接扣押（好像是废话，干嘛开机XD）；如果是开机情况的话，视情况而定，可以先利用取证工具进行初步取证，已尽量不影响系统资料内容的情况下进行。

数位监识~ 刚刚查资料的时候，
越查越觉得好多特别的内容，不过今天就先到这惹。

若有要补充也都欢迎留言