取证规范与证据保全

取证规范与证据保全，是应急响应中 **“让证据既可以还原攻击真相，又能满足合规 / 法律程序要求”的核心。它的底线不是 “拿到数据”，而是让证据同时具备真实性、合法性、关联性 **—— 这是和普通数据备份最本质的区别。

---

一、取证三大核心原则（合规底线，必须先明确）

1. 先易失后稳定

按 “断电即失的证据优先” 的顺序操作，避免关键数据永久丢失：

• 第一优先级：内存数据（断电即失，包含无文件后门、勒索软件密钥、进程注入行为）
• 第二优先级：系统 / 应用日志（易被攻击者删除或篡改）
• 第三优先级：磁盘文件（断电后仍保留，但需防止被篡改）

2. 只读不篡改

所有取证操作，绝对不能修改原系统 / 原数据，否则证据会失去法律效力：

• 磁盘取证必须用 “只读模式” 挂载，禁止直接在原盘上读写
• 不要在受感染主机上运行任何命令（如tasklist/netstat），这些操作会修改内存数据
• 所有证据文件必须存到外接介质，禁止写入受感染主机本地磁盘

3. 全程可追溯

形成完整的证据链，每一步操作都可回溯：

• 明确取证人员、时间、工具、操作内容
• 所有工具必须提前校验，避免工具本身带毒或被篡改
• 记录必须与证据文件绑定归档，不能只存数据不存过程

---

二、取证全流程规范（直接套用，合规可用）

阶段 1：事前准备（取证前必须做）

1. 工具准备
   • 用合规、开源、可校验的工具，提前做哈希校验，记录工具的 SHA256 值，防止工具被篡改：
     • 内存取证：Winpmem、FTK Imager
     • 磁盘取证：FTK Imager、dd（Linux）
     • 日志导出：wevtutil（Windows）、journalctl（Linux）
     • 哈希校验：HashCalc、CertUtil
   • 工具必须存到干净的 U 盘 / 移动硬盘中，离线可用，不要临时下载。
2. 介质准备
   • 用干净、格式化的外接介质，开启写保护开关，避免交叉感染或数据被篡改。
   • 介质容量需大于目标主机的内存 / 磁盘大小，确保完整拷贝。
3. 文档准备
   • 提前打印 / 填写取证记录表，包含：主机 IP、主机名、操作系统版本、取证人员、时间、工具、哈希值。

阶段 2：事中操作（按顺序执行，不碰原数据）

1. 第一步：内存取证（最优先）
   • 用 Winpmem 采集内存镜像，直接输出到外接硬盘：cmdwinpmem.exe --output memory.raw
   • 采集过程中，不要切换窗口、打开 / 关闭程序，避免修改内存数据。
2. 第二步：日志导出
   • 导出系统日志、应用日志、安全设备日志，存到外接介质，不要在原主机上查看或修改。
   • 示例（Windows）：cmdwevtutil epl Security security.evtx wevtutil epl System system.evtx
3. 第三步：磁盘镜像（仅在必要时做）
   • 用 FTK Imager 以只读模式挂载磁盘，制作完整镜像，不要修改原盘数据。
   • 仅当主机已关机或无法采集内存时，优先做磁盘取证。

阶段 3：事后校验（证据完整性保障）

1. 哈希校验：对所有证据文件（内存镜像、日志、磁盘镜像）做 MD5/SHA256 校验，记录哈希值，证明证据未被篡改。
2. 介质校验：检查外接介质是否写保护开启，数据是否完整拷贝，无损坏。
3. 记录归档：把取证记录表、工具哈希值、证据文件绑定归档，形成完整的证据包。

---

三、证据保全核心要求（怎么存、怎么管）

1. 介质安全（防篡改、防丢失）

• 写保护：所有证据介质必须开启写保护，后续禁止写入任何数据。
• 异地备份：证据文件至少做 2 份备份，一份存安全介质，一份存异地备份，防止介质损坏或丢失。
• 物理防护：介质存放在干燥、无磁、防压的安全环境，避免磁场干扰或物理损坏。

2. 保管安全（防泄露、防滥用）

• 专人保管：明确证据保管人，建立保管台账，记录介质出入库时间、人员、用途。
• 访问控制：仅授权人员可接触证据介质，操作需双人在场，避免单人操作。
• 保密要求：证据文件涉及敏感数据（如用户信息、业务数据），需按企业保密制度管理。

3. 生命周期管理（按合规要求执行）

• 保存期限：普通事件证据至少保存 6 个月，重大事件（如数据泄露、APT 攻击）证据至少保存 3 年。
• 定期校验：每季度对证据介质做完整性校验，对比哈希值，确认数据未被篡改或损坏。
• 销毁流程：到期销毁证据时，必须双人在场，记录销毁时间、方式、人员，禁止随意丢弃。

---

四、常见合规坑（一定要避开）

1. 直接在原盘上操作：查杀、修改文件会篡改证据，无法用于合规 / 法律程序。
2. 不做哈希校验：后续证据被篡改，无法证明原始性，证据直接失效。
3. 先取磁盘再取内存：内存数据丢失，无法还原无文件攻击、勒索软件密钥等关键证据。
4. 工具不校验：用被篡改的工具取证，会污染证据，或导致交叉感染。
5. 不记录取证过程：无操作记录，无法形成完整证据链，证据不具备合法性。

---

落地 Checklist（可直接对照）

• 取证工具已提前做哈希校验，存到干净外接介质
• 已按 “内存→日志→磁盘” 顺序取证，未修改原系统数据
• 所有证据文件已做哈希校验，记录完整
• 证据介质已开启写保护，做了异地备份
• 保管人、访问控制、定期校验计划已明确
• 取证记录表已填写完整，与证据文件绑定归档

---

💡 小提示：中小企业可简化流程，但哈希校验、写保护、操作记录三个核心环节不能省；金融、医疗等合规敏感行业，需严格按规范执行，必要时可委托第三方机构取证。