如何建立自己的数字取证实验室-便宜

有关下载和使用免费或廉价的数字取证工具的分步说明。

在我的同龄人在首次犯罪现场像新手警察一样踩踏数字证据后,同伴经常会恐慌地联系我,以从犯罪嫌疑人的硬盘中恢复已删除的文件。通常,有价值的证据会永久丢失,或无法在法庭上使用;或更糟的是,犯罪嫌疑人知道他正在接受调查。

借助您可能已经拥有的适当硬件和在线免费软件,您可以轻松建立自己的基础计算机取证实验室,以在法庭上进行审判,降低电子发现成本,最重要的是,为所有调查检索有价值的证据。

也可以看看: 如何计划调查

这是任何法医调查开始时的基本原则: 不要触摸犯罪嫌疑人的计算机或硬盘驱动器。

在电视上,您可以看到侦探和犯罪现场调查人员进入犯罪现场,登录犯罪嫌疑人的计算机,然后开始寻找证据。不要这样做。曾经键盘,鼠标的任何触摸,甚至是关闭计算机电源的简单动作,都可以取证地更换硬盘驱动器。

这是您必须首先执行的两个关键步骤:

首先,当您接近犯罪嫌疑人的计算机时,请从计算机背面(而不是墙壁)上拔下插头,然后使其死亡。开机的笔记本电脑应卸下电池以关闭系统。突然关闭会冻结硬盘驱动器的证据。

其次,在没有读/写阻止设备的情况下,切勿尝试查看犯罪嫌疑人的硬盘。读/写阻止设备可防止您的计算机在寻找证据时更改犯罪嫌疑人的硬盘。

没有这两个步骤,您的证据将很难在法庭上维持。有关数字证据收集的更多信息,请参阅 特勤局获取电子证据的最佳做法,《急救人员袖珍指南》 [PDF链接]。

明确了这些规则后,您便无需再构建基本设置来对嫌疑人的计算机进行取证成像(即,创建其副本)并进行审查以获取证据。

收集证据之前的第一步是侦察。事先找出犯罪嫌疑人计算机的品牌和型号。大多数企业都使用库存系统,因此了解犯罪嫌疑人的计算机型号可以帮助您确定硬盘驱动器的类型(SATA与ATA),大小(40GB及以上),以及最重要的是如何访问和拔出硬盘驱动器。计算机制造商通过将硬盘塞入奇数位而变得很有创意,因此在YouTube或Google上简单搜索Dell Latitude D400硬盘可以帮助您快速轻松地卸下驱动器。

对于读/写阻止设备,您有两个选择:购买或构建。

如果您选择购买,则可以选择不同价格的多种商业选择。我个人使用 Logicube的便携式取证实验室,就像便携式复印机一样。该设备的价格为数千美元,但可以每分钟4GB的速度进行复制,并且易于运送给非技术人员使用。 Logicube和其他厂商也以几百美元的价格制造了小型便携式设备,它们也可以正常工作。

但是,这是制作您自己的设备的简单且便宜的技巧。使用一个空的USB外部硬盘驱动器盒(20美元)和对注册表的简单更改,您就可以像专业人士一样进行成像。

首先,按照以下步骤设置注册表。 (注意:如果您不太熟悉PC技术,通常不建议编辑注册表。)

  1. 单击开始按钮,然后输入Regedit,然后按Enter。
  2. 浏览HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control。
  3. 右键单击Control,然后选择New,然后选择Key。调用新的密钥FORENSICWRITEBLOCK。
  4. 右键单击FORENSICWRITEBLOCK,然后选择“新建”,然后选择“ Dword”。调用新的双字WriteProtect。
  5. 右键单击WriteProtect,然后选择“属性”。将值设置为1,然后单击“确定”。

(注意:完成映像后,要还原并删除对USB驱动程序的阻止写访问,只需删除StorageDevicePolicies注册表项,或删除WriteProtect注册表项,或将WriteProtect的值数据更改为零。)

完成注册表设置后,通过尝试将文件复制到插入的外部驱动器,用个人或空白硬盘驱动器测试外部驱动器。 Windows应该给您一条错误消息,指示驱动器已被写保护,并且您尝试的文件复制将失败。

暗中抓住犯罪嫌疑人的硬盘后(最好在半夜里,请参阅 如何做一个更好的防盗),将驱动器插入您的读/写阻止设备。 Windows应识别新驱动器,然后资源管理器将打开。此时,您可以搜索和使用该驱动器,也可以制作一个可以查看已删除文件的取证图像,稍后由您或第三方进行审核,并将在法庭上受审。

要制作法医图像,请下载 访问数据 的FTK Imager 2.6.1。在法证市场上,有很多开源,免费软件和付费软件可供选择,但我发现FTK Imager的逐步向导和免费价格标签非常适合初学者使用。安装后,选择“创建磁盘映像”,选择映像源(您的USB驱动器),命名文件并保存位置(我建议保存到大型外部驱动器),然后单击“开始”。几个小时后,您将获得与嫌疑人的驱动器相同的副本以进行探索。目前,您可以在嫌疑人不知所措的情况下归还嫌疑人的驱动器。 FTK Imager还可以通过选择“添加证据项”来查看已镜像的驱动器或原始驱动器。在此功能中,Imager的行为类似于Windows资源管理器,但是会显示许多带有X标记的已删除文件。

要获得更高的取证能力,供应商 指导 访问数据 提供组织嫌疑人的文档,电子邮件和即时消息的软件解决方案;索引完整的驱动器以进行搜索;破解加密密码;以及更多。 (也可以看看 证据规则:数字取证工具。)我个人推荐并使用FTK 2.2,因为它易于使用的工具,高处理速度和出色的技术支持团队。

最后,我告诉人们,计算机取证不是一门科学,而是一门艺术。无论您是制作副本并使用Windows资源管理器来查找证据,还是使用Encase和FTK等工具来简化搜索,所有这些都取决于您的时间,连接各个点并整理大量信息。 ##

布兰登·格雷格(Brandon Gregg)是公司调查经理。

有关:

版权 © 2009 IDG通讯 ,Inc.