数字取证概述与发展
1. 数字取证的基础介绍
1.1 工具引入与展示规则
在介绍或演示新工具前,会先描述工具的功能、用途及其与数字取证的相关性,部分情况还会提及工具的历史。介绍任务和工具后,会给出一个或多个命令行示例及命令输出(以等宽字体显示)。命令可能会重复展示不同变体或扩展用法,每个命令示例后会有段落描述执行的命令并解释输出结果。最后一段会提及数字取证调查中可能遇到的潜在问题、注意事项、风险及常见错误。
1.2 范围界定
主要聚焦于常见存储介质的取证获取及证据保存步骤。应用和操作系统数据的取证分析通常不在范围内,其他如网络取证获取、实时系统内存获取、云数据获取等也不在此列。企业级和旧版存储介质虽有提及但无实际示例,不过很多方法通常也适用于这些硬件。专有设备的获取也不在范围内,虽部分新设备可能可用书中工具和技术获取(若在 Linux 内核中表现为块设备),但未明确涵盖。
1.3 约定与格式
代码、命令及命令输出以等宽字体显示,无关输出可能会用省略号替换,长行则会换行缩进。无需 root 权限的命令以 $ 开头,需 root 权限的命令以 # 开头,为简洁起见,sudo 等提权操作并非每次都显示,部分章节会提供非 root 用户运行命令的更多信息。命令输出保留原始时间戳,不做修改,参考文献以页脚注释形式呈现。相关术语有特定指代,如调查人员工作站称为获取主机或检查主机,待获取的磁盘和镜像称为目标磁盘、可疑磁盘或证据磁盘,部分术语可互换使用。
2. 数字取证的历史发展
2.1 千禧年前(Pre - Y2K)
数字取证历史相对其他科学学科较短。20
