菜鸟了解点“调查取证套路”刀在你我手

作者：i春秋作家——细心

一、前言

取证在于揭示那些发生在网络及其设备上，有意义的，先前不人为不知道的，只有知道了以后我们才可以改进！

比如我们被“入侵”了，只有知道对方如何进入的我们才可以更好的“防御”

如果说在网络安全中“入侵”是攻击者的优势，那么“取证”则是防御者的优势！

同时“取证”也是把恶意分子送进“号子”必备的武器，也是震慑犯罪的有效灵药！

更是保护广大人民群众合理财产以及隐私，维护社会稳定的必要手段！

更是在“网络安全法”下督促一些不良厂商，要对广大人民群众负起责任的“法宝”。

取证有是一门复杂的手艺,但是“勤能补拙”！

本文可能有点乱，请多多包含！

二、正文

先了解 现实的调查取证套路，寄希望于“捉奸捉双”，“拿贼拿赃”！

我们来分享一个电影缉毒的小故事：

缉毒警发现了一个毒贩，明知道他是“毒贩”他却能够合理逃脱掉，比如在一次和警察扮演的卧底交易或者说等待中，他使用“面粉”来代替“毒品”而且有很高的戒心！

发现环境不对，就逃脱了留下一地的“面粉”，有警察说抓他进去审审！

可是人家有“团队”“律师”等各种套路，人刚进去还有问各种“保释”各种人情就来了！

搞的很窝火！

电影里面就有了一个桥段：搞刑事都比这个简单套路。。这个取证比较复杂！

最好要人和毒品，还有金钱在一起，然后我们（警察）出来，抓住他们！

同时那假如警察钓鱼执法，有可能检察院有可能不认！

满满的取证套路！

这是现实中的！

那么虚拟中那？

在我们虚拟环境中有如何？

在此之前我们应该先了解“证据”！

什么是证据！在法律是指依照诉讼规则认定案件事实的依据，证据对于当事人进行诉讼活动，维护自己的合法权益，对法院查明案件事实，依法正确裁判都具有十分重要的意义。

    证据问题是诉讼的核心问题，在任何一起案件的审判过程中，都需要通过证据和证据形成的证据链再现还原事件的本来面目！依据充足的证据而做主裁判才有可能是公正的裁判！

但是首要的目标是查明真相，真实的并正确理解到底发生了些什么！

       因此我们可以把“证据”广义的定为：任何可观察可记录的事件或者事件的因素，即一个能够正确理解可以观察事件发生的原因事件的本质，任何可以被观察记录的活动或者人为的！

       当然了能够理解和重现事件的活动是一方面，在法律框架内把他展示出来（可被法庭采信）使受害人得到工资的赔偿（比如：可以记录诈骗的记录钱款的交易，返回给受害人）
罪犯公正的被制裁（在里面希望可以让他洗心革面从新做人，，但是更大的是要震慑那些想要犯罪的人）！

那么在这个套路中，证据分为多少类？我们主要在“网络环境”中面临的是哪一类？

实物证据：

    什么是“实物”证据：实物证据可以大致的定义为：在一个案件中，扮演某个角色的 任何物理和有形的对象，它可以是一把刀，也可以是合同的副本（当然也要考虑法庭的采信）

    对于采用刑讯逼供或者威胁、引诱、欺骗等非法的方法取得的证人证言、被害人陈述、被告人供述等言词证据，不能作为定案的根据，“两高”的司法解释已经明文规定。

参考链接：https://baike.baidu.com/item/%E9 ... /3320351?fr=aladdin 百度非法证据排除！

在我们这个领域中，他可以是恢复的数据硬盘，可以是物理计算机的其他设备！
实物证据通常是有实体构成的（通俗：即看的见摸得着）比如我们的硬盘相对与大家理解“0,与1”不如看见一个有形的硬盘直观！
实物证据的例子有：

凶手使用的武器；

指纹或脚印；

物理硬盘或者USB存贮的设备；
计算机本身；

最佳证据：

“最佳证据”可以定义为：在法庭上能产生的最好证据，
比如提供文件，录像，录音内容必须是原始的，在原始的证据被毁下，那么他的替代物及副本，当然了一些现场大件的残留有可能带不到法庭，那么他的照片也是可以的（需验证不是PS的哈哈）


