电子数据保全程序

3.2.6关闭电源时的注意点为了防止触电或带电，身上不要装带贵金属，并穿戴防静电手套进行作业。强制性关闭电源的场合〃运行服务器系列OS和会计系统等的数据库的台式电脑，原则上以数据库的交易功能为依托，可以强制关闭电源。〃强制性关闭电源的场合，可以设想如下风险：〃容易造成硬盘物理损伤（坏扇区）。〃损坏数据文件，不能读取。〃运行中的进程不能写入注册表和事件记录，因此不能了解之前的行为。〃不能获取挥发性信息。通过正常的程序关闭电源的场合〃通过正常的程序关闭电源的场合，可以设想如下风险：〃由于操作系统的终了处理和更新以及其他应用程序的原因，会发生数据覆盖或删除等情形。〃不能获取挥发性信息。3.2.7不能关闭电源的场合O根据证据保全对象的不同，有时不能关闭电源。〃保全内存中展开的数据时。〃通信中数据的证据保全。〃硬盘整体加密等安全设定场合因为关闭电源后必须再打开，结果会造成多余的数据覆盖。手机，移动通信机、家电产品、游戏机等，根据调查的目的和需要，有时如果电源处于开通状态的话就不能关闭。根据手机的机种不同，如果关闭电源，会造成数据覆盖或删除的情形。由于上述机器不打开电源就无法进行证据保全，因此保全证据时需要开通电源。手机通信开通时，存在远程被删除的可能性。3.2.8根据挥发性进行的处理顺序O证据保全时根据挥发性由高到低处理信息表一信息挥发性和证据收集顺序挥发性：高V挥发性：低寄存器，高速缓冲存储器路由表，arp高速缓冲存储器，流程表，内核统计，内存临时文件系统磁盘与系统相关的远程采集和监视数据物理设定、网络拓扑存档用存储介质3.3其它有必要收集取得保全的对象物说明书〃用户指南等文档类对象物寻找证据保全作业需要的下列信息：〃硬盘的拆卸方法〃电池的拆卸方法•BIOS的启动方法和图像的浏览方法（主要BIOS启动键参照表2）〃通过网络等确认上述方法委托单位组织内制定的与计算机处理有关的文档表2按制造者区分的BIOS主要启动键PC制造商BIOS启动键AcerDel或F2旧CompaqF10或Fl,F2,DelDellF2eMachinesTab或Del,或F2FujitsuF2GatewayF1HitachiF2HPF10IBM/LenovoF1或F12LenovoF1或F12NECF2PanasonicF2PhoenixAwardBIOS标准DELSonyF2或F3之后F2,F3之后FlToshibaEsc之后F14证据保全设备的准备用作复制目标的存储介质4.1.1存储介质的检查用作复制目标的存储介质，预先进行读/写等的设备检查，保证其处于正常运行状态。另外，由于很难确认闪存类介质的备用区域等隐藏区域是否处于无数据状态，所以作为证据保全时的复制目标介质需要谨慎处理。4.1.2无数据状态O用作复制目标的存储介质必须处于无任何数据的状态（不是正常的文件删除层次上的无数据状态，而是二进制层次上的可以确认一切数据均不存在的无数据状态）。但是，就物理复制而言，由复制工具把复制源介质的坏扇区进行零值置换，保存在复制目标介质时不在此限。4.1.3完全（物理）复制O在进行对象物的完全复制的场合，用作复制目标的介质，需要通过证据保全设备的剪裁功能或其它手段，使目标盘的容量与源盘处于同一状态。4.1.4可读・可搬介质考虑到用作复制目标的介质需要提交第三方结构的情形，应使用可读・可搬介质。用作复制目标的介质是硬盘时，应选使用范围广的SATA等硬盘。在使用映像复制时，2TB以上的数据无法通过FAT32文件系统进行处理，应当选择复制目标的文件系统。应使用与NTFS等日志对应的、不容易损坏的文件系统。证据保全设备的功能要求（参照表3）防止写入功能（写保护功能）O准备好不能对原本进行任何写入操作功能的设备，或者采取原则上不能对原本进行任何写入操作的措施（软件基础等）。完整（物理）复制功能不仅复制现存数据，还需要复制删除数据•隐藏数据包括未使用区域在内的对象物所有区域（用户通过接口可以访问的区域）。即使证据源盘存在部分坏扇区的场合，也可以继续复制，确认坏扇区的位置等（据此可以说明哈希值与原本不同的场合）。不仅对象物（复制源介质）的内容，其记录顺序结构也需要全部物理复制（单帧捕获）。复制映像文件（LinuxDD/EnCaseImage等）。