10、数字取证与平板电脑市场分析

数字取证与平板电脑市场分析

1. 树莓派中间人攻击的数字取证

1.1 证据分析

在对树莓派进行数字取证分析时，针对不同证据展开了研究。对于证据 1，使用 Bulk Extractor 工具提取了个人身份信息（PII）数据。对于证据 2，网络日志显示客户端连接到了 Rowdy_Student1 AP，并且工具能够找到该事件的痕迹。在图像提取和 PII 数据提取方面，该工具从取证图像中仅提取出 15 张图像，相比其他工具数量较少，且在第二个取证图像中未找到任何 PII 信息。

1.2 实验结论

通过实验得出了三个主要结论：
- 可以使用树莓派作为中间人攻击的工具，并且数字取证可用于提取可接受的证据收集和分析方法。
- 能够从树莓派的证据图像中以系统日志、元数据和 PII 的形式检索或提取重要的数字信息，这些结果可作为类似情况下证据收集的可接受方法。
- 用于创建存储卡取证图像的法医先决条件、技术和测试确认，以及使用三种不同工具分析提取的工件，能够实现数字证据的识别、收集和分析。这些数字证据以日志文件的形式存在，有助于法医调查人员构建导致事件发生的重要时间线，并可能对嫌疑人进行定罪。

1.3 工具评估

对用于分析从证据图像中提取的数字工件的三种工具进行了比较，评估它们在某些参数上的性能。具体比较结果如下表所示：
| 参数/工具 | Autopsy | FTK toolkit | Bulk extractor |
| — | — | — | — |
| 文件系统结构 | 能够提取文件系统结构 | 无法创建文件系统结构 | 无法创建文件系统结构 |