比如“郝健的扶不扶”那个摄像头，要是没有坏的话他就是最佳的证据，而现实现在阶段很多时候都是靠一个摄像头。。。呵呵呵

直接证据：
“直接证据”是由行为活动现场直接证人，直接目击者提供的证词（虽然他是一个很有争议的证词）这是一个古老的证据链，即他人的证人证言被”直接证据“，它保留证据一些最有力的形式！只要与案件有管，一般直接证据会被采信！

说明其他人说了什么对案情也是有很大的帮助！

举个例子加深了解：

我看见”蛋总“” 在I春秋上班！（这就是一个证据）

我看见“蛋总”在爆破I春秋。。（这有是一个证据）

那么就要有争议了，上面哪一个是正确的那？所以就要具体分析！

因为证人证言都是可以伪造的！

比如：康熙微服私访记中，其中有一集是官官相护临时（花钱）找一个证人，结果把“康熙用钱买过去做人证”了。。。。。结局肯定可乐啊！

所以要验证真实性！

情况证据：

      情况证据是一种不能直接支持某一论点的证据，相反情况证据可能和其他证据合在一起使用，用来推论结果！

       对于涉及网络取证的案件来说，情况证据是很重要的，因为它是“把电子证据和他的使用者联系在一起的方法。。。（通俗就是比如某社交软件谁在登陆，在上面干了什么，是诈骗分子还是其他人，首先我们要证明是不是犯罪人在使用这个证号，然后这里面产生的各种数据就很有意义了，）”

情况证剧列子有：
一个邮件，
在被告人的电脑你找到受害人的一个含有口令HASH的文件。

甚至于一个电脑的设备号，有些东西是唯一的。。当然也不排除伪装（伪造）。。。。

所以要合理验证！

传闻证据：


传闻证据”是指二手证人，也就是审理当前案件的非直接目击证人！

两种形式包括：（1）证明人并非就自己亲身经历的事实，而仅就他人在审判所作的陈述，代为他人向法庭提供的陈述。

（2）证明人就自己亲身感知的事实向法庭提交的陈述书和证人证明案件中特定事项所作出的转述。

三大类具体而言指：
（1）非目击者的当庭陈述；
（2）目击者的书面证言；
（3）警察或检察官在起诉阶段制作的证人的书面笔录。

简要理解（我）：就是吹牛逼的证据，，，喝多了酒一起吹，吹的多了显示你有本事露了什么，然后对于某一件事情，经过调查是真实的。。。

传闻证据的列子：
这家伙告诉我，那事是他干的（。。。。。）

他告诉我他知道是谁干的。。。。

突然发现饭可以海吃，话不能乱吹，请大家遵纪守法！

我们要明白的重重之重（息息相关）

参考链接https://baike.baidu.com/item/%E7 ... /3448262?fr=aladdin

电子证据：

那么电子证据有那些通俗：

电子邮件和聊天记录，

发票支付和收款凭证（比如各种支付平台的支付凭证）

路由器计算机的日志

还有基于网络的电子电子数据，他们可以归结与“电子证据”它们是在网络通信中产生的，

在相对于“硬盘和内存”有些是可以恢复的，但是在与网络中的数据流，确是在几秒后有可能就没有了。

比如我们使用抓包软件进行流量分析，只能说明某一时间点，在做什么要构造完整的证据链还要更多的证据！

有兴趣的可以看看：http://www.sohu.com/a/148317545_704736

上面我们了解了证据的概念！

在网络取证中我们有什么样的方法那？

先来说个小故事：

比如一家政府或者某公司的服务器被黑了！

如果被黑了，系统是如何被攻破的？

同一个局域网有没有被殃及？

敏感数据有无泄露？

日志文件有无删除（在网络安全法后，有了强制的日志保留或者说远程的日志保留）当然了要看实际环境了。。

能否发现追踪嫌疑人（网络天生的匿名性）还有一些因为政治·宗教的原因！

根据上面的问题，我们首先要获取信息，获取“应急信息”和“环境信息”来判断

比如应急信息：有涉案的系统网站数据，被发现的日期时间，多久可以解决问题等！

环境：经营模式，网络拓扑，组织结构等！

获取了必要的信息后，我们要制定方案（比如）：

我们调查的目的和时间要求；

列出现在我们所拥有的资源，包括人员设备时间；

标出所有可能的证据源；

评估这些证据源的价值，以及获取他们所要的代价;

