如果我抓到了WannaCry病毒的作者,我要怎么做才能定他的罪?
看到标题点进来的都是好汉!Wendy小编欣赏的就是你那份“舍我其谁”的凛然之风。
话说上期发了《三分钟带你快速看懂电子数据取证! | 打击网络犯罪必备知识》一文后,不少从事取证的小伙伴们感叹“以后再有人问我是干什么的,我就把这篇甩给他!” 哈哈,小编感受了到莫大的鼓舞。这个方兴未艾的行业涉及到多领域专业知识,确实很难解释清楚,所以你们以后就放心地交给我来解释吧!
本期内容是专门为正义凛然的你定制的假设命题,在讨论这个命题的过程中,你会摇身一变为集法学(美貌)和取证技术(智慧)于一身的勘查警官。
正文
抓到WannaCry勒索病毒的作者虽然是个小概率事件,但只要他还是个大活人,那就是有可能的。咱们自己备点知识武器,就等于增加打击网络犯罪的基数力量,指不定哪天真碰到了抡起袖子就可以上!就算抓不到WannaCry的作者,说不定能手刃一些其他的网络罪犯呢。
准备好了吗?我们开始了!
抓捕现场:
经过一段时间的排查你锁定了嫌疑人代号i-Cry(中文名:爱哭鬼),你已经提前向上级申请并获得搜查令,现在正带着警察同事在屋外布防,而i-Cry此时就在房间里面。这是你第一次勘察网络犯罪现场,能否成功地定下i-Cry的罪名全在于你能不能成功收集罪证了。
冲进去?等等!
你做好了准备工作吗?
一、制定现场方案
不错,看来是做足了工作,你对案件情况和嫌疑人都做了充分了解。
此刻,你的团队里除了常规队友外,你还配备了三种专人:
取证专家:负责现场电子证据的初步处理和提取固定。
记录人员:对整个犯罪现场进行360度连续回转拍照和录像,包括局部和细节的记录、嫌疑人的笔录;所有的一切要记录得清清楚楚,必须做到能还原现场的每个关键细节。
无关公民:案件的见证人(不能是公安司法人员)。
为最大程度地保证证据的完整性,行动之前你做好了预设方案,现在考察了现场环境后作出一些调整:
— 嫌疑人的网络拓扑是怎样分布的?
— 屋内的设备类型、数量、位置?
— 进去后是否可能破坏证据?
— 如何防止嫌疑人破坏证据?
— 会出现什么突发情况?如何预防?
确定一切都部署好了之后,你发出指令:冲进去!
“都举起手来!不准动!”
二、物理隔离人机
屋内有三个人,两个正坐在电脑面前,还有一个拿着手机打电话,其中一个试图继续点击鼠标。
“别动!”
此时要立刻“定”住他们,不能让他们多做一个动作,还记得电子数据的脆弱性吗?他们只要在键盘上多敲几下,或者拔掉电源,证据可能就消失了!(真实的案例,曾有嫌疑人在警察进来前将笔记本拿到天然气炉上烧毁)
与此同时,你的队友迅速封锁了整个计算机区域,立即将人、机、物品之间进行物理隔离。这里的物理隔离指的是让嫌疑人交出所有的通讯设备、远离所有的电子产品和任何可能存在记录的证据,并尽量将距离范围扩大,同时派专人监管控制,以防他们做出毁坏证据的行为,造成不可逆的后果。
隔离过程中还要专门注意两个问题:
1. 收起所有人的手机后,如果亮屏,请不要让手机熄屏,并立刻开启飞行模式。如果需要,接上电源避免关机。
2. 嫌疑人离开电脑后,警方也不要动电脑的鼠标、键盘和电源,还要对正在运行的界面拍照记录。
在隔离搜查的同时,你吩咐两个专员给嫌疑人做初步调查,询问案件情况、基本信息以及各种设备和加密项的密码等等,并做出了详细的记录。
三、现场保护搜查
当嫌疑人均在控制范围内后,接下来要在保护现场的基础上搜查物证。在查看各类设备连接及使用情况时,要避免任何更改系统设置、硬件损坏、数据破坏或病毒感染等情况的发生。你交代所有的人一定要小心谨慎,千万不能在网络区域进行误操作。
▍现场保护原则:一切维持现状!
开的不关
对于正在运行的设备不可以关机,一定要保证电源充足能继续正常运行。例如,桌上的打印机还在工作,就让其继续打印完所有材料。
注意!这台计算机黑屏,这并不代表它是关闭状态,千万不要直接拔掉电源。处于休眠状态的计算机,指示灯也可能不会亮,应该仔细聆听计算机是否有风扇运转的声音;另外还可以摸下主机和显示屏的温度,判断是否刚刚关闭。
关的不开
对于已经关闭的设备,不论是电脑、手机、打印机还是传真,都不要打开,按照常规流程封存。
必须关闭
关闭所有的录制设备,如监控摄像头、录音机等都必须立刻停止工作,这样做是为了防止覆盖之前的记录,方便后期从视频或录音中找到更多证据。
视情况定
网络是否要切断?
电脑上运行的程序是否要关闭?
