Windows 基础计算机调查指南
附录:资源
本附录提供了进行计算机调查时可用的各种资源的信息。(本文还包含指向英文网页的链接。) 本页内容
为组织进行计算机调查做准备要为组织进行内部计算机调查做准备,您应该准备一个现成的计算机调查工具包,其中应包括可用来取证的软件和设备。这样的工具包可能包括一台安装有相应软件工具、不同操作系统和修补程序的笔记本电脑、应用程序介质、备份设备、空白介质、基础网络设备和电缆。准备这样工具包可能会是一项长期的任务,因为根据您要进行的调查,会需要不同的工具和资源。 在准备和使用计算机调查工具包时,请遵循以下指导原则:
此外,请确保您的工具包满足以下标准:
工作表和示例下表提供了计算机调查期间您可使用的工作表和示例的列表。这些资源中的一些会作为单独的 Word 文档进行提供,且它们包含在 Microsoft 下载中心文件中,您可从该文件中提取本指南。其他资源通过指向美国司法学会网站的链接来提供。 表 A.1. 工作表和示例
报告与计算机相关的犯罪 注意:本部分中的大部分信息均来自美国司法部的计算机犯罪和知识产权部分网站的 Reporting Computer, Internet-Related, or Intellectual Property Crime 页面。 您应首先与您的法律顾问进行商议,根据犯罪的范围,确定是否有必要向本地、州、联邦或者国际级的相应机构,报告特定的与计算机相关的犯罪。您的本地或州级机构很可能是您首先联系的机构。如果是与计算机相关的联邦犯罪,则您可能需要向联邦法律执行部门的本地办事处进行报告。如前所述,本指导仅适用于美国。 调查与 Internet 相关的犯罪的美国法律执行机构包括以下机构:
这些机构的办事处遍及整个美国,在本地电话号码簿中或者通过 Internet 搜索可获得联系信息。通常可通过向相应法律执行机构的本地办事处拨打电话并请求责任申诉机构,来报告联邦犯罪。如果组织加入了 Electronic Crimes Task Force (ECTF)、InfraGard 或者 International High Technology Crime Investigation Association (HTCIA),则可能已对相应的联系人员有所了解。联系您对其有所了解且了解您组织的人员会简化报告过程。 许多机构都具有专门研究计算机黑客案例的经过培训的机构人员。 本地法律执行机构在某些情况下,最好的选择是联系本地法律执行机构。这样的机构或高技术犯罪工作组可能具有经过培训的人员,这些人员可调查某一事故。具有经过培训的人员的机构包括 REACT Task Force(为旧金山湾区服务)、CATCH Team(为圣地牙哥区服务),以及其他警务机构。 下表中的信息可帮助您确定哪种类型的犯罪要联系哪个联邦机构。 表 A.2. 不同犯罪类型的法律执行机构
培训至少要有一些事故响应团队的成员参加过正式的计算机调查培训。如果未经过相关的培训,则团队将不可能进行有效地调查。实际上,技术不熟练的检查者可能会意外地损坏易失证据而对调查造成负面影响。 有关提供计算机取证培训的非盈利性机构、组织、联邦法律执行机构和学术机构的列表,请参阅美国司法学会(美国司法部的一个机构)的 Forensic Examination of Digital Evidence: A Guide for Law Enforcement 中的“Appendix G. Training Resources List”。 工具每一项调查都可能有所不同。您所使用的工具应适用于获取您寻找的信息,但尽可能收集比自己可能需要的数量还要多的证据永远是个好主意。 本部分提供有关可帮助您进行内部计算机调查的 Windows Sysinternals 工具以及其他 Windows 工具的信息。下表的第一列中以图标表示工具类型: 表 A.3. 工具类型
下表提供有关大量可用于计算机调查的工具的信息。 Windows Sysinternals 工具表 A.4. Windows Sysinternals 工具信息
Windows 工具表 A.5. Windows 工具信息
|
|
