Ryan+Francis

有人悄悄告诉老板，某个员工可能会离职，对此，他想尽可能的把客户带走，带到他的新单位那里去。该公司引进了计算机取证专家，检查员工在网上的活动，在员工面前找出证据。

计算机取证公司TechFusion的总裁兼首席执行官Alfred Demirjian在他从业的30多年中，对这样的场景见多不怪——员工通过劫持电子邮件帐户滥用公司互联网，阴谋破坏自己以前的公司。商业软件支持公司深入研究员工的社交媒体博文和文本，或者如果他们有公司提供的智能手机，则可以通过GPS跟踪他们。

会给客户一定的期限，TechFusion可以通过公司电子邮件来查看员工与客户的交互。

Demirjian说：“计算机取证将在暴露人的恶意行为方面发挥更大的作用。随着该技术的不断进步，人们越来越难以隐瞒他们的不法行为，更容易让他们承担责任。”

自从Demirjian从业以来，技术已经日趋成熟。他说：“该行业从使用操作系统命令发展到基于软件的命令。与工具所应用的系统相比，现在更重要的是拥有使用工具的经验。”

他补充说，软件的兼容性和功能越来越强。他说：“它更快、更便宜。这让取证工程师能够执行更多的任务。”

TechFusion参与了一些著名的案例，最近的一個是新英格兰爱国者队的四分卫Tom Brady臭名昭彰的手机。当NFL要求检查他的文本时，Brady说他的电话丢了。后来找到了这些文本。TechFusion还负责审查Odin Lloyd当晚被杀害时在late-Aaron Hernandez家里拍摄到的监控录像。

计算机取证是数字取证科学的一个分支，涉及查找计算机和数字存储介质中的证据。计算机取证的目的是以可靠的取证方式检查数字媒体，旨在识别、保存、恢复、分析和呈现关于数字信息的事实和鉴定结果。这涉及数据恢复的类似技术和原理，还有创建合法审计跟踪的附加指导和举措。

计算机取证将在暴露人的恶意行为方面发挥更大的作用。随着该技术的不断进步，人们越来越难以隐瞒他们的不法行为，更容易让他们承担责任。

Tanium首席安全架构师Ryan Kazanciyan说，取证是重建和分析数字证据的过程，以确定某一设备或者系统以前是被怎样使用的。在最基本的层面上，所谓的数字证据可以采取以端点设备为中心的数据（例如硬盘或者内存中的内容）的形式，以网络为中心的数据（例如，采集通过某一设备或者网站的所有网络流量的完整数据包）的形式，或者以应用程序为中心的数据（例如与程序或者服务的使用相关的日志和其他记录）等形式。

取证调查员的工作流程主要是由他们要尝试回答的具体问题来推进的。通常需要使用取证的应用情形的例子包括：

一名执法人员逮捕了涉嫌国内恐怖主义的某个人，并希望找到与以前或者计划中的犯罪活动有关的所有通信记录、互联网活动和数据。

违规调查已经发现有证据表明外部攻击者访问了存有敏感知识产权的公司服务器。分析师希望确定最初的访问方式，有没有数据被访问或者被盗取了，以及系统是否遭受了任何敌对攻击（例如引入了恶意软件）。

它是怎样使用的，它是如何工作的？

Kazanciyan说，传统的计算机取证需要利用专门的软件来勾画出目标系统的硬盘和物理内存，并自动将其解析为人类可以识别的格式。这样，调查人员可以检查和搜索某类文件或者应用程序数据（例如，电子邮件或者网络浏览器历史）、时间点数据（例如，在取证时运行的进程或者开放的网络连接），以及历史活动留下的痕迹（例如，删除的文件或者最近的活动）。

他说，被删除的数据和历史活动在多大程度上能够被恢复取决于一些因素，但是随着时间的推移，一般会越来越难以恢复，并且与系统的活动程度有关。

Kazanciyan说，这种计算机取证方法仍然适用于集中的小规模调查，但对企业规模的任务来说太耗时，资源太密集，例如在企业环境中监控数千个系统。

他说：“因此，在过去十年中，能够在‘实际系统中快速搜索证据并进行分析的技术开始蓬勃发展，成为所谓的端点检测和响应（EDR）市场的基础。”EDR产品通常提供以下功能的组合：

关键端点设备远程监测的连续记录——例如，执行的过程或者网络连接，提供关于系统活动的随时可用的时间表。他说，这类似于飞机上的黑盒子。能够查看远程监测信息后，可以不用通过系统的本地证据源来重建历史事件。如果违规行为已经发生了，再把调查技术部署到环境中，这样做就没有什么用了。

分析和搜索系统的本地证据取证源，即在正常系统工作期间由操作系统自己保留的内容。这包括能够快速、有针对性地搜索文件、进程、日志条目、内存中遗留的证据，以及整个系统中的其他证据。这完善了连续事件记录器的应用，可用于扩大调查范围，并找到可能未被保留的其他线索。

警报和检测。产品可以主动收集并分析上述数据的来源，并将其与结构化威胁情报（例如，感染指标），以及旨在检测恶意活动的规则或者其他启发式内容进行比较。

对某个目标主机收集证据。当调查人员确定需要进一步检查系统时，他们可以对整个目标系统的历史远程监测（如果存在并进行了记录）信息、硬盘和内存上的文件上进行“深度”的证据收集和分析。他说，很多企业更倾向于尽可能地对实际系统进行远程分类分析，以代替全面的取证成像。

