13、数字取证与山寨手机取证分析

数字取证与山寨手机取证分析

社交网络取证相关内容

在当今数字化时代，社交网络已成为人们生活中不可或缺的一部分，同时也为数字取证带来了新的挑战和机遇。目前，大多数社交网络在存储图片前会移除元数据，但未来情况可能会有所改变。

在社交网络取证中，有三种先进的可视化技术对调查人员非常有用，有望成为社交网络取证的标准工具：
1. 事件跟踪 ：对于通过社交网络传播的病毒和其他恶意应用程序的调查，需要确定事件的起始者。虽然跟踪这些事件并不容易，但收集不同用户的社交网络足迹可以帮助了解传播特征、传播策略等分析信息。
2. 时间线匹配 ：在像社交网络这样高度集中的系统中，调查人员可以利用社交网络提供的一致时间戳。社交网络运营商通常运行自己的NTP基础设施，确保数千台服务器的时钟一致。这些时间戳可用于匹配不同用户的时间线，为整个好友群甚至更大的群体创建精确的时间线。这一功能最近在NTFS中被提出，对社交网络和云计算系统都很重要。
3. 差异快照 ：用户资料的取证图像可能会因拍摄时间的不同而有很大差异。因此，调查人员希望能够可视化给定用户的社交网络数据，以及同一用户先前图像之间的差异。

为了验证这些技术的可行性，研究人员以Facebook为例进行了实验。他们采用特定方法收集了Facebook的数据，包括所有社交连接、直接通信、图片等。每个账户的数据采集大约需要20分钟，研究人员认为这是一个合理的时间。之后对输出进行解析并生成了相关图表。

在可视化方面，社交互连图的创建利用了Facebook API的一个功能，该功能允许应用程序查询两个用户是