計(jì)算機(jī)取證在案件調(diào)查中的地位不言而喻，可以幫助調(diào)查人員捕獲案件進(jìn)程中的諸多細(xì)節(jié)。而商業(yè)軟件在計(jì)算機(jī)取證中的作用也不容忽視，讓我們來看一些具體的分析和案例。

員工離職時(shí)，公司領(lǐng)導(dǎo)為了防止員工帶走客戶資源、商業(yè)數(shù)據(jù)，通常會(huì)邀請(qǐng)計(jì)算機(jī)取證專家檢查員工的網(wǎng)上活動(dòng)情況，看看是否存在“可疑點(diǎn)”。

Alfred Demirjian是計(jì)算機(jī)取證公司TechFusion的主席兼CEO，他表示，員工通過攻擊前東家電子郵箱賬戶搞破壞之類的事情屢見不鮮。而商業(yè)軟件可以幫助公司深入挖掘員工在社交網(wǎng)站發(fā)布的信息和聊天記錄，如果員工有公司的智能手機(jī)，還可以通過GPS 對(duì)他們進(jìn)行追蹤。

客戶會(huì)給TechFusion一個(gè)數(shù)據(jù)監(jiān)測范圍，他們就在這一范圍內(nèi)過濾公司的所有電子郵件，查看員工和客戶之間的交集。

Demirjian表示：“計(jì)算機(jī)取證在揭露惡意行為舉措方面的作用越來越重要。隨著相關(guān)技術(shù)愈發(fā)先進(jìn)，人們將更難隱瞞自己的錯(cuò)誤行為，更加需要為自己的所作所為負(fù)責(zé)。”他同時(shí)補(bǔ)充道，軟件運(yùn)行的能力和兼容性都將不斷上升“使用商業(yè)軟件輔助取證的速度將更快，費(fèi)用也將變低，取證工程師可以因此完成更多任務(wù)。”

TechFusion的“軍功章”也不少，最近的一起案例就是臭名昭著的Tom Brady“泄氣門”事件（美國超級(jí)碗四分衛(wèi)球員Tom Brady所在的New England Patriots球隊(duì)在一場比賽中故意使用充氣不足的橄欖球，獲取不公優(yōu)勢(shì)，而Tom Brady事先對(duì)此知情）。當(dāng)NFL（美國橄欖球國家聯(lián)盟）要求檢查Tom Brady的手機(jī)信息時(shí)，他聲稱自己已經(jīng)不用手機(jī)了。但那些信息之后被找到了。TechFusion在另一起案件中同樣功不可沒，橄欖球星Aaron Hernandez此前涉嫌謀殺Odin Lloyd，TechFusion在案件調(diào)查過程中協(xié)助從謀殺當(dāng)晚的監(jiān)控錄像中尋找線索。

計(jì)算機(jī)取證是電子取證科學(xué)的一個(gè)分支，涉及電腦和數(shù)字儲(chǔ)存媒介中的數(shù)據(jù)搜尋。電腦取證的目標(biāo)是從取證學(xué)的角度，嚴(yán)格地篩查電子媒介，試圖找出，保存，修復(fù)，分析和重現(xiàn)事實(shí)。其中不僅包括一些與數(shù)據(jù)還原相似的技術(shù)和準(zhǔn)則，而且還有一些額外的標(biāo)準(zhǔn)，令計(jì)算機(jī)取證符合法定的審計(jì)跟蹤流程。

——Alfred Demirjian, CEO, TechFusion

Tanium的首席安全架構(gòu)師Ryan Kazanciyan表示，取證就是重構(gòu)和分析一臺(tái)設(shè)備或一個(gè)系統(tǒng)先前使用數(shù)字信息的方式。從最基礎(chǔ)的層面而言，所謂的數(shù)字證據(jù)來源于以下幾方面：端點(diǎn)中心化數(shù)據(jù)（例如硬件內(nèi)容或儲(chǔ)存內(nèi)容），網(wǎng)絡(luò)中心化數(shù)據(jù)（例如，通過一個(gè)特定的設(shè)備或網(wǎng)站的所有網(wǎng)絡(luò)流量），應(yīng)用中心化數(shù)據(jù)（例如，相關(guān)程序或服務(wù)使用的日志或其他記錄）。