这些都需要根据现场的情况确定,让随行的取证专家给出判断和指导。
确定现场保护工作无误,你拿出了一张清单……
▍现场搜查证据类别
记得要优先搜查嫌疑人身上(衣服、包)是否携带了以上物证,避免遗漏小型的存储卡等电子物证。
此外,虽然这是网络犯罪案件,常规物证依旧非常重要,不能仅仅将目光集中在电子数据上。指纹等生物印记、现场的书籍、打印的图片或草稿纸,这些传统证据必须一样不落地提取和保存。(在这里作出客观提醒,但本篇就不针对传统证据多做说明了)
四、证据提取固定
这个部分得靠专业取证的人来完成,你交代了随行的取证专家,将这个环节交由他来指挥和操作。
▍数据提取
只见他忙不迭地打开带来的工具箱,然后立刻在计算机上进行数据提取工作:
— 提取时间信息
— 提取屏幕信息
— 提取重要信息
— 在线分析提取
— 存储介质镜像
原来,电子数据分为动态数据和静态数据。
静态数据:没有和服务器数据库进行交互的数据,也就是计算机在电源关闭时的磁介质或电介质数据,常见的硬盘、USB等包含的数据也是静态数据。
动态数据:又称易失性数据,指当前计算机系统中正在运行的或留于内存中的数据,一旦关闭电源这些数据就会立刻丢失。
取证专家以上做的都是在提取动态数据,这些数据包含至关重要的信息。由于是在嫌疑人没有防备的情况下,缴获的计算机处于运行状态,其内存中的信息可能藏有关键罪证。
计算机运行时,内存会实时读取磁盘信息。像i-Cry这样的嫌疑人通常会给自己设置磁盘加密,这会给后期取证带来很多障碍,因此一定要把握住这个机会,利用内存直接获得磁盘信息,甚至获得所需的密钥都是有可能的。
针对现场的取证,一定要根据证据的稳定性来进行优先级顺序取证。易失性的数据必须首先提取,而后才是其他数据的提取。
提取完成之后,取证专家没有按常规方式正常关机,而是直接拔掉了电源(笔记本电脑拆掉电池)。这样一来就能让计算机保持它的原始状态,而不会在常规的关机中更改了系统的数据。
▍证据固定
对应上面清单所搜查到的证据,在取证专家根据现场分析提取必要数据后,他开始指导大家将所有证据固定起来。
电子设备的固定:对于台式计算机、笔记本电脑、手机等电子设备可以整机固定,以准备后续的检查和分析。
存储介质的固定:现场发现的移动硬盘、U盘等存储介质单独提取封存。
电子数据的固定:由取证专家提取到的易失性数据,没有实际载体的“无形”证据,经过专门的工具镜像到调查人员自带的存储介质中后进行固定。
看到没?以上过程记录专员一直在详细记录所有操作!
五、物证封存收缴
固定后封存是为了保护电子数据的完整性、真实性和原始性。
作为证据使用的存储媒介、电子设备和电子数据都必须在现场封存,而且整个封存过程还是要继续记录和拍照。当然,这些你早就了然于胸了。
哦,取证专家还叮嘱了,封存应该使用防静电、防水的材料,还要防止证据弯折,通讯设备要放在屏蔽箱内防止新的信息传输覆盖。
当一切严格按照法律程序和技术标准实施完毕,望了一眼被押上车的i-Cry,你满意地笑了:
“收队!”
总结
先复习!还记得上期讲的电子取证流程吗?
没错,今天的内容其实就是在讲解第一个环节——证据收集。这个环节在本篇讨论中又被分为5个步骤:
1. 制定现场方案
2. 物理隔离人机
3. 现场保护搜查
4. 证据提取固定
5. 物证封存收缴
以上每一步的出发点,都是为了保护证据。又由于电子证据太脆弱,太容易被改变、毁灭和丢失,所以这五个步骤都必须从计算机区域的角度来规划和实施,缺一不可。这需要比传统证据收集更加小心,因为嫌疑人“动动手指”,可能证据就没了,然后堂而皇之地逃过法律制裁。
相信聪明的你也发现了,取证的每一个环节都有好多问题值得探讨,而每一个问题又能深入研究更多的课题出来。这条正义的取证之路还很长,我们有太多需要学习和掌握的知识,但这都没关系,路再遥远,小编都会陪着你走下去。
相关阅读:
参考文献
[1] 刘浩阳, 李锦. 刘晓宇, 等. 电子数据取证[M]. 北京:清华大学出版社, 2015.
[2] 杨勇. 电子物证现场取证技术研究[J]. 科技学报, 2011.
[3] 郭威. 试论涉及电子证据刑事案件现场的取证[J]. 中国人民公安大学学报, 2004, 40(2).
[4] D. Brezinski, T Killalea. Guidelines for Evidence Collection and Archiving[J]. RFC Editor, 2002
[5] Technical Working Group for ECSI. Electronic Crime Scene Investigation: A Guide for First Responders[R]. National Institute of Justice, 2001
[6] Kristina Rose. Electronic Crime Scene Investigation: An On-the-Scene Reference for First Responders[R]. National Institute of Justice, Washington DC.,2001
完
想知道本期出镜的那个取证专家在电脑上先后进行了什么操作?带了什么工具?留言告诉小编,我才能决定要不要准备收集资料采访他的“现场纪实”。
其实,如果把这篇文章的理论基础作为论文,其标题应该是《关于现场电子取证的指导研究》,你Get到小编为你设计情景式学习的良苦用心了吗?
如果你喜欢,那就点下👍吧!