最近有人问我ISO 27037是什么?其实它就是有关电子证据处理的标准,但其实别被它的长篇大论给吓着了.若你有仔细看一下,它也只提到了”前段”的作业.也就是说,它提到了电子证据的搜集,保存,撷取,运送,但后面真正至为关键的分析程序,它就不提了.为何呢,因为太复杂之故.
很多单位很喜欢挂在嘴边的就是”遵循标准作业程序SOP”,听来多么专业啊~是的,乍听之下是有这么一回事.但内行人皆知,所谓SOP的主要精神及用意便是”防呆”,”防止手残”,等于为了让即便不是那么清楚为何如此执行的人,也能照表操课.但有项东西不是SOP能轻易取代的,那就是”经验”.
若问我标准化在数字取证上的意义及可行性,我认为”取证程序”可以,因为作业一贯化,只要遵循最高原则-“确保证物不致遭受污染”.但是”分析程序”呢?很抱歉,没有标准化的可能及必要性.
什么原因呢?因为”经验”及”判断”才是决定能否做好分析工作的关键因素.这是照表操课做不来的.计算机软硬件,网络,虚拟环境,数据库等等经纬万端,经验丰富便有助于做出较佳判断,反之则容易误判或忽略重要线索.
举个简单的例子让你了解经验的差异,若你对MBR的了解,只是在使用取证工具时学到了可以设法去decode得到Partition entry,然后其中一个会有bootable flag – 80….这只是你从取证工具得到的讯息,但其实是一知半解,强记罢了.若一旦有所变化,例如装有多重引导系统的MBR,就看不懂了.
换言之,若你已是玩家,有使用过第三方软件处理过多重引导系统,例如装了Windows,再装Linux等等.你就会知道MBR格式的硬盘,最多是四个主要分割区或三个主要分割区加上一个延伸分割区,而延伸分割区又可划分成多个逻辑分割区.而每种文件系统背后都有个唯一标识符,例如Linux Native是83.
总的来说,本身在计算机领域有打滚过几年,再来涉猎取证,是较佳的学习曲线.反之,若直接从取证切入,则往往易因只是知道用工具,但却不够了解分析对象(不论是软件或硬件)本身的特性,而较易有误判,或甚至忽略重要线索的情事发生,不可不慎.而了解特性,又懂得善用工具,并有能力判断工具的分析结果是否有异常,则代表经验累积已达一定程度.
这就是取证有趣的地方,往往有些取证人员找线索快些,有些则慢上许多,而同样是找出线索了,但巧妙各有不同,有些是很精准到位,依脉络讲证据,很快就找到答案了.有些只是运气好,在看了10天半个月的search hits之后,终于给他/她看到了.从这些现象背后,我们多少可以看出差异何在??? ”经验”仍是占了大半因素.