取证与应急响应
移动取证
别称: 手机取证, 智能手机取证
定义
对智能手机、平板和可穿戴设备进行取证采集与分析,提取通讯、应用数据、定位等痕迹。
移动取证面对强加密、锁定的引导加载程序与持续的云同步。采集层级从手动/拍照、逻辑(备份)、文件系统(特权提取)到物理(芯片摘取、JTAG、ISP)不等。Cellebrite UFED、Magnet AXIOM、MSAB XRY、GrayKey、Oxygen Forensic Detective 等商用套件支持 iOS/Android,可解析 SQLite 中的消息、通话、联系人、定位以及 WhatsApp、Signal、Telegram 等应用痕迹。调查人员需考虑密钥库保护数据、Secure Enclave/Knox 边界以及合法访问限制。流程与文档遵循 NIST SP 800-101 与 ISO/IEC 27037。
示例
- 使用 Cellebrite 对 iPhone 进行 Full File System 提取以恢复已删除消息。
- 解析 Android 设备的 WhatsApp 数据库,重建聊天历史。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
云取证
针对云端基础设施、应用与 SaaS 服务的取证调查,依赖云厂商 API、审计日志与短暂资源。
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
Artifact Analysis
Artifact Analysis — definition coming soon.
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。