取证数据

病毒、恶意软件和勒索软件可以实施恶意活动,例如盗窃或更改数据。这些活动可能需要进行调查,仅当提供了数字证据时才有可能。但是,部分数字证据(例如文件或活动痕迹)可能被删除,或者发生恶意活动的计算机可能不可用。

具有取证数据的备份允许调查人员分析通常不包含在常规磁盘备份中的磁盘区域。取证数据备份选项让您可以收集可用于取证调查的以下部分的数字证据:未使用的磁盘空间快照、内存转储以及运行的进程的快照。

带有取证数据的备份会自动进行公证。

取证数据选项仅适用于运行以下操作系统的 Windows 计算机的完整计算机备份:

  • Windows 8.1,Windows 10
  • Windows Server 2012 R2 – Windows Server 2019

具有取证数据的备份不可用于以下计算机:

  • 通过 VPN 连接到您网络并且无法直接访问 Internet 的计算机
  • 其磁盘由 BitLocker 加密的计算机

将启用了备份模块的保护计划应用于计算机后,无法修改取证数据设置。要使用不同的取证数据设置,请创建新的保护计划。

可以在以下位置存储具有取证数据的备份:

  • 云存储
  • 本地文件夹

    仅支持通过 USB 连接的外部硬盘上的本地文件夹位置。

    本地动态磁盘不支持用作具有取证数据的备份的位置。

  • 网络文件夹

取证备份过程

系统在取证备份过程中将执行以下操作:

  1. 收集原始内存转储和正在运行的进程的列表。
  2. 自动将计算机重新启动到可启动媒体中。
  3. 创建同时包含已占用空间和未分配空间的备份。
  4. 公证备份的磁盘。
  5. 重新启动进入实时操作系统并继续执行计划(例如,复制、保留、验证等)。

配置取证数据收集

  1. Cyber Protect 中控台中,转到设备 > 所有设备。或者,可以从管理选项卡创建保护计划。
  2. 选择相应设备,然后单击保护
  3. 在保护计划中,启用备份模块。
  4. 要备份的内容,选择整个计算机
  5. 备份选项中,单击更改
  6. 找到取证数据选项。
  7. 启用收集取证数据。系统将自动收集内存转储并创建正在运行的进程的快照。

    完整内存转储可能会包含敏感数据,例如密码。

  8. 指定位置。
  9. 单击立即运行以立即执行带有取证数据的备份,或者等到根据预定创建备份。
  10. 转到监控 > 活动,验证是否已成功创建带有取证数据的备份。

结果,备份将包括取证数据,您将能够获取它们并进行分析。带有取证数据的备份会被标记,并可以在备份存储 > 位置中通过使用仅限取证数据选项从其他备份中过滤得到。

如何从备份中获取取证数据?

  1. Cyber Protect 中控台中,转到备份存储,选择包含取证数据的备份的位置。
  2. 选择带有取证数据的备份,然后单击显示备份
  3. 单击恢复以获取带有取证数据的备份。

    • 要仅获取取证数据,请单击取证数据

      系统将显示带有取证数据的文件夹。选择内存转储文件或任何其他取证文件,然后单击下载

    • 要恢复完整取证备份,请单击整个计算机。系统将在不使用启动模式的情况下恢复备份。因此,将可以检查磁盘是否未被更改。

可以将提供的内存转储与多个第三方取证软件一起使用,例如,通过访问 https://www.volatilityfoundation.org/ 将 Volatility Framework 用于进一步内存分析。