表3证据保全设备功能要求■写保护功能—不能对原本进行任何写入操作■完整（物理）复制功能—可以复制对象物整个区域—坏扇区的妥当处理—物理和映像复制■同一性验证功能—通过哈希值和二进制比较进行同一性验证—扇区尺寸的显示■工作日志•审计追踪信息的显示•输出功能—对象物及复制目标介质的详细信息—作业内容以及各种设定信息—作业时间等作业结果—作业人员信息—设备信息4.2.3同一性验证功能4.2.3.1同一性验证（复制时的校验）计算并比对对象物（复制源介质）及复制目标介质的哈希值进行同一性验证。不计算哈希值，通过二进制比较进行同一性验证。由于存在坏扇区等原因导致复制源介质与复制目标介质的哈希值不一致时，很难根据哈希值进行同一性验证时，可以根据验证时的状况（设备的图像等）的照片摄影和复数现场见证人的见证提供同一性保证。4.2.3.2扇区尺寸的确认功能O为了防备解析工具因为扇区尺寸而不能读取或不能恰当显示的情形出现，保全工具需要确认扇区尺寸。4.2.4工作日志•审计追踪信息的显示•输出功能工作日志可以显示•输出复制源介质与复制目标介质的详细信息各个设备的标签信息（制造商/型号/模型名称/序列号/尺寸//总扇区数/存储容量），是否设定HPA・DCO等可以显示•输出实施的作业内容以及详细的设定信息可以显示•输出实施的作业结果作业开始到结束的时间/复制（验证）速度/错误发生時的详细信息等审计追踪信息①可以显示•输出实施作业的管理者/所属单位/分配处理案件•处理证据号码等信息②可以显示•输出实施作业所需设备的序列号/软件•固件版本等信息4.3证据保全工具相关要件可以进行完整（物理）复制（单帧捕获或映像复制）利用在与对象物同一的操作系统上可以启动的软件或程序•使用图形用户界面和命令行通过记录了证据保全软件或程序的CD盘启动或软盘启动使用•在无法从机壳取出硬盘，或取出硬盘困难，或取出容易但是回复原状困难的场合通过CD盘或软盘启动使用•为了读取CD内的数据，需要通过BIOS等确认启动顺序，以便能够在对象物启动之前优先启动CD，进行必要的变更对象物的电源关闭时，采取不启动可以打开光盘驱动器的措施（在光盘驱动器上设置的小孔里，插入夹子强制打开驱动器等措施）4.3.2可信机构的验证O使用由ComputerForensicsToolTesting等可信机构验证的工具4.4其它证据保全所需设备•仪器•措施的准备确认硬盘有无物理限制以及（强制）解除功能O实施HPA、DC0等的确认。4.4.2针对硬盘密码•加密的准备①如果有措施不启动对象物，在解析阶段进行解密，那么选择其方法。但根据事件响应时间和优先顺序，有时会取消该措施。②在不得不启动对象物的场合•在认识到由于启动会造成数据生成・覆盖・改变等风险的同时，对委托人作出充分的说明，得到其同意后再进行证据保全作业。IDEHDD跳线销的处理O对象硬盘带有跳线销时，做好其状态记录，并就其在证据获取时的影响进行讨论。RAID设备和结构复杂的服务器类设备的证据保全O由于取出硬盘会导致设定大幅变更或难以恢复原状，因此，通过CD启动进行证据保全，可以最小限度地控制据保全作业对硬盘数据的影响。事前充分的测试以及功能运行状况的检查O对于证据保全作业使用的工具，需要预先进行充分的测试，并检查其功能运行状况。5证据保全作业期间•证据保全作业之后5.1替代设备•替代工具•替代方法的准备在无法预期的错误造成证据保全工作中断的场合，预先准备可以代替的方法等。见证人等进行证据保全、事故响应时，尽可能邀请见证人，实施作业人员不少于2人。同一性验证在实施完整（物理）复制时，通过计算对象物（复制源介质）及复制目标介质的哈希值等方法进行同一性验证。在获得实况映像和硬盘存在坏扇区的场合，由于很难计算复制源介质的哈希值，所以此时只计算复制目标介质的哈希值。证据的同一性可由使用工具的可靠性和证据保全作业的正确性加以说明。即证据保全时使用符合“4.3证据保全工具相关要件”的适当的工具，并且做好“5.4担保证据保全正确性的作业内容记录”所称的作业内容记录。5.4担保证据保全正确性的作业内容记录5.4.1行动履历的记录（特别是在对象物处于启动状态下）进行证据保全时，应充分注意不要发生多余的数据变更等，做好所有与作业相伴的行动履历记录。证据保全相关设备信息的记录不仅记录对象物（复制源介质）和复制目标介质的信息，还需要记录所有证据保全相关设备的信息。证据保全设备的序列号/软件•固件版本根据对象物（复制源介质）和复制目标介质算出的哈希值5.4.3视频及摄影对各个环节的证据保全工作进行录像和拍照，以便日后尽可能再现。