IT新职业：什么是计算机取证？如何成为一名计算机取证分析师？

　　通过对 Endgame（现供职于 Facebook）的高级恶意软件研究员 Amanda Rousseau 的采访，了解有关网络取证职业的更多信息，她的职业生涯始于在国防部网络犯罪中心进行计算机取证调查。

　　计算机取证是调查和分析技术的应用，以适合在法庭上出示的方式从特定计算设备收集和保存证据。计算机取证的目标是执行结构化调查并维护记录在案的证据链，以准确找出计算设备上发生的事情以及谁对此负责。

　　计算机取证——有时被称为计算机取证科学——本质上是根据法律合规指南进行数据恢复，以使信息在法律诉讼中可接受。术语上，数字取证和网络取证通常用作计算机取证的同义词。

　　数字取证从以保持信息完整性的方式收集信息开始。然后，调查人员分析数据或系统以确定它是否被更改、如何更改以及谁进行了更改。计算机取证的使用并不总是与犯罪联系在一起。取证过程还用作数据恢复过程的一部分，以从崩溃的服务器、故障驱动器、重新格式化的操作系统 (OS) 或系统意外停止工作的其他情况收集数据。

　　在民事和刑事司法系统中，计算机取证有助于确保法庭案件中提供的数字证据的完整性。随着计算机和其他数据收集设备在生活各个方面的使用越来越频繁，数字证据——以及用于收集、保存和调查它的法医程序——在解决犯罪和其他法律问题方面变得越来越重要。

　　普通人永远看不到现代设备收集的大部分信息。例如，汽车中的计算机会在驾驶员不知情的情况下不断收集有关驾驶员何时刹车、换档和变速的信息。然而，这些信息在解决法律问题或犯罪方面可能是至关重要的，而计算机取证通常在识别和保存这些信息方面发挥作用。

　　数字证据不仅可用于解决数字世界的犯罪，例如数据盗窃、网络破坏和非法在线交易。它还用于解决物理世界的犯罪，例如入室盗窃、袭击、肇事逃逸和谋杀。

　　企业通常使用多层数据管理、数据治理和网络安全策略来确保专有信息的安全。如果数据受到调查，拥有管理良好且安全的数据可以帮助简化取证流程。

　　企业还使用计算机取证来跟踪与系统或网络危害相关的信息，这些信息可用于识别和起诉网络攻击者。企业还可以使用数字取证专家和流程，来帮助他们在自然或其他灾难导致系统或网络故障时恢复数据。

　　随着世界越来越依赖数字技术来实现生活的核心功能，网络犯罪正在上升。

　　

　　有多种类型的计算机取证检查。每一个都涉及信息技术的一个特定方面。一些主要类型包括：

　　数据库取证。检查数据库中包含的信息，包括数据和相关元数据。

　　电子邮件取证。电子邮件平台中包含的电子邮件和其他信息的恢复和分析，例如日程安排和联系人。

　　恶意软件取证。筛选代码以识别可能的恶意程序并分析其有效负载。此类程序可能包括特洛伊木马、勒索软件或各种病毒

　　内存取证。收集存储在计算机随机存取存储器 ( RAM ) 和缓存中的信息。

　　移动取证。检查移动设备以检索和分析它们包含的信息，包括联系人、传入和传出的文本消息、图片和视频文件。

　　网络取证。通过监控网络流量、使用防火墙或入侵检测系统等工具来寻找证据。

　　

　　调查员通常遵循标准程序，这些程序因调查的背景、被调查的设备或调查员正在寻找的信息而异。一般来说，这些程序包括以下三个步骤：

　　数据采集。必须以保持其完整性的方式收集电子存储信息。这通常涉及物理隔离被调查的设备，以确保它不会被意外污染或篡改。检查人员制作设备存储介质的数字副本（也称为取证图像），然后他们将原始设备锁在安全或其他安全设施中以保持其原始状态。调查是在数字副本上进行的。在其他情况下，公开信息可用于取证目的，例如 Facebook 帖子或 Venmo 对购买 Vicemo 网站上显示的非法产品或服务的公开收费。

　　分析。调查人员在无菌环境中分析存储介质的数字副本，以收集案件信息。在此过程中使用了各种工具来协助，包括 Basis Technology 用于硬盘驱动器调查的 Autopsy 和 Wireshark 网络协议分析器。鼠标摇动器在检查计算机以防止其入睡和丢失易失性内存数据时很有用，这些数据在计算机进入睡眠或断电时丢失。

　　推介会。调查人员在法律程序中展示他们的调查结果，法官或陪审团使用他们来帮助确定诉讼结果。在数据恢复情况下，取证调查人员会展示他们能够从受损系统中恢复的内容。

　　通常，计算机取证调查会使用多种工具来验证它们产生的结果。

　　调查人员使用各种技术和专有取证应用程序来检查他们为受感染设备制作的副本。他们搜索隐藏文件夹和未分配的磁盘空间以查找已删除、加密或损坏文件的副本。在数字副本上发现的任何证据都被仔细记录在调查报告中，并用原始设备进行验证，为涉及发现、证词或实际诉讼的法律程序做准备。