他说：“取证领域的创新主要集中在简化和自动化这些过程，确保即使在最大和最复杂的网络中也可以执行这些过程，并将其应用于主动攻击检测以及高效的应急响应上。”

取证对于应急响应至关重要

Syncyity总裁兼首席执行官John Jolly认为，取证对于应急响应过程至关重要，对常规响应和即时响应也很有用。例如，当公司处理一起成功的网络钓鱼攻击事件时，可以使用取证过程来形成事实，例如，谁点击了链接，谁被成功的钓鱼，成为受害人，以及实际访问或者盗走了哪些信息。

他说，这有助于安全部门计划适当的响应措施，并评估报告要求。Jolly说：“例如，取证过程会帮助您确定10个用户进行了点击，但网络钓鱼者并没有成功，因为恶意域名已经被锁住了。”

如果企业知识产权被内部人员或者外部攻击者偷走，出现这种事件时，取证过程将帮助执法部门确定具体时间和事件发生顺序，可以用来调查或者起诉攻击者。他说：“在这种情况下，取证过程必须以满足证据监管链的方式进行，并能够演示和保存监管链。”

Jolly说，在这种网络钓鱼场景中，一个关键因素是，该公司预先规划了对钓鱼攻击的响应和取证过程，并将其应用于事件响应平台，因此这个过程是可重复、可预测和可衡量的。

他说，这个过程还能够针对不同场景适当地进行演绎，例如，谁被钓鱼攻击了、被盗走的东西有没有价值、是否符合内部政策和外部监管要求。

Jolly补充说：“分析和安全部门只需按照既定的规程进行分析，完成响应过程的同时建立好取证记录。公司需要可预测和可重复的响应，因为这节省了时间、金钱，并通过尽快阻止不可避免的攻击来减轻攻击的影响。”

他说，建立过程并使其可以审计，会让企业受益匪浅——他们能够随着时间的推移来衡量过程并进行改进，并且还向内部股东和外部监管机构表明他们正在使用最佳实践，并按照适当的维护标准进行操作。

当被问及计算机取证的未来发展时，Demirjian说：“以后绝不会是现在这种方式。未来会更加注重预防。数据恢复的方式将会发生变化。一旦人们开始丢失数据，他们就开始使用远程备份来防止数据丢失。取证也会同样如此。企业将实施取证应用程序，如果发生事故，他们凭借数据，能够跟踪发生了什么。他们将不再需要保留硬件。”

他说，这些企业将采用记录所有操作和功能的服务，并且只需要申请查看日志即可。所有信息将被取证存储，以确保可靠性。

取证的例子

Tanium提供了一个实例，网络监视设备发出警报，表明企业工作站“Alice”与攻击者“Eve”相关联的互联网主机的IP地址进行了通信。

调查人员首先需要弄清楚为什么Alice与Eve的IP地址进行了通信。主机是否感染了恶意软件？如果是这样，它是怎样进入系统的，可以利用哪些留下的痕迹来找到同样受影响的系统？Alice曾经访问过其他系统或者资源吗，或者事件只是发生在一台主机中？Eve的最终目标是什么？

如果Alice已经采用了能够提供连续记录功能的EDR产品，那么，调查人员可能会首先查看其远程监测信息并搜索Eve的IP地址（10.10.10.135）。这可以识别每一连接事件的上下文环境（时间、相关进程/恶意软件、关联的用户帐户）。（图1）

分析师通过Tanium Trace对AlphaPC进行深度分析，调查属于Eve的IP地址。

然后，分析师可以根据这些发现，进行时间轴分析，以确定恶意软件入侵主机之前的事件，以及与之相关的恶意活动（可能由Eve“人工”推动，也可能是全自动的）。例如，调查可能表明，恶意软件是通过使用了含有恶意软件文档的恶意电子邮件引入系统的。被感染后，远程监测会记录Eve使用恶意软件窃取用户的凭据，记录她试图访问Alice公司环境中与之相连的其他系统。（图2）

恶意Excel文档释放了恶意软件Z4U8K1S8.exe。然后，攻击者通过命令和控制会话过程与系统进行交互。Tanium Trace记录攻击者执行的进程和活动。

如果Alice的系统没有运行EDR“飞行记录仪”，调查员仍然可以使用系统的本地证据源，得出与前面总结的相同的时间轴事件。但是，这需要更大的投入，在时间轴上更有可能出现缺口。（圖3）

然后，分析师将根据调查中确定的信息制定IOC（感染指标，Indicators of Compromise）。

调查了Alice系统中出现的事故后，调查人员可能会有许多描述Eve攻击手段的大量遗留证据或者感染指标，例如，她的工具、策略和程序。这些可用于搜索整个企业的取证证据和远程监测记录，以期发现有哪些其他系统也被攻击者攻击了。然后对新发现的被攻击主机进行深入取证分析。该过程不断重复，直到调查员觉得他们已经充分地研究了事件，了解了其根源和影响，并准备进行修复。