电子取证|像黑科技一样的电子取证技术

电子取证（像黑科技一样的电子取证技术）

本文来自作者肖志华在 GitChat 上精彩分享。

前言取证，司法解释是具有调查取证权的国家机关对于立案处理的案件，为查明案情，收集证据。电子取证，顾名思义可理解为基于计算机的证据收集。
1. 取证相关介绍对于电子取证的介绍，百度是这样回答的：电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。
从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。
1.1 电子证据概念
电子证据在很多年前已经作为一种新兴证据被列入法律，但我实在是没找到这个法律条文……
现在的中华民族共和国刑事诉讼法，中华人民共和国刑法里的第四十八条里，电子证据是在第八条，这八条依此是：
物证
书证
证人证言
被害人陈述
犯罪嫌疑人、被告人供述和辩解
鉴定意见
勘探、检查、辨认、侦查实验等笔录
视听资料、电子数据
证据必须经过查证属实，才能作为定案的根据。那么，怎么去取证，下面我们来讲讲正确的取证姿势。
2. 电子取证行业标准

上图这个表，就是在取证里，怎么去取证操作才能是合法的，必须遵守公安机关电子取证鉴定规则，基于这条规定，你的取证才能合法合理的。
3. 现场取证技术现场取证，涉及到计算机取证硬件、软件、移动智能取证工具，这里我们分开详讲。
3.1 计算机取证硬件
硬盘复制机，他的功能就是对硬盘进行一个打镜像，进行复制然后取证的工具，因为取证过程是不允许对原硬盘进行直接操作，都需要打镜像。如下图：

硬盘只读锁

硬盘只读锁的功能就是，给硬盘加上一块锁，阻止写入通道，有效的保储存介质中的数据在获取和分析过程里不会被修改，从而保证取证工作的司法有效性于数据完整性。简单说就是，确保我拿到手的硬盘数据是原生态，没有被二次修改过的一个设备。
取证一体机，一体机这个比较好理解，基于拷贝克隆、读取、销毁于一体的取证设备。

取证塔，和一体机的一样的，不过是多了一些ID分析接口和集合的大平台。

介质修复设备

这个设备的作用就是个修复设备，可理解为“医疗兵”，硬盘磁道坏了，就用这个设备结合软件进行修复。工作环境必须无尘。
设备就介绍完了，接下来讲讲计算机取证软件，计算机取证软件分为国内外，值得一提的是，硬盘隐藏数据以上设备也是能读取出来的，加不加锁形同虚设。
3.2 计算机取证软件
国外取证分析软件：
ENcase
X-Ways
FTK
国外取证分析软件：
取证大师
盘石介质取证分析系统
以上设备均可取证，比如一木马制作者制作的木马威胁用户很多，在中途过程中他在浏览器IE里搜索过：怎么写入注册表实现开机自启过杀毒。那么以上软件均可在读取到你的搜索记录。
3.3 分布式取证系统
分布式，怎么理解，建立在网路之上的软件系统。

这是一份文档，提供个链接给大家：
http://www.chinacloud.cn/upload/2014-04/14041406572100.pdf?WebShieldDRSessionVerify=Izq4UwNheLLIWpOvgpD6
作用就是，采集单个设备的数据，上传云，在系统里搜索关键词进行比对发现问题，一般用于公安局省厅。
3.4 智能终端取证
人工分析
智能终端也跟的比较快，刚开始是人工分析的，比如拍照或者手抄分析，效率也普遍较低。(人工分析）
逻辑分析
人才有逻辑，计算机逻辑也是人工编的逻辑，一成不变，也不知变通。逻辑分析是用取证软件对照手机电话本、QQ、微信、邮箱等信息的获取，进行人为逻辑分析，也是等于给嫌疑人画像，即使你已经见过他的样子了。