我们先了解一下关于「电子数据现场勘验」的基础知识
Q
电子数据现场勘验的主要步骤是?
电子数据现场勘验是指在犯罪现场实施勘验,从而提取、固定现场留存的与案件有关的电子证据。因此它的主要步骤是:勘验准备→保护现场→搜查证物→提取和固定数据→运输和移交证物。
Q
在进行电子数据现场勘验之前,
需要准备哪些工具和设备?
◆ 只读设备、数据容量适当的硬盘及复制设备、计算机绕密码工具、摄像机、照相机、执行记录仪、防静电手套、物证保全袋、物证标签贴纸、封条等。
◆ 一款跨平台的现场勘验利器——FAS7900现场勘验取证系统,可以方便、高效地对Windows系统、Linux系统、Mac系统的文件、动态痕迹和静态数据进行提取固定。(点击此处查看最新升级详情)P.S. 后台回复“试用”,有惊喜!
想要进一步提升现勘“业务能力”的伙伴看过来效哥还总结了各类现勘的注意事项供大家参考~
01
手机现场勘验
手机现勘在实际案例中遇到的情况比较多,相对来说手机现场勘验较计算机和服务器来说要简单一些。
效哥Tips:
1、手机开启飞行模式要比关机更好,但尽量保证手机电量充足,如果有手机信号屏蔽设备效果更好;
2、手机开机密码现场需要验证,其他重要密码也要注意现场验证,如:APP的登录密码、手机隐私空间的访问密码、手机云盘空间的访问密码等;
3、手机相机的缓存数据(打开手机相机然后退出,部分手机会有退出相机前的缓存数据),现场勘查时针对此类数据可外置录像、截图等方式固定;
4、如果手机正与其他设备连接,需切断连接,以防数据传输和同步覆盖。
02
视频监控现场勘验
对于监控视频需要确认监控视频的如下情况:监控主机的品牌、监控录像周期、监控系统运行情况、监控存储介质等。
效哥Tips:
1、停止录像可以保证恢复的数据成功率更高;
2、北京时间校准保证监控视频时间准确性;
3、监控主机日志固定,可分析到更多监控主机的操作行为,为案件侦破提供更多辅助线索或证据;
4、视频监控现场勘查如果通过监控主机查看没找到涉案视频,不代表真正没有,可能涉案视频处于删除、丢失等状态。
03
服务器现场勘验
服务器现场勘验需要弄清楚服务器的以下情况:服务器物理环境、服务器网络环境、服务器操作系统、服务器所有磁盘阵列类型。
效哥Tips:
1、服务器如使用磁盘阵列需要关机取出存储硬盘单个固定数据的情况下,请提前记录好阵列磁盘顺序、相应配置等信息;
2、服务器如果需要关机要按正常流程关机,否则部分程序在后期仿真分析会出现异常;
3、如果遇到大容量阵列存储且不考虑数据恢复的情况,可使用类PE工具引导服务器对阵列中正常数据进行固定。
04
计算机现场勘验
计算机现勘中取证人员会遇到名目繁多的硬件、不同接口的硬盘、不同的计算机操作系统、不同的文件系统......而这些情况都会增加计算机现勘的难度。
效哥Tips:
1、有加密容器需要在解密情况下优先固定,如:TrueCrypt、VeraCrypt、BitLocker等常见的加密工具下的加密情况(如果能现场验证到正确密码效果最好);
2、有已经运行登录的非市面常见的聊天工具,可以尝试通过软件自带的消息导出功能导出聊天记录,或者通过截图工具进行关键聊天截图;
3、开机状态下的计算机剪切板、操作撤销等,可在相应数据固定后完成使用Ctrl+V、Ctrl+Z等操作验证是否有关键数据;
4、在进行在线数据提取前,一定要注意对系统的时间(时区)进行北京时间校准和记录;
5、常见的易丢失数据包括:内存数据、系统信息、正在运行的程序数据。
END
满满干货你都get到了吗?欢迎在评论区留言和效哥探讨关于电子数据现场勘验的那些事儿
始终坚持以知识分享促进犯罪打击
点击和效哥一起学习更多行业知识↓
Q
电子数据现场勘验的主要步骤是?
