备案号:辽ICP备19007957号-1
聆听您的声音:feedback@highmark.com.cn企业热线:400-778-8318
Copyright ©2015- 海马课堂网络科技(大连)有限公司办公地址:辽宁省大连市高新技术产业园区火炬路32A号创业大厦A座18层1801室
先看一下这门课的期末考试情况。拿到 sample paper 后大家会发现,这门课期末考试占总成绩 50%。
往年是线上开卷考试,总共 3 个小时。今年老师改了,变成了 线下考试,总时长 2 小时,还包括 10 分钟读题时间。比往年少了一个小时,算是不错的改动。
考试形式是 纸笔作答,题型有三类:
不定向选择题:包括单选、双选以及 True/False 判断题,往年大概 20 套题。
Short Answer(短回答)
Long Answer(长回答)
答题小技巧:
①分点答题,答到点上;
②熟悉所有知识点,理解原理,能灵活联系和运用;
③用墨水写答案,有必要写一点解释。
总结一句话:这门课不考你有多深,而是知识点多、面广。复习关键是记住知识点、理清原理、联系各点,并且理解。
本次复习主要覆盖前两周内容,重点是 V1 和 V2 的知识点、网银专题以及一些常规讲解。所有内容来自 VDEV 的 PPT,我们按照考试大纲梳理逻辑,让大家一步步回顾整个数字取证的基础框架。
数字取证要记住几件事:
①技术手段
②方法论
③文档记录
④可辩护性
注意:技术是可替换的,但方法论和文档要求是必须的。
核心问题:你拿到的证据可信不可信?
考察三个方面:
Repeatable(可重复性):别人照你步骤也能得到相同结果。
Verifiable(可验证性):你做的每一步都有记录、有证据。
Defensible(可辩护性):如果律师质疑,你能拿出日志、照片等证明操作没问题。
原则:
避免改动原始证据
必须详细记录每一步,保证可复现
遵循公认方法,如 101 格式;
第三方可以复现;
采集流程不会改变证据。
数字取证第一步:保护现场!
保护现场包括:
①Secure(现场安全)
②防止其他人接触设备
③控制环境,避免证据被改动
Document(记录一切)
ABD 原则:Always Be Documented
记录内容:照片、日志、现场笔记、设备序列号、桌面状态、现场人员
设备处理注意事项:
普通 PC:可直接断电,但需避免写入系统日志或程序自动修改数据
服务器:不可直接断电,需要正常关机
全盘加密设备:优先 live acquisition,否则解密信息丢失
数字取证不仅是找证据,更是 证明证据未被篡改。
记录内容:
Where:证据获取地点
Who:操作人员
What:设备型号、序列号
Current Storage:存放位置
签名、防篡改标识
保管链的重要性:
防止质疑证据真实性
确保证据可提交法庭
证明调查流程正确
考试题目可能会问:为什么保管链重要?
答案示例:
防止质疑证据真实性
防止第三方篡改
确保证据可法庭提交
证明调查遵循正确流程
ABD(Always Be Documented):永远记录每一步。
文档类型:
工作日志(Work Journal):记录每一步操作、软件、命令、现场情况
设备收集登记表:型号、序列号、来源、交接时间
保管链表格(Chain of Custody)
采集表:记录采集开始/结束时间、设备信息、二次验证情况
作用:阻止对硬盘写入,防止证据污染
类型:
物理阻断器:硬件层面阻止所有写入,最可靠
软件阻断器:依赖 OS 或驱动,存在漏洞,可靠性低
注意:阻断器能防止污染,但不保证镜像绝对正确,仍需二次验证(hash 校验、备份)
目的:在原始硬盘上不直接分析,建立法庭可接受的镜像
格式:
DD 格式:纯二进制拷贝,简单、兼容性好,Linux 可直接挂载,底层工具支持广
101 格式:专家模式,遵循行业标准
COMP6445 考试重点是知识面广、理解逻辑
数字取证核心:
技术 + 方法论
现场保护 + 文档记录
保管链完整
写阻断器防污染
镜像采集可复现且符合法庭标准
考试答题:
分点答题、答到点上
熟悉知识点并理解原理
所有操作记录充分,以保证可辩护性
阅读原文:https://www.highmarktutor.com/news/30433_62.html
版权作品,未经海马课堂 highmarktutor.com 书面授权,严禁转载,违者将被追究法律责任。
24h在线客服
备案号:辽ICP备19007957号-1
聆听您的声音:feedback@highmark.com.cn企业热线:400-778-8318
Copyright ©2015- 海马课堂网络科技(大连)有限公司办公地址:辽宁省大连市高新技术产业园区火炬路32A号创业大厦A座18层1801室
hmkt088