一名取證調(diào)查人員在取證過程中可能需要解決一些問題，而這些特定的問題很大程度上成為了他們工作的驅(qū)動(dòng)力。以下列舉了一些通常會(huì)使用取證的用例：

一位執(zhí)法人員逮捕了一名涉嫌國內(nèi)恐怖主義的相關(guān)人員，希望得到他所有的通訊記錄、網(wǎng)絡(luò)活動(dòng)情況、以及所有有關(guān)其現(xiàn)有犯罪或有計(jì)劃犯罪的記錄。

一起入侵調(diào)查的案件表明，外部入侵者進(jìn)入了公司的一臺(tái)服務(wù)器，這臺(tái)服務(wù)器存放著公司敏感的知識(shí)產(chǎn)權(quán)信息。分析師都希望可以找出入侵的最初目的，數(shù)據(jù)是否流出或遭遇失竊，系統(tǒng)是否遭受了惡意攻擊活動(dòng)（例如植入惡意軟件）。

　　計(jì)算機(jī)取證適用于何種情況，它的運(yùn)作原理又是什么？

Kazanciyan認(rèn)為，傳統(tǒng)的計(jì)算機(jī)取證需要使用特定的軟件，制作出主體系統(tǒng)（subject system）硬盤和物理儲(chǔ)存的鏡像，然后自動(dòng)轉(zhuǎn)換成人類可以識(shí)別的表格。調(diào)查人員可以由此檢測搜尋特定類型的文件或是應(yīng)用數(shù)據(jù)（例如電子郵件或是網(wǎng)頁瀏覽記錄），即時(shí)數(shù)據(jù)（例如，證據(jù)獲取時(shí)正在運(yùn)行的進(jìn)程或打開的網(wǎng)絡(luò)連接），以及一些歷史活動(dòng)的殘存部分（例如，刪除掉的文件或是近期的活動(dòng)）。

Kazanciyan稱，刪除的數(shù)據(jù)或歷史活動(dòng)是否可以恢復(fù)取決于一些因素，但是總體而言和時(shí)間有關(guān)，也和系統(tǒng)的運(yùn)行量有關(guān)。

這種計(jì)算機(jī)取證的方法對(duì)專注的，小規(guī)模的調(diào)查尚且適用，但是對(duì)于企業(yè)級(jí)的任務(wù)來說就未必如此了，因?yàn)闀r(shí)間和取證源頭的密集度都過高，例如橫跨企業(yè)環(huán)境中的上千個(gè)系統(tǒng)進(jìn)行搜索，超出了它的承受范圍。

“因此,在過去十年間，那些可以在實(shí)時(shí)系統(tǒng)中幫助提升研究和證據(jù)分析進(jìn)度的技術(shù)開始繁榮起來，并由此形成了EDR(端點(diǎn)檢測與響應(yīng))市場”他說道。最典型的EDR產(chǎn)品通常會(huì)兼具以下特性：

持續(xù)記錄關(guān)鍵端點(diǎn)追蹤（比如執(zhí)行過程或網(wǎng)絡(luò)連接），以此立即提供某一系統(tǒng)的活動(dòng)時(shí)間線。這跟飛機(jī)上的黑匣子記錄儀較為相似。有了這種追蹤技術(shù)，通過系統(tǒng)的原始數(shù)據(jù)來源重建歷史事件就變得不那么必要了。但在入侵已經(jīng)發(fā)生的環(huán)境內(nèi)部署調(diào)查技術(shù)就可能不那么有效了。

分析和調(diào)查系統(tǒng)的原始取證源——比如，在正常的系統(tǒng)操作過程中，操作系統(tǒng)自己保存的東西。以規(guī)?；姆绞结槍?duì)文件，進(jìn)程，日志項(xiàng)以及其他可能的證據(jù)進(jìn)行快速和目標(biāo)化搜索的能力。它可以充當(dāng)一個(gè)持續(xù)事件記錄儀，也可以拓寬調(diào)查的范圍，找到一些用其他方式很可能無法保存的信息。

告警于檢測。EDR產(chǎn)品可以主動(dòng)收集和分析上文中提到的數(shù)據(jù)的源，并將其和結(jié)構(gòu)化的威脅情報(bào)威脅（例如IoC），規(guī)則和其他檢測惡意行為的啟發(fā)式方案進(jìn)行比較。