电子数据现场勘验是指在犯罪现场实施勘验,从而提取、固定现场留存的与案件有关的电子证据。因此它的主要步骤是:勘验准备→保护现场→搜查证物→提取和固定数据→运输和移交证物。
Q
在进行电子数据现场勘验之前,
需要准备哪些工具和设备?
◆ 只读设备、数据容量适当的硬盘及复制设备、计算机绕密码工具、摄像机、照相机、执行记录仪、防静电手套、物证保全袋、物证标签贴纸、封条等。
◆ 一款跨平台的现场勘验利器——FAS7900现场勘验取证系统,可以方便、高效地对Windows系统、Linux系统、Mac系统的文件、动态痕迹和静态数据进行提取固定。(点击此处查看最新升级详情)P.S. 后台回复“试用”,有惊喜!
想要进一步提升现勘“业务能力”的伙伴看过来效哥还总结了各类现勘的注意事项供大家参考~
01
手机现场勘验
手机现勘在实际案例中遇到的情况比较多,相对来说手机现场勘验较计算机和服务器来说要简单一些。
效哥Tips:
1、手机开启飞行模式要比关机更好,但尽量保证手机电量充足,如果有手机信号屏蔽设备效果更好;
2、手机开机密码现场需要验证,其他重要密码也要注意现场验证,如:APP的登录密码、手机隐私空间的访问密码、手机云盘空间的访问密码等;
3、手机相机的缓存数据(打开手机相机然后退出,部分手机会有退出相机前的缓存数据),现场勘查时针对此类数据可外置录像、截图等方式固定;
4、如果手机正与其他设备连接,需切断连接,以防数据传输和同步覆盖。
02
视频监控现场勘验
对于监控视频需要确认监控视频的如下情况:监控主机的品牌、监控录像周期、监控系统运行情况、监控存储介质等。
效哥Tips:
1、停止录像可以保证恢复的数据成功率更高;
2、北京时间校准保证监控视频时间准确性;
3、监控主机日志固定,可分析到更多监控主机的操作行为,为案件侦破提供更多辅助线索或证据;
4、视频监控现场勘查如果通过监控主机查看没找到涉案视频,不代表真正没有,可能涉案视频处于删除、丢失等状态。
03
服务器现场勘验
服务器现场勘验需要弄清楚服务器的以下情况:服务器物理环境、服务器网络环境、服务器操作系统、服务器所有磁盘阵列类型。
效哥Tips:
1、服务器如使用磁盘阵列需要关机取出存储硬盘单个固定数据的情况下,请提前记录好阵列磁盘顺序、相应配置等信息;
2、服务器如果需要关机要按正常流程关机,否则部分程序在后期仿真分析会出现异常;
3、如果遇到大容量阵列存储且不考虑数据恢复的情况,可使用类PE工具引导服务器对阵列中正常数据进行固定。
04
计算机现场勘验
计算机现勘中取证人员会遇到名目繁多的硬件、不同接口的硬盘、不同的计算机操作系统、不同的文件系统......而这些情况都会增加计算机现勘的难度。
效哥Tips:
1、有加密容器需要在解密情况下优先固定,如:TrueCrypt、VeraCrypt、BitLocker等常见的加密工具下的加密情况(如果能现场验证到正确密码效果最好);
2、有已经运行登录的非市面常见的聊天工具,可以尝试通过软件自带的消息导出功能导出聊天记录,或者通过截图工具进行关键聊天截图;
3、开机状态下的计算机剪切板、操作撤销等,可在相应数据固定后完成使用Ctrl+V、Ctrl+Z等操作验证是否有关键数据;
4、在进行在线数据提取前,一定要注意对系统的时间(时区)进行北京时间校准和记录;
5、常见的易丢失数据包括:内存数据、系统信息、正在运行的程序数据。
END
满满干货你都get到了吗?欢迎在评论区留言和效哥探讨关于电子数据现场勘验的那些事儿
始终坚持以知识分享促进犯罪打击
点击和效哥一起学习更多行业知识↓
