当前位置:极客教程 > Python > Python 数字取证 > Python数字取证 简介

Python数字取证 简介

Python数字取证 简介

本章将向你介绍数字取证是怎么回事,以及它的历史回顾。你还将了解你在现实生活中可以在哪些方面应用数字取证,以及它的局限性。

什么是数字取证

数字取证可以被定义为法医学的一个分支,分析、检查、识别和恢复驻留在电子设备上的数字证据。它通常用于刑事法和私人调查。

例如,如果有人偷了电子设备上的一些数据,你可以依靠数字取证技术提取证据。

数字取证的简要历史回顾

本节对计算机犯罪的历史和数字取证的历史回顾进行了解释,如下所示

20世纪70年代至80年代:第一次计算机犯罪

在这十年之前,还没有人认识到计算机犯罪。然而,如果它是应该发生的,当时的法律会处理它们。后来,在1978年,佛罗里达州的《计算机犯罪法》首次承认了计算机犯罪,其中包括针对未经授权修改或删除计算机系统上的数据的立法。但随着时间的推移,由于技术的进步,计算机犯罪的范围也在增加。为了处理与版权、隐私和儿童色情有关的犯罪,还通过了各种其他法律。

20世纪80年代至90年代:发展的十年

这十年是数字取证的发展十年,这都是因为有史以来第一次调查(1986年),Cliff Stoll追踪了名为Markus Hess的黑客。在这一时期,两种数字取证学科得到了发展–第一种是借助于从业者作为爱好而开发的临时工具和技术,而第二种则是由科学界开发。1992年, “计算机取证 “一词在学术文献中被使用。

2000年代-2010年代:标准化的十年

在数字取证发展到一定水平后,需要制定一些具体的标准,以便在进行调查时可以遵循。因此,各种科学机构和团体都发布了数字取证的准则。2002年,数字证据科学工作组(SWGDE)发表了一篇名为《计算机取证的最佳实践》的论文。另一个亮点是欧洲主导的国际条约,即 《网络犯罪公约 》,由43个国家签署并由16个国家批准。即使有了这些标准,仍然需要解决研究人员发现的一些问题。

数字取证的过程

自1978年首次出现计算机犯罪以来,数字犯罪活动有了巨大的增长。由于这种增长,有必要以结构化的方式来处理它们。1984年,一个正式的程序被引入,此后,大量新的和改进的计算机取证调查程序被开发出来。

一个计算机取证调查过程包括三个主要阶段,解释如下

第一阶段:获取或成像的证据

数字取证的第一阶段涉及保存数字系统的状态,以便日后进行分析。这与从犯罪现场拍摄照片、血液样本等非常相似。例如,它涉及捕获硬盘或内存的已分配和未分配区域的图像。

第二阶段:分析

这一阶段的输入是在采集阶段获得的数据。在这里,这些数据被检查以确定证据。这一阶段给出了以下三种证据

  • 无罪的证据 – 这些证据支持特定的历史。

  • 开脱罪责的证据– 这些证据与给定的历史相抵触。

  • 篡改的证据 – 这些证据表明系统被篡改以避免被识别。它包括检查文件和目录内容以恢复被删除的文件。

第三阶段:展示或报告

顾名思义,这一阶段提出了调查的结论和相应的证据。

数字取证的应用

数字取证涉及到收集、分析和保存任何数字设备中的证据。数字取证的使用取决于应用。如前所述,它主要应用于以下两种情况

刑法

在刑法中,收集证据是为了在法庭上支持或反对某种假设。取证程序与刑事调查中使用的程序非常相似,但有不同的法律要求和限制。

私人调查

主要是企业界使用数字取证进行私人调查。当公司怀疑员工可能在其电脑上进行违反公司政策的非法活动时,就会使用这种方法。数字取证为公司或个人在调查某人的数字不当行为时提供了最佳途径之一。

数字取证的分支

数字犯罪不仅限于电脑,黑客和犯罪分子也在大规模使用小型数字设备,如平板电脑、智能手机等。一些设备有易失性内存,而另一些设备有非易失性内存。因此,根据设备的类型,数字取证学有以下几个分支

