沙丁鱼介绍

注册

 

发新话题 回复该主题

首届执法办案电子数据取证大比武复盘解析 [复制链接]

1#

本次比武命题本着“面向实战、服务实战、融入实战”原则,集中考核市场监管执法现场检查流程及规范操作、文书制作,市场监管领域计算机取证、手机取证、数据恢复技术、数据关联分析技术应用等内容。比武突出知识产权保护领域案件的现场执法和证据分析,设置了现场勘察取证、市场监管和电子数据取证法律法规理论考核、个人数据分析赛、团体数据分析赛等四个比武环节。

01

现场勘察考题复盘解析

现场勘察取证以一起笔者实际经办过的知识产权保护案真实现场为素材。现场检查背景说明及比武要求如下:

案件背景:“A市市场监督管理局接到B公司举报称,A市翱翔汽车科技有限公司窃取了其汽车设计专利,涉及无钥匙进入系统(PEPS)、遥控中控系统核心源代码等多项知识产权。A市市场监督管理局经核查立案后,组织执法人员对翱翔公司进行了现场检查。作为本案执法人员,请你们在限定时间内对翱翔科技有限公司进行现场检查,获取本案必要证据。”

命题组要求参赛选手使用自己准备的电子数据现勘取证设备,在1个半小时时间限定内完成现场勘察。

命题组布置了计算机环境和周边办公环境两个现场勘验环境。周边办公环境主要考核项目为现场计算机、光盘、文件记录和获取。计算机环境主要考核项目为易丢失数据提取固定和涉案文件提取。

经过评卷,30支队伍现勘取证主要失分点集中在“发现FTP服务器客户端”、“提取FTP服务器文件”两个部分,“发现加密容器并做镜像”这一部分也失分较多。令人意外的是,参赛队伍中仅福建队发现了现场计算机安装的FTP客户端并进行取证。而在这起真实发生的案例中,当事人确实是将所有侵权源代码都保存在FTP服务器中,如果第一现场未能及时进行提取,当事人可随时对服务器进行远程数据删除处理。因此,对服务器数据取证与否对本案起到了至关重要的作用。

02

个人赛案例分析考题复盘解析

个人赛案例分析环节主要考察的是个人运用取证软件对涉案检材进行快速数据分析的能力,侧重考核计算机基本信息提取技术、计算机系统痕迹分析提取技术、手机备份相关数据提取技术、关键词检索技术等。命题组要求考生在2小时内对涉案当事人于某办公电脑镜像文件和办公手机备份文件进行分析,总共设置了20道分析题,60名队员参与此次比武考核。

部分考题解析如下:

1.通过对于某笔记本电脑镜像文件进行分析,该镜像中操作系统分区的设备序列号。

考察能力:计算机基本信息提取

解题步骤:①通过取证软件自动取证分析;②在“证据文件”视图中,根据操作系统文件特征,选择操作系统分区F;③在“摘要”中查看设备序列号。

准确率:36.67%,22名参赛队员完成解题

5.通过对于某笔记本电脑镜像文件进行分析,用户在该系统中曾经生成过iTunes备份,请写出备份手机的序列号。

考察能力:手机备份相关数据提取

解题步骤:①通过取证软件自动取证分析;②在取证结果文件分析中的“手机备份及相关数据”查看序列号。

准确率:91.67%,55名参赛队员完成解题

7.通过对于某笔记本电脑镜像文件进行分析,获取连接名:Yu-wifi的无线账号密码。

考察能力:计算机网络连接信息提取

解题步骤:①通过取证软件自动取证分析,取证结果中发现提取密码/密钥检索信息;②在无线账号中提取连接的密码。

准确率:91.67%,55名参赛队员完成解题

9.通过对于某笔记本电脑的分析,提取其最后访问的Excel表格文件,请写出其文件名。

考察能力:计算机用户痕迹分析提取

解题步骤:①通过取证软件自动取证分析;②在取证结果用户痕迹中的“最近访问的文档”查看文件名;

准确率:53.33%,32名参赛队员完成解题

10.通过对于某笔记本电脑的分析,获取于某关系人“李X光”的手机号码。

考察能力:关键词检索技术

解题步骤:①通过取证软件设置关键词“李X光”,并进行全盘检索;②在命中结果中查看其手机号。

准确率:11.67%,7名参赛队员完成解题

11.通过对于某笔记本电脑的分析,获取用户上传到百度网盘的文件APK08.rar。

考察能力:云客户端程序解析

解题步骤:①通过取证软件自动取证分析;②在云存储客户端的上传文件记录中查看文件大小。

准确率:88.33%,53名参赛队员完成解题

12.通过对于某笔记本电脑中PNG格式图片进行数据恢复,请写出物理扇区为的图片文件。

考察能力:文件签名恢复、文件属性分析

解题步骤:①通过取证软件对检材未分配簇进行PNG图片的签名恢复;②在签名恢复结果中,找到起始物理扇区第位置的图片;③查看该图片文件的逻辑大小。

准确率:41.67%,25名参赛队员完成解题

13.通过对于某笔记本电脑的分析,获取“.xlsx”文件。

考察能力:Bitlocker分区解密、文件过滤、内容检索

解题步骤:①通过设置Bitlocker恢复密钥相关关键词或密钥正则表达式,在未分配簇中提取到Bitlocker恢复密钥;②用Bitlocker恢复密钥解密E分区;③通过文件过滤模块快速找到“.xlsx”文件。

