继上篇“电子数据取证中调查员的5大失误”，我们回顾了DFIR（电子数据取证和应急响应）领域中最常见的5个错误。上一篇文章很受欢迎，并且有不少读者求更新。话不多说，为您展示电子数据取证中调查员的5大失误（第二弹）。

实际上，每个现代数字设备都使用加密技术。加密无处不在。现代移动设备默认内置加密功能——无需用户明确选择打开它。计算机，尤其是笔记本电脑也可以开箱即用地启用加密，无论是基于文件系统 (APFS)还是基于操作系统（Windows中的Bitlocker）的加密。

因为加密是如此的司空见惯，所以关闭正在运行的计算机以进行所谓的“dead-box acquisition”（译者注：国内部分文章中译为“死取证”）绝对是一个错误。这是在加密时代之前的“好日子”中获取数据的通用方法。如果关闭现代加密设备的电源，将可能失去用于破解该加密的所有信息。

当需要解密时，最佳机会是从活动设备中获取RAM转储。易失性内存中的数据可能包含解密密钥，这可能是成功或失败的关键。（有必要提及的是，不能保证所有RAM转储都会有设备的解密密钥！）。

作为第一步，有效的内存转储便有很多细微差别。仅仅是这一过程就有许多陷阱，其中之一便是一个非常广泛的错误（不仅很常见，而且代价高昂），即使用一个具有大量功能和大内存占用的取证工具。一个例子是 FTK Imager，它是一种适用于各种类型采集的优秀工具，但这个工具需要太多的内存，不能成为你转储RAM的首选工具。它的大小超过 20 兆字节，而市场上有许多其他工具比它小数百倍。毋庸置疑，选择的工具越大，运行时在内存中覆盖的用户数据就越多，因为可执行文件被加载到内存中运行。

执行实时浏览器会话

这个错误听起来不可能，但是每年我们都会听到很多这样的故事。而且，即使是经验丰富的调查人员也可能犯这种错误，原因如下：

· 缺乏经验的 DFIR 调查员可能会试图在设备上进行实时分析，并尝试获取只有从登录用户执行的浏览器中获得的信息。（译者注：dead-box image可译为死取证，意为：将需要检验的设备关机断电后，使用常规手段对存储设备进行镜像后再进行相关取证分析。相对为“活取证”，意为：在需要检验的设备在运行状态下进行取证的相关操作。）意味着浏览器数据可能会被加密。解密此类数据并非易事（尽管可能：您可以使用此链接下载有助于解密的工具）

· 这个错误也可能是由于这样的事实造成的：第一个获得数字设备访问权的人，可能根本不是一个合格的数字调查员。任何没有接受过如何正确扣押设备培训的人，都有可能鲁莽地从现场设备中获取信息，并对以后法庭上数据的的可采性造成无法弥补的损害。

尝试使用嫌疑人的帐户在设备上进行实时分析，很可能会在法庭上引起严重问题，因为监管链无法得到保证。

事实证明，现代加密非常可靠。如果使用强密码，目前来看没有方法可以避免耗时的暴力破解。这意味着，与过去使用的算法不同，后者允许审查员每秒测试数百个甚至数千个密码，而现代加密则需要数秒才能尝试输入每个密码！

运行一个完整的暴力破解（在大多数情况下）并不是最明智的做法。即使使用众多内存和多个显卡的高性能系统，连续的暴力尝试也可能需要数十亿年才能完成！

顺序暴力是指尝试按从低到高的顺序验证密码（例如 a、b、c……aa、ab、ac 等）。很明显，一次验证大量可能的密码，并将每次尝试乘以每个密码所用的一秒钟，会得到一个可怕的结果。

更好的方法是尝试应用一些特定案例的信息。如果已经从嫌疑人的设备（即先前讨论的内存镜像或硬盘）中提取了一些数据，则可以使用这些信息进行解密。大多数人会根据自己的词汇——即他们经常使用的单词（例如他们孩子的名字、过去的汽车型号或他们居住的城市）来创建密码。结合案例中的这些词汇并优先考虑使用这些潜在密码进行尝试，可以显着提高成功的机会。

由于大多数人会在多个帐户中重复使用他们的密码，所以有时找到“最薄弱的环节”即可。调查人员可能会首先尝试破解存储在最不安全位置的密码，然后将该密码应用于更严格加密的项目。

混淆 UTC和本地时间

世界上有许多时区（严格意义上来说超过24个）。每个时区都有自己的当地时间：伦敦是中午 12 点，纽约是早上 7 点。随着时区转换，一些地区会进行时间调整，例如夏令时，当地时间会根据季节将当地时间推迟一小时或提前一小时。在不同国家之间的夏令时转换不一定是同步的，这给理解在本地时间中保存的时间戳如何相互关联带来了额外的困难。

日期和时间存储标准是协调世界时（UTC时间）。这意味着大多数应用程序和系统都以 UTC 格式来存储时间戳。然而，这可能会给普通用户带来不便和困惑，他们自然希望看到自己的本地时间。这就是为什么应用程序可以选择以本地时间存储的时间戳，这是在每个用户的设备上设置的。

现在，由于当今情况下的数据量可能是巨大的，很容易混淆由不同应用程序存储的 UTC 时间和本地时间。如果不将所有时间转换为 UTC（或本地），您可能会遇到聊天消息顺序颠倒的情况。如果一个聊天应用程序以 UTC 格式存储时间，而另一个应用程序使用本地时间，则会发生上述这种情况。

如果时间戳没有准确转换，取证工具可能对各种取证结果造成混淆。如果有来自不同时区的多个数据源（例如来自亚利桑那州的计算机硬盘和来自华盛顿特区的iPhone），则问题会加深。所选择的取证工具必须允许您为您的案例中的不同设备指定不同的时区，以避免任何时间戳的混淆。在这种情况下不指定时区偏移量是同一错误的另一个方面。

将移动设备变砖作为证据

移动设备发展越快，从中获取数据就越难。由于内置加密功能，在首款智能机问世时可行的物理镜像方法，变得不再可行。而且，标准备份提供的数据量非常有限。这就是为什么大多数获取智能设备数据的现代方法都是基于已知漏洞和后续漏洞开发的。

一个常见的错误是盲目地使用这些漏洞，而没有先在测试机（译者注：donor phone原意为一种通过技术手段更改ESN、MDN 和 MIN 等信息后的手机，此处可译为测试机。参考链接：https://help.ting.com/hc/en-us/community/posts/203801898-What-is-a-donor-phone-）上进行测试。步骤中的任何不准确或错误的步骤（例如，不正确的时间延迟或与漏洞支持的 SoC（嵌入式系统）型号略有不同）——都可能在无意中造成设备损坏。以这种方式丢失证据不仅会令人沮丧，如果该设备是关键的证据来源，还可能对案件造成毁灭性的打击。最佳做法是对任何利用设备漏洞进行获取数据的方法使用类似或最好是完全相同的型号设备进行仔细测试。

值得一提的是，即使设备具有绝对相同的型号和内部相同的SoC，有时也可能有不同的表现。遗憾的是，这意味着即使在同一型号设备上测试成功，也不能100%保证该漏洞对检材是安全的。但是，这显然增加了成功的机会，比根本不测试要好。

人非圣贤，孰能无过？随着技术的发展和进步以及整个取证世界的复杂性不断增加，这种表达方式对于DFIR社区来讲是前所未有的真实。希望通过分享我们的一些常见错误，可以在未来减少酿成大错的风险。为了推进该领域的发展并帮助新的审查员提高，我们都需要共同努力，分享最大的失败、失误和错误。重要的是大家齐心协力，且永远不要停止互相学习。