另外，摄影时，不仅要记录保全设备和对象物媒介，还要通过记录明确了解对象物从哪里如何取下，如何连接保全设备，如何取下？后来又回到何处等一系列作业。5.5复制目标介质的处理5.5.1严格管理复制目标介质应当严格管理，应将其放置在物理隔离空间进行保管，以免与其它设备混在一起；制作可以证明保管链（ChainCustody,证据保全的一贯性）的文件，保证除用来解析外任何人不得接触复制目标介质。复制目标介质的保管•应包装后放置在能避免电磁波、静电、灰尘损坏精密仪器的场所进行保管•注意温度、湿度、直射阳光等，同时还要注意夏季的霉菌和冬季的结露不仅复制作业，包装封印作业也要充分注意不要损坏复制目标介质，同时，最好由多人进行证据保全作业，通过多人认证方式进行封印。向鉴证小组等机构提交转让通过逐一记录■写明何时、谁、向谁、在哪儿、提交了什么样的复制目标介质、以怎样的状态提交等信息，从而形成保管链（ChainofCustody）（证据保全的一貫性）。远程发送的场合，应该当作易碎品和机密信息处理，选择适当的发送商及服务完成发送。运送的场合，应回避受电磁波、静电、灰尘等影响的场所（磁铁，扬声器的附近等），并采取防震措施。5.6与网络服务有关的对象物的收集〃取得〃保全5.6.1检查可能访问的帐号确认该帐户持有人的同意书及帐户设定更改记录等，确认对象帐户是否因保全目的处于访问可能的状态。另外，特别是帐号处于排他控制状态时，确认、记录其是否处于适合实施保全作业的状态。5.6.2作业记录的作成按照1.5.2决定的作业顺序，作成包含登录进入服务在内的、保全工作的一系列作业记录。为了能客观确认对象的账户名及服务的存取地址信息，在书面记录必要信息的同时，一并获得视频和截图、照片等客观记录。根据需要，除作业记录外，还可以获取作业时对象服务的元数据、与服务供应商的服务器进行的分组通信。另外，由于排他性控制等目的，根据需要进行设定变更的场合，需要作成工作完毕后能够再确认、验证变更前内容和变更后内容的记录。5.6.3服务利用状况的检查使用Web浏览器或者专用的客户端工具访问服务，需要输入账号及密码进行登录。对象服务的正常访问被确认后，为了确认对象用户的利用状况，作成服务的基本设定项目及服务利用履历的记录。在部分服务中，与其他用户共有文件等信息，因此也有可能存在赋予外界用户编辑权限的服务，所以根据排他控制的目的，有必要讨论变更共享设定和停止公开。设定变更的时候，应当按照“5.6.2作业记录的作成”作成记录。5.6.4保全对象的确认确认保全对象现在的状况。记录需要保全的数据范围、数据种类、数据件数、管理状态（标签和标记信息、文件夹结构等）。此外根据服务的规格和设定，有可能恢复对象数据的过去版本，因此需要确认按作业顺序设定的保全范围是否存在遗漏。5.6.5保全按照事先准确定的作业顺序进行数据保全。确认被保全的数据件数和数据状态，确认、记录已经取得事前设定的全部保全对象。5.6.6同一性验证计算被保全的数据以及在一系列保全作业中获取的视频和截图等的作业记录的哈希值。证据的同一性可由使用工具的可靠性和证据保全作业的正确性加以说明。即证据保全时使用符合“4.3证据保全工具相关要件”的适当的工具，并且做好“5.4担保证据保全正确性的作业内容记录”所称的作业内容记录。5.6.7恢复因保全所作的设定变更保全工作完毕时，就是否恢复为了保全所作的设定变更进行讨论。但是有时需要在事件结束之前一直保持排他控制的保全状态，因此，设定的恢复应由帐户的所有者、事件的负责人和法务负责人共同协商后实施。附录

1检查表（台式电脑的场合）序号确认项目照相检杳1［事前准备］准备复制保存用的硬盘。事前进行擦除处理，并按支持硬盘复制装置的形式预先格式化□2把复制设备的时钟与日本标准时间进行核对□3作业开始前，在作业场所拍摄见证人和工作人员的照片（拍摄容器号码、当天的报纸）。O□4记录、拍摄电脑的序列号等固体识别号码。O□5电源开通的场合记录操作系统的系统时间。O□6（根据需要）记录画面以及打印机等输出装置显示、输出的信息。O□7（根据需要）记录保存内存等挥发性信息。□8关闭电源。Windows场合，拔掉电源插头强制性关闭电源。□9使用防静电腕套、穿戴防静电手套，准备防静电垫子等，避免静电导致设备的损坏。□10准备UPS电源等，避免因电源问题影响硬盘复制作业。□11电源等电缆与电脑处于连接的状态的话，贴好电缆标签，拍摄后再拔出。O□12在从PC本体拆卸硬盘原件之前，确认硬盘本身是否是具有加密功