從individual hosts of interest收集證據(jù)。在調(diào)查人員指定需要進(jìn)一步檢測的系統(tǒng)后，他們會(huì)跨越整個(gè)主體系統(tǒng)的歷史追蹤(如果得以記錄和保留的話），硬盤中的文件和內(nèi)存，收集分析“深入”的證據(jù)。他說，相比綜合的取證成像，大部分組織更偏愛對(duì)實(shí)時(shí)系統(tǒng)進(jìn)行遠(yuǎn)程應(yīng)急分析，不受地點(diǎn)限制。

他說：“取證領(lǐng)域大部分的創(chuàng)新都集中在簡化和自動(dòng)化這些進(jìn)程，確保它們?cè)谧畲蠛妥顝?fù)雜的網(wǎng)絡(luò)中也可以運(yùn)行，將其運(yùn)用于主動(dòng)攻擊檢測和有效的事件響應(yīng)中。”

　　取證技術(shù)對(duì)事件響應(yīng)十分重要

Syncurity的主席兼CEO John Jolly表示，取證技術(shù)在事件響應(yīng)流程中十分重要，有利于企業(yè)做出正確和及時(shí)的響應(yīng)。例如，如果一家公司正在處理一起釣魚攻擊事件，取證過程就可以幫助確定一些信息，比如誰點(diǎn)擊了釣魚鏈接，誰落入了攻擊者的圈套，有哪些信息泄露了或遭到了竊取。

他說，這些可以幫助安全團(tuán)隊(duì)策劃合適的響應(yīng)機(jī)制，評(píng)估上報(bào)需求。Jolly說：“例如取證的過程很可能會(huì)幫助你發(fā)現(xiàn)有10個(gè)用戶點(diǎn)擊了釣魚鏈接，但是釣魚行為沒有成功因?yàn)閻阂庥蛎呀?jīng)被封鎖了。

倘若公司的IP地址遭到竊取，無論是內(nèi)部攻擊者還是外部攻擊者所為，取證技術(shù)可以幫助建立事件發(fā)生的時(shí)間線，執(zhí)法機(jī)構(gòu)可以以此為依據(jù)，調(diào)查或起訴攻擊者。Jolly說：“在這種情況下，去取證流程符合并保存了拘留所需的證據(jù)鏈?zhǔn)鞘种匾摹?rdquo;

Jolly說，這起釣魚事件的一個(gè)關(guān)鍵因素是，公司提前做好了釣魚攻擊的響應(yīng)機(jī)制和取證過程，并且將它們?cè)谝粋€(gè)事件響應(yīng)平臺(tái)上實(shí)例化，這樣它們就變得可復(fù)制，可預(yù)測，可測量。

他說，不同情況下的流程規(guī)模也有所不同，不同情況取決于攻擊對(duì)象，成功竊取或未成功竊取信息的價(jià)值，以及是否遵守互聯(lián)網(wǎng)政策和內(nèi)部管理要求。

“分析師和安全團(tuán)隊(duì)隨后簡單地遵循了已有的劇本，給出了他們的分析，并且在完成響應(yīng)進(jìn)程后同步建立了取證記錄，”Jolly補(bǔ)充道。“公司需要可預(yù)測和可重復(fù)的響應(yīng)機(jī)制，因?yàn)檫@樣可以節(jié)省時(shí)間和金錢，通過盡快停止不可避免的攻擊行為減小攻擊的影響。”

他說，建立一個(gè)可審計(jì)的進(jìn)程同樣可以讓公司從中受益——他們得以檢查流程并且不斷提升這一進(jìn)程，還可以向內(nèi)部利益相關(guān)人員和外部的監(jiān)管機(jī)構(gòu)證明，他們采用了合理的標(biāo)準(zhǔn)且有最佳實(shí)踐。

當(dāng)說到計(jì)算機(jī)取證未來會(huì)是什么樣的，Demirjian稱，它會(huì)永脫離它現(xiàn)有的形式。“它會(huì)更加專注于防護(hù)。它將跟著數(shù)據(jù)恢復(fù)的進(jìn)化方式一起進(jìn)化。一旦人們開始弄丟數(shù)據(jù)，他們就會(huì)開始使用遠(yuǎn)程備份來防止數(shù)據(jù)丟失。使用計(jì)算機(jī)取證也會(huì)發(fā)生同樣的事情。公司會(huì)確切落實(shí)計(jì)算機(jī)取證以防有事發(fā)生，這樣他們就有數(shù)據(jù)和方法可以追蹤出到底發(fā)生了什么。他們不再需要維護(hù)硬件了。”

