原创:弘连网络
电子数据证据远程勘验在日常的取证工作中必不可少,但由于存在信息安全差、数据可能被篡改的问题。
取证过程中,有明确的取证要求来确保取证过程的规范显得至关重要,今天我们就一起来回顾下遇到远程勘验的取证场景,正确的取证流程是什么呢?
01准备工具工具准备作为取证前期准备的重要部分之一,不可马虎。主要包含以下几点:
外置录像设备;
不小于目标容量的存证盘(存储内存镜像、磁盘镜像);
建议准备软件:屏幕录像软件,远勘取证工具(如弘连网镜互联网取证、网探Windows,网探Linux等),哈希校验工具;
取证过程确保网络连接稳定可靠;
如无特殊说明,所有文件保存在存证盘中。
服务器一般的取证重心集中在系统日志、数据库、网络流量数据、应用源代码等。
打开外置录像设备,确保取证过程清晰可见;
进行时间校验,并打开屏幕录像软件 ;
远程主机外部网络信息记录(如域名、路由、服务器开放情况);
远程主机操作系统信息记录(系统基本信息、操作日志等);
远程主机网站数据及数据库固定;
远程主机存储介质和文件固定;
取证结束,检查相关文件及数据的哈希值,截图展示在录像中,保证数据完整;
结束屏幕录像,检查录像文件哈希值;
关闭外置录像机;
网站一般的取证重心集中在静态网页、动态网页、富媒体、网站镜像等。
打开外置录像设备,确保取证过程清晰可见;
进行时间校验,并打开屏幕录像软件 ;
环境建立和基本信息获取(服务器IP地址、协议等);
网站获取参数和环境参数记录;
网站数据获取:静态网页、动态网页、媒体文件等;
取证结束,检查保存的网页固定、网站镜像、数据文件的哈希值,截图展示在录像中;
结束屏幕录像,检查录像文件哈希值;
相关检验记录;
远程主机获取的数据、数据文件、镜像文件、对应的哈希值、对应的屏幕录像文件;
外置录像机的全局录像文件;
取证工作必须严谨和规范,我们往往需要掌握各种各样的取证方式,从最简单的软件使用,到进一步的原理了解,这对我们取证从业者来说带来了更多的挑战,希望大家遇到电子数据证据远程勘验的取证场景时,能够有一个清晰明了的流程思路,希望本文能给大家带来帮助!
