电子取证|像黑科技一样的电子取证技术( 二 )

JTAG分析
也就是十六制镜像。在电影里有这样的情节，一个犯罪团伙老大，联系了他的杀手后，就把手机砸碎，放厕所里，或者是丢水里。
以前看刘德华的一部电影，华仔是反派还是间谍身份，公安组在手机上安装了 GPS 定位，团伙老大等华仔接完电话后就让华仔把车扔对面水池里，与此同时，公百思特网安也失去的定位。
讲道理的话，手机砸碎和丢水里都是能够取证的，如果利用 JTAG 芯片分析技术，还是能做数据提取的，因为手机芯片上是记录了运动轨迹的百思特网。
iPhone，iPod 也都属于移动智能终端，遇到人为损坏的，特殊情况下，照样是能取的。
动态仿真
这个就比较前沿了，动态，仿真，有没有人能想到？安卓模拟器用过吧？这就是比较接近的，类似于模拟器进行手机仿真，比如你在微信群里讨论一些政治敏感的内容，如果拿到了你的手机，我是能够还原你聊天的一幕幕，对你聊天的场景进行模拟，你做了什么，发了什么图，就好像是我自身在进行对话。
还有就是，群里发送黄色视频这种，如果影响大，公安指定取证的话，是对你的微信QQ提取文件分析，转发了多少，影响范围，甚至还有播放数量，查到源头，也不是完全不可能。
远程勘验技术
远程勘验取证技术包括也比较多，有网络取证和现场取证，也有Web网页取证和服务器取证技术等，一一详解。
现场取证与网络取证

这个图就已经说明是现场和网络取证的不同和相关技术。
现场取证
分为静态取证，事后取证。证据链的发端，软硬件的恢复技术，数据格式分析于检索技术。现场一般是静态取证，也就是事后取证，证据面的开始，就会接触到一些软硬件的恢复，对软件进行数据的分析和检索。
假设，到现场发现一台电脑，如果是开机状态，你就不能关机的。只能对电脑进行开凿然后进行数据提取，如果是关机状态，就只能保持关机，直接对硬盘进行复制，打镜像。做到开机不关，关机不开即可。
服务器如果取证的话，取证的话，是不能正常关机的，只能直接拔掉电源。你也可以理解为，直接拔掉电源，防止有人远程连接服务器进行数据篡改。
静态取证，是电脑已经摆在面前了，直接对数据进行分析。事后取证，是已经案发了，这个事情已经发生了，我们在进行一个取证调查过程。
软硬件恢复技术，是对数据进行恢复，因为你不知道他的硬盘是否进行了一次格盘操作，当你找不到相关的信息，得到允许后，你可对当前的硬盘进行一次数据恢复。
有个案子，是一个制作外挂的，非法牟利百万，严重影响了游戏厂商正常运营，无奈选择报案，当公安局抓获嫌疑人后，在他的硬盘里没有找到外挂源代码或者是其他信息，取证方就可以思考，是否在我们来之前，嫌疑人就已经把硬盘数据删掉了，正常的取证你是取不到什么，所以只能对硬盘做一次数据恢复然后尝试取证。
数据格式分析检索技术，这个比较好理解，数据格式，比如是 TXT，word，PPT，EXE 都属于一个格式，取证过程对你想要的数据进行格式检索，提高效率之用。
网络取证
网络取证，他是区别于现场取证的，网络取证都是动态的一种取证方式，现有大多数案子都是网络取证的。
数据抓取技术：利用抓包工具（wireshark等），对信息日子进行分析，过滤IP等等。
海量数据与协议分析：有关海量的，必定是基于大数据平台，海量数据与协议分析就是基于大数据平台来获取相关信息。
网络取证的内容也比较多，首先你得对来源进行取证，也就是犯罪嫌疑人所在的位置，取证的内容包括 IP 地址，MAC 地址，电子邮件（邮件头有IP地址），一些软件或者的互联网的账号等。

【电子取证|像黑科技一样的电子取证技术】

有个案例是，一黑客对手机用户进行木马植入，取证方对木马 APK 进行反编译，从而发现黑客做数据提交的一个 IP 地址，查阅后发现是某大型云服务器平台，从而提交到相关人员，锁定此人。
事实取证：确定犯罪事实的具体内容和过程。
这个取证的内容包括网络状态和数据包分析、日志文件分析、然后对文件内容进行调查、使用痕迹调查，软件的功能分析等。
数据包分析就和数据抓取一样了，日志文件的分析，像 WIN 系统都有运行日志，像伪基站系统，他也会记录日志，什么时候向什么人发送了什么信息，这些都是可以在日志里得到的。