计算机取证

数字取证的这一分支涉及计算机、嵌入式系统和静态存储器,如USB驱动器。从日志到驱动器上的实际文件的广泛信息都可以在计算机取证中进行调查。

移动取证

这涉及到对移动设备数据的调查。这个分支与计算机取证不同,因为移动设备有一个内置的通信系统,可以提供与位置有关的有用信息。

网络取证

这涉及监测和分析计算机网络流量,包括本地和WAN(广域网)的信息收集、证据收集或入侵检测。

数据库取证

数字取证的这一分支涉及对数据库及其元数据的取证研究。

数字取证调查所需的技能

数字取证检查员帮助追踪黑客,恢复被盗数据,跟踪计算机攻击的源头,并协助其他涉及计算机的调查类型。成为数字取证检查员所需的一些关键技能,如下所述

杰出的思维能力

数字取证调查员必须是一个杰出的思想家,应该有能力将不同的工具和方法应用于一个特定的任务,以获得产出。他/她必须能够找到不同的模式并在它们之间建立联系。

技术技能

数字取证检查员必须有良好的技术技能,因为这个领域需要网络知识,数字系统如何互动。

对网络安全有热情

因为数字取证领域是关于解决网络犯罪的,这是一个繁琐的任务,所以需要有很大的激情,才能成为一个王牌的数字取证调查员。

沟通技巧

良好的沟通技巧是必须的,以协调不同的团队和提取任何丢失的数据或信息。

熟练的报告制作

在成功地实现采集和分析后,数字法证检验员必须在最后的报告和演示中提到所有的发现。因此,他/她必须有良好的报告制作技巧和对细节的关注。

局限性

数字取证调查有一定的局限性,在此讨论一下。

需要提供令人信服的证据

数字取证调查的主要缺点之一是,检查员必须遵守法庭证据所要求的标准,因为数据很容易被篡改。另一方面,计算机取证调查员必须对法律要求、证据处理和文件程序有完整的了解,以便在法庭上提出令人信服的证据。

调查工具

数字调查的有效性完全取决于数字取证检查员的专业知识和对适当调查工具的选择。如果使用的工具不符合规定的标准,那么在法庭上,证据就会被法官否定。

观众缺乏技术知识

另一个限制是,有些人并不完全熟悉计算机取证;因此,许多人不了解这个领域。调查人员必须确保以这样的方式与法院沟通他们的调查结果,以帮助每个人理解结果。

成本

制作数字证据和保存它们的成本非常高。因此,许多人可能不会选择这一过程,因为他们无法负担这一费用。

Python教程

Python 教程

Python 教程
Tkinter 教程

Tkinter 教程
Pandas 教程

Pandas 教程
NumPy 教程

NumPy 教程
Flask 教程

Flask 教程
Django 教程

Django 教程
PySpark 教程

PySpark 教程
wxPython 教程

wxPython 教程
SymPy 教程

SymPy 教程
Seaborn 教程

Seaborn 教程
SciPy 教程

SciPy 教程
RxPY 教程

RxPY 教程
Pycharm 教程

Pycharm 教程
Pygame 教程

Pygame 教程
PyGTK 教程

PyGTK 教程
PyQt 教程

PyQt 教程
PyQt5 教程

PyQt5 教程
PyTorch 教程

PyTorch 教程
Matplotlib 教程

Matplotlib 教程
Web2py 教程

Web2py 教程
BeautifulSoup 教程

BeautifulSoup 教程

Java教程

Java 教程

Java 教程

Web教程

HTML 教程

HTML 教程
CSS 教程

CSS 教程
CSS3 教程

CSS3 教程
jQuery 教程

jQuery 教程
Ajax 教程

Ajax 教程
AngularJS 教程

AngularJS 教程
TypeScript 教程

TypeScript 教程
WordPress 教程

WordPress 教程
Laravel 教程

Laravel 教程
Next.js 教程

Next.js 教程
PhantomJS 教程

PhantomJS 教程
Three.js 教程

Three.js 教程
Underscore.JS 教程

Underscore.JS 教程
WebGL 教程

WebGL 教程
WebRTC 教程

WebRTC 教程
VueJS 教程

VueJS 教程

数据库教程

SQL 教程

SQL 教程
MySQL 教程

MySQL 教程
MongoDB 教程

MongoDB 教程
PostgreSQL 教程

PostgreSQL 教程
SQLite 教程

SQLite 教程
Redis 教程

Redis 教程
MariaDB 教程

MariaDB 教程

图形图像教程

Vulkan 教程

Vulkan 教程
OpenCV 教程

OpenCV 教程

大数据教程

R语言 教程

R语言 教程

开发工具教程

Git 教程

Git 教程
VSCode 教程

VSCode 教程
Docker 教程

Docker 教程
Gerrit 教程

Gerrit 教程
Excel 教程

Excel 教程

计算机教程

Go语言 教程

Go语言 教程
C++ 教程

C++ 教程

Python 数字取证