电子取证|像黑科技一样的电子取证技术( 三 )

文件内容调查，取证时对相关文件进行调查分析，比如一个商业机密的 Word 或者是合同。
使用痕迹的分析，就好比什么用户，什么时候做了什么事。比如我在我电脑上插上U盘，拔下，拷贝录入和删除行为，都属于使用痕迹。
软件功能分析，有可能涉及到对软件进行OD反编译，如果有源代码就对源代码分析，没有就只能分析软件运行后的行为，一步一步调试。
这个一是自己搭建环境，在环境里对功能进行分析。有点类似于分析一个病毒，他运行后是调用了系统的什么进程。
二就是对源代码分析了，也需要对编程有所了解，得看懂源码才行。
3.5 网络取证相关技术

蜜罐取证技术，也就是挖一个坑让你跳，跳了我就知道你的行为。也包括上面所讲的网络数据包分析取证技术。还有一个数据挖掘技术，也就是对数据进行恢复、提取、深入的分析。
网络数据包分析取证工具：

功能和优势都列举出来了，需要体验的请自行百度下载。
网页取证相关技术
查看网页使用语言，网站信息，利用爬虫来获取网站相关数据。
网站/服务器取证技术
远程链接登陆服务器（如有需要，获取服务器账号密码的手段不限）查看日志，截获快照，但是全程都必须屏幕录制，是必须。
新型取证技术
新型取证技术，内存取证，芯片取证，云取证，物联网取证，边信道于量子计算。
内存取证技术
内存证据以及和硬盘证据成为打击网络违法犯罪的重要依据。
内存证据分析可被用于发现系统的各种关键信息和用户行为特征。
内存取证技术也可被用户恶意代码检测的分析。
内存取证实践：
虚拟内存文件
休眠文件
内存转储
DMA
冷启动
这是一个内存取证的完整过程，1.2名词请百度一下。
DMA 的原理就是，数据传输要经过 CPU 然后再传给电脑，这时候直接转到DMA，不经过 CPU，数据传输非常快，但是保存数据量比较小。
冷启动，按住电源键强制启动或者关机，就是冷启动。但是可能会造成数据的丢失，这些数据都保存在内存，冷启动取证就是对机器进行冷却，尽快的恢复数据。

以上就是对内存进行喷冰处理。
内存转储文件：内存转储是用于系统崩溃时，将内存中的数据转储保存在转储文件中，供给有关人员进行排错分析用途。而它所保存生成的文件就叫做内存转储文件。
3.6 芯片取证技术
这个是针对现有手机取证工具无法解决的问题，才会搬出芯片取证技术，多涉及硬件。

以上情况都可用于芯片取证技术。
现在来介绍一下芯片取证的相关流程:

这是个被摔坏的手机。将它拆解，如下图红框里所示的就是芯片所在位置。

拆下芯片后，连接取证工具，选择芯片类型，设置芯片镜像文件，继续对芯片镜像进行读取。

镜像读取完以后就可操作解析恢复，以及仿真。仿真他是模拟手机的实际运行环境。如下图微信红包所示。

一个芯片取证到这里就算结束了。
IOS取证实践：
取证工具
硬件/系统漏洞
iCloud
社会工程学
暴力破解
IOS取证国内外都有工具，但是是比较难的，在没有越狱的情况下。限制比较多。线下取证的话，可使用IOS的备份功能，将应用数据一起备份出来。然后再解析数据。原理实现就是iCloud的备份功能，用过iPhone的都知道，连上了就会问你备不备份可下载到本地。
漏洞/硬件漏洞，iPhone能被越狱。
iCloud，用户名和密码。
社会工程学：这方面用的很少，主要是利用欺骗手段进行活动。
暴力破解：暴力破解现只支持IOS7以下的版本，高于7 都是无法破解的。
3.7 IOS 取证流程