全国网安部门手机取证培训资料_Actionable Intelligence(1)

统一数据、工作流程和团队
技术投资最大化
36
行动情报平台
实现端到端的数字调查
数据源
提取和解码
移动设备 云
电信运营商
应急人员和 移动 实验室
警察局
取证实验室
储存和索引
文本
链路
视频
图片
分析企业平台
案件管 理 系统
第三方分析
记录管 理系统
分析和报告
取证人员 侦查员 分析人员 检察官 指挥人员 管理人员
37
25
构建模块 #1
移动设备解锁、解密技术
• 立即可用 • 时间敏感性的重大突破 • 直达采购流程 • 双刃剑
高级解锁 + 漏洞利用
26
设备细分
27
Android 统计数据
全球已交付 11.33 亿部
Android 电话
Android 占全球智能手机市场的
87.5%
美国有 1.07亿 Android 智
55
端到端数字调查的积极结果
截止到 2015 年底的结果
90% 的数字调查产生积极结果
• 31% 使用数字调查数据指控 • 7% 排除 • 52% 协助调查
56
端到端数字调查的积极结果
截止到 2015 年底的结果
40% 移动设备调查数量增加
• 节约保释申请费 130万英镑 • 节约侦查员差旅费 90万英镑 • 弃保潜逃和保释中重复犯罪情
况减少
57
行动情报规划
五年总规划
1
一次性成本 +
年度经常性成本 +
年度扩展推进成本
2
专业服务 +
基础设施成本
3
固定预算
58
6 个构建模块
1 使用多层调查模式 2 常规主要绩效指标 (KPI)
报告和控制
3 持续提升数字调查能力和技 术
4 持续的能力与知识培训 5 快速找出行动情报，
确保实时协作
6 高级保险室 / 锁破解和漏洞 利用
争取时间预防案件发生
10
法庭判决和立法 如何影响 …..
下一条线索是什 么？会在哪里?
难题排序
应急人员如何帮 需要进行跨案件 忙收集数据… 交叉分析吗?
来自百度文库
跨团队 成员如
如何管理积
何协作?
压工作?
哪些数据源
如何保护
是重要的?
如何快速
个人数据? 工作需要
分析数据?
需要哪些培训…
哪些工具
KPI 报告?
…
11
高级
高级移动设备调查， 90%-100%
专业解锁解密技术
技术工具 云分析器
专业解锁/提取/解密
分部和中心实验室的 第 1 和 2 层 高级移动数字数据调
查
30%-90%
手机深度取证
第3 层
侦查单位 的鉴别数据调查
10%-30%
手机快速取证
路线图: -OSINT -计算机取证数据 -BSSID 数据库 -全球地图覆盖
62% - 第 3 层 SSK
50% 计算机调查
38% - 第 2 层+1 (网络中心
+ 实验室)
47
KPI 报告: 数据量
表3 数据量
SSK数(#) 网络中心数(#) SSK数据量(Tb) 网络中心数据量(Tb) 中心实验室数据量(Tb) 总数据量(Tb)
每年100%的 数字调查数据
2017
10% - 第 3 层(SSK) 30% - 第 2 层(网络中心)
44
构建模块 #5
手机取证网络管理系统
• 使用监控 • 控制用户对配置文件的访问 • 许可控制 • 软件版本控制 • KPI 报告
KPI 报告 + 控制
45
Ce中nt心ra数l D字ig实it验al室Lab
警Di种Svius部bion门 警Di种Svius部bion门 警D种iSvius部bio门n 警Di种Svius部bio门n 警D种iSvius部bio门n 警Di种Svius部bio门n
移动数字取证系统性建设规划
100% 连续性 持续发展 综合的端到端解决方案 单一供应商问责制
62
谢谢
64
能手机用户
Android 占中国市场的
64.6%
28
Android 操作系统分布 Nougat
Marshmallow
Lollipop
Gingerbread
Ice Cream Sandwich Jelly Bean
KitKat
29
构建模块 #2
使用多层调查模式
30
构建模块 #2
典型调查结构 中心数字取证实验室
6
时间: 2016 年 7 月 15 日 地点: 土耳其伊斯坦布尔 土耳其反政府武装在多个主要城市发起 协同军事行动来推翻政府，冲突中有 241 人死亡，2194 人受伤。
7
时间: 2015 年 5 月 17 日 地点: 德克萨斯州韦科
在一次黑帮枪战中，9 名摩托车手死亡。 警方在现场逮捕了177 名摩托车手，缴 获了 180 多台设备。大量的证据让警方 和检察官办公室疲于应对。 他们不断要求法院给予更多的时间，让 他们能完成审判案件的准备工作。
33
构建模块 #3 快速地跨案件协作和高级分析
34
构建模块 #3
手机取证数据分析技术
• 用来发现隐藏情报的高级分析 • 快速地跨案件分析与协作 • 基于角色的工作流程 • 统一数据管理和控制
快速地跨案件协作和高级分析
35
专用解决方案
利用数字数据的威力
手机取证数据分析节约了宝贵的时间和人力资源
