基于宿主的证据

在本文中，我们将讨论基于主机的证据的概述。并且还将详细阐述证据波动性、获取类型、收集程序和记忆获取。让我们一一讨论。

基于主机的证据：
这种类型的证据是在系统上找到的。它包括系统日期、时间、机器上当前处于运行状态的应用程序。

准备基于主机的证据：
现在，正如我们所知，准备是取得良好结果的第一步。在收集证据事件响应方面，分析师应该有必要的工具来收集信息。假设一个组织拥有 Microsoft 操作系统，因此分析师必须拥有可以从此类系统收集信息的工具。分析人员通常使用像 FTKimager 这样的工具。现在在讨论取证和收集程序之前。了解证据的易变性很重要。

证据波动性：
系统上的数据可以是两种类型的易失性和非易失性数据。让我们一一讨论。

1. 易失性数据 –
   它是一种在系统关闭时丢失的数据。易失性数据可以是 CPU、ARP 缓存等中的数据。
   
2. 非易失性数据 –
   它是一种存储在硬盘驱动器中的数据。非易失性数据包括主文件表 (MFT) 条目、注册表信息等。

取证类型：
根据发生的类型以及时间和地理证据获取的任何限制。让我们一一讨论。

1. 当地的 -
   这种类型的获取可以直接物理访问系统
   
2. 偏僻的 -
   当安全分析师不在系统所在的位置时，远程采集就开始发挥作用。在这种类型的采集中，分析师使用工具和网络连接来采集数据。
   
3. 在线的 -
   这种类型的证据也称为从实时计算机或运行内存（即 RAM）中收集证据。
   
4. 离线 -
   这种类型的证据采集是从系统的硬盘驱动器完成的。首先，系统关闭，然后移除硬盘驱动器并使用专门的工具来获取数据。此过程中包含的缺点之一是易失性存储器的丢失，其次，长时间镜像硬盘是一个耗时的过程。

取证程序：
这些是在获取过程中保存或处理证据的必要程序，如下所示。

1. 首先，拍摄系统。
2. 如果系统打开，保持它在那个状态，如果它关闭状态保持它，因为当系统处于活动状态时，我们可以捕获运行内存，如果它处于关闭状态，我们可以捕获来自硬盘的证据。
3. 拍摄模型系列的系统和细节，以帮助监管链流程。
4. 从系统中取出硬盘并将其装入防静电袋中，以确保硬盘不被篡改。

内存获取：
传统的数字取证团队过去常常从硬盘中获取数据，这也称为死盒取证。这种类型的内存获取有助于解决儿童剥削、货币欺诈等情况，因为文件通常存储在硬盘驱动器中