准确率:13.33%,8名参赛队员完成解题

19.通过对于某iTunes备份进行分析,获取文哥银行卡号信息。

考察能力:手机备份文件提取分析

解题步骤:①通过取证软件自动取证分析;②在取证结果文件分析中的“手机备份及相关数据”,找到备份记录,右键选择跳转到源文件,导出iTunes备份文件目录;③通过手机大师分析该备份文件,在取证结果的备忘录中查看。

准确率:48.33%,29名参赛队员完成解题

20.通过对于某笔记本电脑的分析,确认于某通过航拍设备并进行微处理的图片。

考察能力:加密容器解析

解题步骤:①通过取证软件自动取证分析;②在取证结果的加密文件中找到“PrvDisks.cmt”;③结合文档访问痕迹,在文档“TC密码.txt”提取加密容器的密码;③用Truecrypt工具加载该加密容器,得到答案。

准确率:5%,3名参赛队员完成解题

本次个人赛案例分析考题部分设置的20道考题均被参赛选手解出,大部分选手完成率在60%左右,主要失分点集中在计算机文件系统分析、关键词检索、文件解密、加密容器解析等考核要点。

03

团队赛考题复盘解析

团体赛采用与现场勘察同一起知识产权保护案件为素材。案件背景说明及相关要求如下:

A市市场监督管理局接到B公司举报称,A市翱翔汽车科技有限公司(以下简称翱翔公司)窃取了其汽车设计专利,涉及无钥匙进入系统(PEPS)、遥控中控系统核心源代码等多项知识产权。A市市场监督管理局经立案,对翱翔公司进行了现场检查,获取了翱翔公司法定代表人张洋用于日常经营的计算机数据(使用硬盘镜像复制技术制作成“张洋办公计算机.E01”,编号:检材1)、U盘数据(张洋办公U盘.dd,编号:检材2)及手机数据(张洋办公手机.dd,编号:检材3)。结合现场检查询问,执法人员初步判定B公司知识产权是由“内*”李明德发送给当事人翱翔公司法定代表人张洋使用。后张洋交给翱翔公司技术工程师李竞进行修改,并交由华德公司等客户使用并获取高额报酬。

命题组要求每支队伍派出2名选手通力协作,在4小时内对上述电子数据进行分析并获取涉案相关证据。共30支队伍进行比武。

部分考题解析如下:

1、通过对检材1的分析,提取“翱翔张洋名片.ppt”文件。

考察能力:文件过滤

解题步骤:①通过取证软件文件过滤功能,快速查找“翱翔张洋名片.ppt”;②勾选命中的文件,右键选择“哈希计算当前文件”。

准确率:96.67%,29个参赛队完成解题

2、通过对检材1的分析,提取名称为“遥控中控产品开发合作合同”的文件,文件中“开发费用金额(含税)”为多少万人民币。

考察能力:Bitlocker分区解密、文件过滤、内容检索

解题步骤:①通过取证软件自动取证分析,取证结果中发现提取Bitlocker恢复密钥;②用Bitlocker恢复密钥解密E分区;③通过文件过滤模块快速找到“遥控中控产品开发合作合同docx”文件;④在合同文档中预览获取“开发费用金额(含税)”。

准确率:93.33%,28个参赛队完成解题

6、通过对检材1的分析,提取张洋最后一次访问的压缩文档,写出该文档名称。

考察能力:计算机用户痕迹解析提取

解题步骤:①通过取证软件自动取证分析,取证结果中发现提取最近访问文档记录;②在结果中对“最近访问时间”进行排序;③获取最后一次访问的压缩文档;

准确率:60%,18个参赛队完成解题

8、通过对检材1的分析,提取张洋邮箱账号对应的密码。

考察能力:Bitlocker分区解密、电子邮件解析提取

解题步骤:①通过取证软件自动取证分析,取证结果中发现提取Bitlocker恢复密钥文件;②用Bitlocker恢复密钥解密E分区;③取证软件自动取证解析电子邮件内容;④在菜单栏“工具”-“密码字典”中查看结果;

准确率:53.33%,16个参赛队完成解题

10、通过对检材1的分析,提取绑定手机号为***对应的

分享 转发
TOP
发新话题 回复该主题