取证与应急响应
写保护设备
别称: 取证写保护, 只读桥接器
定义
允许对存储设备执行读取但阻止任何可能改变证据的写入操作的硬件或软件工具。
写保护设备是取证采集的核心:确保源磁盘、U 盘或存储卡在镜像过程中保持逐位一致。硬件写保护设备(如 Tableau、WiebeTech、CRU)串接在被检盘与取证工作站之间,对外暴露 SATA、NVMe、USB、SAS、M.2 的只读接口。软件写保护(Linux 的 blockdev、USBWriteBlocker、Windows 注册表策略等)可在工作站层面实现同等保护。NIST 的计算机取证工具测试(CFTT)项目发布验证结果。依据 ISO/IEC 27037,使用写保护设备是维护证据完整性的必要实践。
示例
- 镜像可疑外置硬盘时使用 Tableau T8u USB 3.0 硬件写保护设备。
- Linux 取证工作站通过 udev 规则与 blockdev 设置防止意外写入。
相关术语
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
磁盘取证
对硬盘、SSD、U 盘等非易失性存储介质进行分析,恢复并解释文件系统、应用与操作系统层面的痕迹。
Preservation of Evidence
Preservation of Evidence — definition coming soon.
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。