对最初的数据进行获取分析做出计划；

平且要及时更新数据，汇总！

还要反反复复的确认，查看！

制定了方案我们就要进行数据收集！

收集证据：我们要在合法的情况下进行设备人员等等一些获取！使用可靠的工具！最好有文档记录。

证据收集了我们就要分析这些证据，他们是不是我们想要的，能否证实事件的真实性！当然了你不能对证据的解释当成事实的真相，而要证明他们是否可靠（正确或者错误）

最后做成相关性的可行报告（感觉和渗透测试一样。。。。）

当然了一定要让新手可以理解，还要忠于事实！

上面说了一堆理论上的基础感觉晕，下面进行技术上的简要行走，因为对于各种环境设备，政治宗教，我们无法面面俱到只能在进行取证的时候，来针对性的学习思考，这也就是“勤能补拙”也是经验！

在分析中有时候我们要查看物理线缆，是否完好，现在或许少见了，在最早的案例中就有人搭线缆进行窃听数据，进行违法犯罪，而在与证据获取中也可以进行监听。。。。。

无线网络去查看或者获取他的数据，是否有对无线网络攻击的主机

交换机，交换机是把设备粘合在一起的，通过他我们可以发现各种设备对应的地址，端口，物理链接地址！

路由器，路由器是把不同的子网或者设备链接在一起的， 路由器有路由表路由表中记录了路由端口与网络链接的关系，而大型的企业级路由还会把这些日志发送给中央日志服务器和流量记录数据，对调查很有帮助！

Dhcp服务器：他是一种动态的主机分配协议，通过他可以发现在某一个时间点那个ip给了那个主机，他会在每一次分配或者出租地址的时候，生产一条日志记录下该接受设备的ip和MAC地址，便于我们在调查中分析某一个时间端的问题！

域名服务器：他是是对于mac和ip地址一样的映射关系，我们也需要一种把ip和我们的系统主机对应起来的机制，所以就有了dns服务器，在企业中我们的访问都会被解析到这里然后进行查询！找出对应的ip或者主机，进行服务！

我们通过dns服务器就可以知道某台主机在一些时间内访问了那些网站，我们就可以根据信息勾勒出危险发生的大概时间！

网络入侵检测/防御系统（ids AND IPS）它的设计初衷就是专门用来对付（恶意分子）像安全分析师和取证人员提供网络安全事件的相关信息（但是有些人为因素也可以是他们被搞定。）

通过他们我们可以监控看到一些不良的数据流量或事件。有时候响应以及人反应的速度也决定了它们的命运！

防火墙：防火墙的设计是规定那些流量可以走，那些不可以走，基于规则和特征的拦截，而在现代的防火墙设计中，不基于目标和源ip，还包括数据包中的内容，端口号，以及封装所使用的协议等等！除却对于事件日志的记载之外，更要求可以很好的实现设计者要的功能（比如你懂得）

应用服务器：这个就比较多了，比如数据库服务器（脱裤的比较喜欢）web服务器，电子邮件服务器，这些在你的取证中都要去合理的分析取证！

中央日志服务器（网络安全法希望都安装）：它可以汇聚来自路由，应用服务器，防火墙，ids等等很多方面的事件日志，可以通过他进行事件分析（但是要拒绝弱口令和一个密码走全服务器）

对于各种记录日志的手段或者服务器还有很多，我们没有说到就要大家在实际中根据网络拓扑来展开。

有了这些日志服务器，我们最基本的要了解互联网的流量协议（tcpip协议）通过这些协议我们来结合我们实际环境分析，还要有趁手的兵器（像wireshark）这样的工具，我们尽量要选用一下口碑比较好的可靠性高的兵器来进行数据流的分析。

所以在实际工作中我们要多积累，你可能说为什么没有比如 路由器日志分析那？我只能说篇幅问题，你喜欢这方面的可以下去研究或者我们一起讨论，有时间了我也会写研究正所谓知己知彼百战百胜！

调查取证不是说一篇文章就可以写的明白的。。不要想着一天你就是大神！除非你是杨过 哈哈哈

>>>>>>黑客入门必备技能   带你入坑，和逗比表哥们一起聊聊黑客的事儿，他们说高精尖的技术比农药都好玩！

转载请注明来自网盾网络安全培训，本文标题：《菜鸟了解点“调查取证套路”刀在你我手》

标签：