諾卡德交換原理


Live(揮發性)取證時,調查人員和現場取證人員必須牢記一個重要原則,無論是做為使用者或者調查者,當與Live系統"碰觸"時,都會造成改變。時間的變化、進程的運行、數據的保存或刪除、網路連接或終止等
活動均會造成系統的改變。即使沒有任何"碰觸",運行的系統也處於不斷的變化中。當調查人員在系統中運行指令收集揮發性資料或其他訊息時,當然也會造成系統的改變。運行進程會導致數據被載入至記憶體中,此時其他運行進程所使用的記憶體數據就可能被寫道交換文件中。調查人員使用網路來發送收集到的訊息,則會產生新的網路連結,所有的改變都會被收集,並且可以被諾卡德交換原理所解釋。

20世紀初,艾德蒙.諾卡德博士在鑑識科學和犯罪現場重建領域的工作經驗形成了諾卡德交換原理。基本上諾卡德原理認為當兩個對象接觸時,物質會在這兩個對象之間產生交換或者傳送。如果看過"CSI犯罪現場"電視節目,就會發現犯罪現場調查人員經常會說起可能的"傳送",在汽車撞擊的時候會發生"傳送",同時屍體上也會發現攜帶一些明顯不屬於現場來自"傳送"的物質。

這個簡單的原理也是用於資訊領域。例如,兩台電腦通過網路通信時,訊息會在兩者之間交換,一台電腦中的訊息會出現在另外一台電腦的記憶體、日誌中等等,一個移動式儲存媒體連接至電腦時,設備訊息會保存到這台電腦中。調查人員和運行中的系統進行"碰觸"時,運行進程並複製數據會導致系統的改變。這些改變可能是臨時的(進程記憶體、網路連接),也可能是永久的(日誌文件、登陸檔項目)。

0 意見: