作为调查人员，这些安全专家们按图索骥。就让我们从一系列案例中，窥探商业软件是怎么帮助技术人员搞定犯罪取证的吧。

老板接到线报，有员工打算离职，还想带走尽可能多的客户到新公司。于是，公司引入计算机取证专家检查该员工的网上活动，在与该员工正面对峙前找出证据。

阿尔弗雷德·德米尔希安，计算机取证公司TechFusion总裁兼CEO，从业30年间见过了各种情况，从员工劫持邮箱报复前公司，到上班时间滥用互联网。商业软件让他的公司得以深挖雇员社交媒体发文，或者跟踪他们的GPS定位——如果他们拿着公司配发的智能手机的话。

客户会给出一个日期范围，TechFusion就能检查该时间段内公司的所有邮件，查看雇员与客户间的互动。

计算机取证在暴露恶意行为上将发挥更为重要的作用。随着取证技术的发展，人们隐藏恶意行为的意图将越来越难以得逞，犯事儿必被纠。

德米尔希安入行以来，技术已取得了长足进步，从利用操作系统命令，发展到了基于软件的。“有使用工具的经验更加重要，然后才是对目标系统的了解。”

现在的软件，兼容性和功能都更强更广泛了。“更快更便宜，让取证工程师可以执行更多任务。”

TechFusion参与过多起著名案子，最近的一起是新英格兰爱国者队四分卫汤姆·布雷迪那臭名昭著的手机。NFL(美国国家橄榄球联盟)要求检查他的短信时，布雷迪说自己已经不用手机了。然而，这些短信后来被找到了。奥丁·罗伊德被谋杀的当晚，TechFusion也被赋予了审查后来在狱中自杀的嫌犯，爱国者队近端锋双子星之一，艾伦·赫尔南德斯住所的监控录像。

计算机取证是数字鉴证科学的一个分支，围绕计算机和数字存储媒介中找到的证据展开。计算机取证的目标，就是以具有法律证明力的方式审查数字媒体，识别、保存、恢复、分析和提出有关数字信息的事实和见解。这里面涉及的技术和原则与数据恢复类似，但附加了额外的指南和实践，用于创建合法的审计轨迹。

瑞恩·卡赞西恩，Tanium首席安全架构师，称取证是重构和分析数字证据的过程，用以确定某设备或系统之前的使用情况。最基础的层次，也就是所谓的数字证据，会以终端数据(比如硬盘或内存中的内容)、网络数据(比如流经特定设备或网络的完整数据包抓取)，或应用数据(比如某程序或服务使用相关的日志或其他记录)的形式出现。

取证调查员的工作流，很大程度上由他们试图回答的具体问题驱动。需要取证的此类用例通常包括：

• 司法官员逮捕了疑为国内恐怖分子的嫌犯，希望能发现与之前或计划的犯罪行为相关联的全部通信记录、互联网活动和数据。
• 数据泄露调查发现外部攻击者侵入存储了敏感知识产权的企业服务器，分析师希望确定初始接入点，是否有数据被盗，系统是否遭受恶意侵害(比如恶意软件植入)。

计算机取证的使用和起效方式

卡赞西恩说，传统计算机取证需要利用专用软件对目标系统的硬盘和物理内存做镜像，并自动解析成人类可识别的格式。这样，调查员便可以检索特定类型的文件或应用数据(比如电子邮件或Web浏览器历史)，某个时间点的数据(比如证据收集时的活动进程或开放网络连接)，还有历史活动残余(比如被删除的文件或最近的活动)。

被删除数据和历史活动的恢复程度，受多个因素的影响，但基本上随时间递减，且与系统中活动的规模的相称。

这种计算机取证方法对小范围集中调查很适合，但对企业规模的任务而言就太过耗时耗资源了，在企业环境中数千台主机上狩猎可不是闹着玩的。

因此，过去10年里，助力“活动”系统上快速证据检索和分析的技术，得到了长足发展，并筑成了终端检测和响应(EDR)市场的根基。EDR产品通常提供的功能组合有：

• 持续记录关键终端遥测数据。比如执行的进程或网络连接等，提供系统上活动发生的时间线，类似于飞机上的黑匣子。这些遥测数据，可以缓和通过系统原生证据源重构历史事件的需要。不过，如果在入侵发生后才部署调查技术，这也没多大用处。
• 分析检索系统原生证据源。比如，正常系统操作中被操作系统自己保存下的东西。这里面包括了对文件、进程、日志条目、内存数据和系统上其他证据的快速针对性检索能力。它是持续事件记录器的补充，可用于拓宽调查视野，找出可能被掩盖的其他线索。
• 报警和检测。产品可以主动收集分析上面提及的各种数据源，将之与结构化威胁情报(比如IoC)、规则或其他用于检测恶意活动的启发法进行比较。
• 从嫌疑主机上收集证据。当调查员发现需要进一步检查的系统，他们可能会对整个系统的历史遥测数据(如果有的话)、磁盘文件和内存做个“深入的”证据收集和分析。大多数公司更喜欢对活动系统进行远程分类分析，而不是全面的镜像采证。

取证领域的大多数创新，都集中在简化和自动化这些过程上，确保这些过程即便在大型复杂网络中也能执行，并能应用在主动攻击检测和有效事件响应上。

取证是事件响应的关键

Syncurity总裁兼CEO约翰·乔利说，取证对事件响应过程非常重要，常规和紧急响应中，取证都很有帮助。举个例子，公司处理成功网络钓鱼攻击事件时，取证过程就可以用于确立各种事实，比如谁点击了恶意链接，谁被成功钓鱼/入侵了，哪些信息被盗了等等。

这能帮助安全团队安排合适的响应，以及评估报告要求。“比如说，取证过程可以帮你确定有10个用户点击了恶意链接，但钓鱼并未成功，因为恶意域名以及被封锁了。”

公司知识产权被盗的情形，无论是内部人还是外部攻击者作案，取证都能帮助建立具体的时间线和事件序列，可供司法部门进行调查或起诉攻击者。“这种情况下，取证必须以符合并展示出证据性保管链的方式进行。”

网络钓鱼情景中的一个关键元素，是公司要有网络钓鱼攻击响应及取证过程预案，并在事件响应平台中将预案实例化，让处理过程可重复、可预测、可衡量。

处理过程要囊括对不同场景的合理升级，针对被网络钓鱼的对象、目标数据的价值做出调整，符合内部策略和外部监管需求。

然后，分析师和安全团队就可以简单地按既定手册走了，执行他们的分析，同时随着响应过程的完成建立起取证记录。公司企业需要可预测可重复的响应过程，因为这能节省时间、金钱，通过更快阻止不可避免的损失来减少攻击的影响。

建立起一套可审计的过程，还能让公司企业对过程进行评估，并持续改进，向内部利益相关者和外部监管机构证明，自己用的是最佳实践，执行的是恰当的监管标准。

取证将会更注重预防，会按数据恢复的进化方式走。人们开始遗失数据的时候，也就开始采用远程备份来预防它了。对取证来说也一样。公司企业将会设置取证应用，这样在事件发生时就有可以追踪的数据和能力了。他们将不再需要保存各种硬件。

他说，公司企业会采用某种服务，记录所有的动作和功能，只需要简单地请求审查日志就行了。所有鉴证信息都会被恰当保存，确保可信。

取证案例

Tanium提供了一个例子：网络监视设备发出警报，指示公司某台工作站Alice与黑客Eve的互联网主机IP地址通信。

调查员首先要找出为什么Alice会与Eve的IP地址通信。难道主机感染了恶意软件？如果真感染了，恶意软件是怎么进来的？有哪些事实可以用来发现同样被感染的其他系统？Alice被用来访问其他系统或资源了吗？该事件仅限于单个主机？Eve的最终目标是什么？

如果Alice已经安装了提供持续记录功能的EDR产品，调查员便可以先审查其遥测反馈，搜索Eve的IP地址(10.10.10.135)。这么做可以确定每个连接事件的上下文(时间、相关进程/恶意软件、相关用户账户)。

分析师用 Tanium Trace 对 AlphaPC 进行深入调查，找寻Eve所属IP地址的相关信息。

接下来，分析师可以根据这些发现，进行时间线分析，确定恶意软件植入主机前的事件，还有相关的恶意活动(可能是Eve手动执行的，也可能是自动化的)。比如说，调查可能揭示出恶意软件是通过包含恶意附件的恶意电子邮件侵入系统的。遥测可能已经记录下感染后Eve使用恶意软件所做的一系列动作，比如盗取用户凭证，尝试横向移动到Alice企业环境中的其他主机上等。

恶意Excel文档释放出Z4U8K1S8.exe。攻击者通过命令与控制会话与系统互动。Tanium Trace 记录下攻击者执行的过程和动作。

即便Alice的系统没有EDR“飞行记录仪”，调查员依然可以用系统原生证据源，拼装出上述时间线。不过，依靠原生数据源拼装的方法会耗去更多时间精力，留下时间线空白的概率也大得多。

利用调查中识别出的信息，分析师便可产生出IoC了。

在Alice的系统上对事件详细分诊后，调查员可能手握大量可描述Eve花招的事实或IoC，比如他的工具、战术和规程。这些就可以用在对整个企业环境的检查上了，用来发现攻击者染指的其他系统。这又引向了对新发现主机的进一步深入取证分析。在调查员认为已经完全确定了事件范围，理解了其根源和影响，且准备好修复之前，该过程都会一直重复。