他說企業(yè)們會(huì)使用一個(gè)服務(wù)器，可以記錄所有操作和功能，可以簡單請(qǐng)求回顧日志。所有信息都都以取證的方式進(jìn)行儲(chǔ)存，以確?？煽繜o誤。

　　取證技術(shù)的一個(gè)案例

在Tanium提供的一個(gè)案例中，企業(yè)的網(wǎng)絡(luò)檢測設(shè)備會(huì)發(fā)出警告，表明工作站“Alice”和攻擊者“Eve”的IP地址發(fā)生了交互。

一名調(diào)查人員首先需要調(diào)查Alice為什么會(huì)和Eve的IP地址發(fā)生交流。主機(jī)是否遭遇了惡意軟件的攻擊嗎？如果答案是肯定的，那這種惡意程序是如何進(jìn)入系統(tǒng)的，怎么做去找到相似的受影響系統(tǒng)？Alice曾經(jīng)是否進(jìn)入過其他系統(tǒng)或源，這起攻擊事件是否只跟一臺(tái)主機(jī)有關(guān)？Eve的終極攻擊目標(biāo)是什么？

如果Alice已經(jīng)裝有EDR產(chǎn)品，可以獲得連續(xù)的記錄，那么調(diào)查人員很可能首先會(huì)檢查它的追蹤源，搜索Eve的IP地址（10.10.10.135）。這樣就可以確定每一個(gè)連接事件中的一些上下文信息（時(shí)間，關(guān)聯(lián)過程/惡意軟件，關(guān)聯(lián)用戶賬號(hào)）。

分析人員通過Tanium Trace在AlphaPC上進(jìn)行了一次“深入追蹤”演示，來調(diào)查Eve所屬的IP地址。

下一步，分析人員可以根據(jù)這些發(fā)現(xiàn)以時(shí)間為邏輯進(jìn)行分析，找出在惡意軟件進(jìn)入主機(jī)之前，以及相關(guān)惡意活動(dòng)發(fā)生之前（可能是由Eve人為操控的，也可能是自動(dòng)進(jìn)行的）發(fā)生的事件。例如，調(diào)查可能會(huì)發(fā)現(xiàn)，惡意軟件附著在文檔內(nèi)，通過電子郵件進(jìn)入主機(jī)。在主機(jī)遭遇感染后，追蹤過程可能已經(jīng)記錄下：Eve通過惡意軟件竊取用戶身份認(rèn)證，從側(cè)面進(jìn)入Alice企業(yè)環(huán)境中的其他系統(tǒng)。

該惡意Excel文檔釋放了一個(gè)Z4U8K1S8.exe惡意程序。攻擊者隨后通過C&C會(huì)話與系統(tǒng)進(jìn)行交互。Tanium Trace記錄了這一由攻擊者發(fā)起的過程和活動(dòng)。

如果Alice的系統(tǒng)沒有運(yùn)行EDR“飛行記錄儀”，研究人員仍然可以按時(shí)間順序采用系統(tǒng)原始的證據(jù)源。然而，這會(huì)耗費(fèi)更多的精力，而且很可能會(huì)遺漏其中的時(shí)間點(diǎn)。

　　分析人員之后將根據(jù)調(diào)查中獲得的信息創(chuàng)建一個(gè)IOC

當(dāng)Alice的系統(tǒng)將此攻擊時(shí)間設(shè)置為應(yīng)急類型后，調(diào)查人員可能有大量的操作殘留記錄或描述Eve惡意行為的IOC——例如，她的攻擊工具，策略和進(jìn)程。這些可以用來搜索整個(gè)公司的取證證據(jù)和telemetry，找出受攻擊者影響的其他系統(tǒng)。在此基礎(chǔ)之上可以就新發(fā)現(xiàn)的主機(jī)，進(jìn)一步進(jìn)行深入的取證分析。這一過程將不斷重復(fù)，直到調(diào)查人員認(rèn)為他們已經(jīng)全面地了解了這起事件，了解攻擊的根源及其影響，并做好了修復(fù)的準(zhǔn)備。