我无法理解数字取证和逆向工程的确切区别。Digital Forensic 是否与反编译、汇编代码读取或调试有关?
谢谢
问问题
1214 次
5 回答
6
数字取证实践通常涉及:
- 查看日志文件
- 恢复未链接的文件系统对象(例如已删除的文件)
- 通过缓存等恢复浏览历史
- 查看文件的时间戳
(通常用于执法目的)
逆向工程通常涉及通过以下方式确定事物的工作方式:
- 查看多个文件(或可执行文件)的二进制文件格式以确定模式
- 二进制可执行文件的反编译以确定代码的意图
- 已知良好应用程序的黑盒和/或调试以确定与数据相关的标称行为。
(通常是为了互操作性)
它们是完全不同的活动。
编辑:很多错别字。
于 2013-08-17T14:22:13.257 回答
4
I think the lines are a little more blurred than most realize. Digital forensics goes after the artifacts to prove certain activity has taken place. Very few software packages offer documentation on the files that are created by that application. Basically, reverse engineering is required to figure out what the artifacts are, but not all forensic examiners are required to do the actual reverse engineering part.
于 2013-08-17T22:56:05.203 回答
2
两者都非常非常不同。
逆向工程是在没有工程文档的情况下解构系统行为的过程。
它有很多用途:复制或利用系统,或者仅仅制造与系统兼容的产品。它可能涉及软件工具(IDApro)、在线仿真器、烙铁等。一个很好的例子是,可以使用硝酸来处理芯片https://www.youtube.com/watch?v=mT1FStxAVz4然后将芯片放在显微镜下,以可能确定它的一些结构和行为。(IANAL、IANAC:在没有化学知识和实验室安全的情况下不要尝试。)
数字取证希望通过检查计算、网络和存储设备的证据来了解人或系统可能做了什么。
它主要由维护系统的人员(例如系统管理员或执法人员)用来确定潜在犯罪发生的人/内容/方式。这可以自动(Snort、Tripwire)或手动(搜索日志,例如在 Splunk 或 Loggly 中,或搜索原始磁盘快照以查找特定字符串)。
于 2013-08-18T02:39:12.370 回答
2
有非常非常不同的东西!Digital Forensics 用于检索已删除的工件,记录 am dd 图像,您可以像查看大图一样查看它。
逆向则相反,它挖掘二进制代码并 100% 了解它的作用。
如果你想进入这个领域,我推荐阅读 Practical Malware Analasys 这本书。
于 2013-08-30T22:54:32.400 回答
0
数字取证是通过多种方式从数字媒体(计算机、手机和平板电脑、网络)中检索信息的实践。通常用于执法,但可以用于私人组织和其他各方;特别是在新兴的电子发现领域。
逆向工程是查看文件/系统的代码或二进制文件,并确定其结构和工作方式。
这是两种完全不同的科学。但如果你仔细想想,它们是齐头并进的。数字取证需要逆向工程来确定他们分析的文件中可用的信息以及这些信息的存储方式。任何优秀的数字取证公司都会有一个研发部门,允许他们在内部进行这项工作。
于 2013-10-27T10:00:55.993 回答