取证与应急响应
数字取证
别称: 计算机取证, 网络取证
定义
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
数字取证将调查技术应用于数字证物,以支撑事件响应、诉讼、内部调查及执法案件。从业者遵循 NIST SP 800-86 与 ISO/IEC 27037 等公认流程模型,使用写保护设备和加密哈希完整地获取数据,维护证据链,并通过时间线与痕迹分析重建事件。其子领域包括磁盘、内存、网络、移动与云取证,各有专用工具(Autopsy、EnCase、FTK、X-Ways、Volatility、Wireshark)。目标是产出可复现的结论,经得起法庭或管理层审查,同时支持遏制与修复决策。
示例
- 使用 FTK Imager 对受感染笔记本电脑制作磁盘镜像,并在 Autopsy 中分析。
- 恢复已删除的文件与聊天碎片以支持人力资源调查。
相关术语
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
磁盘取证
对硬盘、SSD、U 盘等非易失性存储介质进行分析,恢复并解释文件系统、应用与操作系统层面的痕迹。
内存取证
获取并分析系统易失性 RAM 的取证学科,用以揭示运行进程、网络连接、注入代码及内存中的痕迹。
Evidence Acquisition
Evidence Acquisition — definition coming soon.