　　计算机取证调查结合使用技术和专家知识。一些常见的技术包括：

　　反向隐写术。隐写术是一种常用的策略，用于将数据隐藏在任何类型的数字文件、消息或数据流中。计算机取证专家通过分析相关文件包含的数据散列来逆转隐写术的尝试。如果网络犯罪分子将重要信息隐藏在图像或其他数字文件中，对于未经训练的人来说，前后看起来可能是一样的，但表示图像的底层哈希或数据字符串会发生变化。

　　随机取证。在这里，调查人员在不使用数字工件的情况下分析和重建数字活动。伪像是数字过程中发生的数据意外更改。人工制品包括与数字犯罪相关的线索，例如数据盗窃期间文件属性的更改。随机取证经常用于数据泄露调查，其中攻击者被认为是内部人员，可能不会留下数字工件。

　　交叉驱动分析。该技术关联和交叉引用在多个计算机驱动器上找到的信息，以搜索、分析和保存与调查相关的信息。将引起怀疑的事件与其他驱动器上的信息进行比较，以寻找相似之处并提供背景信息。这也称为异常检测。

　　实时分析。使用此技术，可以在计算机或设备运行时使用计算机上的系统工具从操作系统内部分析计算机。该分析着眼于易失性数据，这些数据通常存储在缓存或 RAM 中。许多用于提取易失性数据的工具要求计算机在实验室中以维护证据链的合法性。

　　恢复被删除文件。这项技术涉及在计算机系统和内存中搜索在一个地方被部分删除但在机器其他地方留下痕迹的文件碎片。这有时称为文件雕刻或数据雕刻。

　　从Python Forensics：A Workbench for Inventing and Sharing Digital Forensic Technology （Chet Hosmer）一书中可以找到有关计算机取证分析的更多信息。它展示了如何使用 Python 和网络安全技术来保存数字证据。

　　自 1980 年代以来，计算机取证已被执法机构以及刑法和民法用作证据。一些值得注意的案例包括：

　　安然。在最常被提及的会计欺诈丑闻之一中，美国能源、商品和服务公司安然公司在 2001 年破产前虚报了数十亿美元的收入，给许多员工和其他投资该公司的人造成了经济损失. 计算机取证分析师检查了数 TB 的数据以了解复杂的欺诈计划。该丑闻是 2002 年萨班斯-奥克斯利法案通过的一个重要因素，该法案为上市公司设定了新的会计合规要求。公司于2001年宣告破产。

　　谷歌商业机密盗窃。安东尼·斯科特·莱万多夫斯基 (Anthony Scott Levandowski) 是 Uber 和谷歌的前高管，他在 2019 年被指控犯有 33 项窃取商业机密的罪名。从 2009 年到 2016 年，莱万多夫斯基在谷歌的自动驾驶汽车项目工作，从受密码保护的公司服务器，下载了数千份与该项目相关的文件。据《纽约时报》报道，他离开谷歌并创建了自动驾驶卡车公司 Otto，该公司于 2016 年被优步收购。Levandowski 承认了一项窃取商业机密的罪名，并被判处 18 个月监禁以及 851,499 美元的罚款和赔偿。莱万多夫斯基于 2021 年 1 月获得总统特赦。

　　拉里·托马斯。托马斯于 2016 年射杀了 Rito Llamas-Juarez 托马斯，后来在他以假名 Slaughtaboi Larro 发布的数百条 Facebook 帖子的帮助下被定罪。其中一个帖子包括一张他戴着在犯罪现场发现的手镯的照片。

　　迈克尔杰克逊。调查人员使用了迈克尔杰克逊医生的 iPhone 中的元数据和医疗文件，这些文件显示医生康拉德默里给 2009 年去世的杰克逊开了致死剂量的药物。

　　米凯拉·穆恩。Munn 于 2016 年在她曼彻斯特大学宿舍的浴缸里淹死了她刚出生的婴儿。调查人员在她的电脑上发现了谷歌搜索，其中包含“在家堕胎”这一短语，这被用来对她定罪。

　　谋杀只是计算机取证可以帮助打击的众多犯罪类型之一。

　　

　　计算机取证已成为其自身的科学专业领域，并伴随课程作业和认证。根据 Salary.com 的数据，入门级计算机取证分析师的平均年薪约为 65,000 美元。网络取证职业道路的一些示例包括：

　　法医工程师。这些专业人员处理计算机取证过程的收集阶段，收集数据并准备进行分析。它们有助于确定设备是如何发生故障的。

　　法务会计师。该职位处理涉及洗钱和其他为掩盖非法活动而进行的交易的犯罪。

　　网络安全分析师。该职位负责分析收集到的数据并得出见解，这些见解以后可用于改进组织的网络安全策略。

　　计算机取证专业人员需要计算机科学、网络安全或相关领域的学士学位——有时还需要硕士学位。该领域有多种认证，包括：

　　网络安全研究所的网络安全取证分析师。此证书专为具有至少两年经验的安全专业人员而设计。测试场景以实际案例为准。

　　国际计算机调查专家协会的认证计算机法医检查员。该计划主要侧重于验证必要的技能，以确保企业遵循既定的计算机取证指南。

　　EC-Council 的计算机黑客取证调查员。该认证评估申请人识别入侵者和收集可在法庭上使用的证据的能力。它涵盖信息系统的搜索和扣押，使用数字证明和其他网络取证技能。

　　国际法医计算机审查员协会 (ISFCE)认证的计算机审查员。该法医检验员计划需要在授权的训练营培训中心接受培训，申请人必须签署 ISFCE 道德规范和职业责任。

　　通过对 Endgame（现供职于 Facebook）的高级恶意软件研究员 Amanda Rousseau 的采访，了解有关网络取证职业的更多信息，她的职业生涯始于在国防部网络犯罪中心进行计算机取证调查。

　　

　　您可以按照以下步骤成为计算机法证分析师：

　　获得学位和/或获得相关领域的经验。

　　从认证机构获得认证。

　　申请作为计算机取证调查员的空缺职位。

　　完成面试。

　　被聘为计算机取证调查员。

　　雇用后接受工作培训。

　　在美国劳工统计局的职业前景调查中，与计算机取证分析师最接近的两个职位描述是计算机系统分析师和信息安全分析师。 因此，我们将研究两者的职业前景。

　　从报告中 聘请计算机系统分析师 预计从9年到2018年将增长2028％，快于所有职业的平均水平。 大型企业和小型企业都进一步采用云计算，并且医疗保健环境中IT服务的使用不断增加，预计将增加对这些员工的需求。

　　在另一方面，在 雇用信息安全分析师 预计从32年到2018年将增长2028％，远快于所有职业的平均增长率。 这是因为将需要这些分析师来创建创新的解决方案，以防止黑客窃取关键信息或对计算机网络造成问题。

　　从以上两个职业预测中，您将看到随着世界变得计算机化和网络犯罪的存在，对法医计算机分析师的需求将非常高。

　　计算机取证分析师能赚多少钱？

　　根据美国劳工统计局的报告，5月88,740，计算机系统分析师的年薪中位数为2018美元。 换句话说，计算机分析师每小时的收入为42.66美元。 同时，信息安全分析师的年薪中位数为98,350美元。 也就是说，他们每小时的时薪为$ 47.28。

　　根据 Glassdoor，在美国，计算机取证分析师的全国平均工资为96,629美元。

　　另一方面， 薪级表 报告称，取证计算机分析师的平均年薪为72,019美元。 也就是说，他们的时薪为$ 27.64。

　　

　　通常，计算机法证分析师，审查员，调查员，专家和其他法证专业人员会为专门从事数字法证调查的执法机构和计算机法证公司工作。

　　以下是计算机取证专业人员可以在其中工作的工作场所列表：

　　金融服务组织-例如银行和会计师事务所。

　　法证计算公司和咨询公司。

　　政府机构和部门–国家和地区。

　　政府情报服务-例如，英国的政府通讯总部（GCHQ）。

　　IT和电信公司。

　　警察部队和执法机构，例如国家犯罪局（NCA）。

　　公共部门–包括卫生部门。

　　通常，计算机取证检查员通常每周工作一次。 每周工作时间从35到40。 但是，作为分析师，您将需要保持灵活性，因为确切的时间取决于您正在从事的作业或调查的类型。

　　例如，在紧急情况下，雇主可能要求法医计算机专家待命并且可以在晚上和/或周末工作。

　　另外，某些组织需要24 / 7保护套，并且工作人员必须处理呼叫轮换。 这是为了快速响应信息和网络安全或犯罪事件。

　　为了更好的研究，调查和分析，开发人员创建了许多计算机取证工具。 警察部门，执法和调查机构根据各种因素选择工具，这些因素包括但不限于预算和团队中的可用专家。

　　基本上，计算机取证工具也可以分为以下几类：

　　磁盘和数据捕获工具

　　文件查看器

　　文件分析工具

　　注册表分析工具

　　互联网分析工具

　　电子邮件分析工具

　　移动设备分析工具

　　Mac OS分析工具

　　网络取证工具

　　数据库取证工具

　　尽管如此，这里还是一些可供计算机分析人员使用的流行工具。 擅长单击任何一个，以了解更多信息。

　　SANS SIFT

　　坚

　　ProDiscover取证

　　Xplico

　　波动率框架

　　X-Ways法医

　　侦探工具包（+尸检）

　　包住

　　

　　举报/反馈