缩短案件周期
从端到端的数字调查 (EEDI) 平台 的 6 个主要的构建模块
23
案例分析
• 2012年至 2015年 EEDI试点 • 2016年开始从部分到全方位部署手机取证系统 • 150 名实验室分析师和 350 名一线侦查员
六个 EEDI 构建模块的最早采纳者
24
构建模块 #1 高级保险库/锁破解 + 漏洞利用
“据知情人士介绍，美国联邦调查局与以色列 Cellebrite Mobile Synchronization Ltd. 合作，破解 了去年加利福尼亚圣贝纳迪诺枪击案中使用的 iPhone。”
The 3 Vs
5
时间: 2015 年 11 月 13 日晚上 9:16 地点: 巴黎北郊 同时发生爆炸和枪击事件 有130 人死亡，368 人受伤
移动数字取证技术培训
实现端到端的数字取证 (EEDI) 平台
1
议程
1 引言 2 5 种挑战 3 6 个 EEDI 构建模块 4 手机取证新技术案例分析
2
移动数据取证面临的主要挑战
3
主要挑战
1. 设备解锁
2. 数量
5
3. 多样性
种挑战
4. 速度
5. 易变性
4
A few months back
2016 年 3 月 30 日Bloomberg Technology 新闻
一次性预算 第1年 第1年 第2年 第2年 3rd Year 3rd Year
经常性预算 第 2-5 年 第 2-5 年 第 3-5 年 第 3-5 年 第 4-5 年 第 4-5 年
年度扩展和推进预算 第 3-5 年 第 3-5 年
第 4-5 年 第 4-5 年 第 5 年以后 第 5 年以后
61
4. 持续的人员培训 5. KPI 报告 + 控制 6. 持续的能力提升
22
人员
流程
产品
1 高级解锁和漏洞利用
2 使用多层调查模式
3 快速地跨案件协作和高级分析
4 持续的人员培训 5 KPI 报告和控制
6 持续的能力提升
人员
流程
产品
3- 5 年规划 多机构 保障未来
数字调查遇到的挑战：
设备锁定 数量 多样性 速度 易变性
手机取证深度采集及 关联分析工具
25%
案件调查及分析部门
手机取证快速采集 设备
70%
办案人员
移动取证数据来源
32
事实和数字 (2016)
• 每年 385,000 起案件 • 每年 45,000 台数字设备 • 每年 50,430 个 TB • 数据量每年增长 100%
40% 移动设备侦查
148% 数字侦查数据
1188
利用这种数字金矿的挑战 有限的资源
数据访问工具
人工流程
线索生成时间
人员减少
用较少的资源做更多的事 – 需要提高现有人员的工作效率
19
6 个构建模块 行动情报
实现端到端的数字调查
案例分析：英国伦敦大都会警察局（ UK London Metropolitan Police）
20
智慧 知识 信息 数据
MPS LabNet- 数据分析警务项目
• 目标是可使用 2 小时 • 远程访问和分析数据 • 支持所有侦查员 • 从中心系统转移到子系统
38
构建模块 #4 持续的人员培训 – 培训
39
构建模块 #4
分析人员 + 取证人员
所有中心实验室 + 分实验室认证培训 专业高级培训
侦查员
培训逻辑数字鉴别调查培训师
双峰枪战 德克萨斯州韦科
- 案例分析
时间: 2016 年 12 月 23 日 地点: 马哈拉施特拉邦 Surjagarh – Gadchiroli 地区 有500 人参与暴动，在暴乱中烧毁了 80 辆卡车 ，共造成3 人死亡，多名安保人 员受伤。
9
成百上千台移动设备
成千上万的目击者
海量且快速变化的情报
主要挑战
5
1235789 = Z 设备锁定
种挑战
7415963 = N
12
主要挑战
5
4 8 16 32 64 256
数量
种挑战
13
主要挑战
Whatsapp、Wechat、
5 SnapChat、Facebook
多样性
种挑战 Messenger、Line、QQ
14
主要挑战
5 256kbps、1mbps和10Gbps
速度
种挑战
15
主要挑战
Radio Tactics UK
5 Wynyard
种挑战 Cellhunter
易变性
16
主要挑战
1. 设备锁定
5
2. 数量 3. 多样性
种挑战
4. 速度
5. 易变性
17
准备不足
准备不足
运营影响：
• 功能停滞 • 更替率高 • 结案时间延长 • 不必要的成本
– 人员更换 – 失误 – 外包
端到端的数字调查
51
未来能力联合培养
• 安全、加密和密码 • 智能设备和内嵌系统 • 汽车电子设备
52
未来能力联合培养
• 云计算 • 面部识别 • 计算机、WiFi 和网络
53
人员
流程
产品
1 使用多层调查模式
2 常规主要绩效指标 (KPI) 报告和控制
3 持续的提升数字调查能力与技术
4 持续的能力与知识培训 5 高效的多利益相关者信息共享、协作和高级分析
把真正的调查“智慧”运用到自动的直观推断之中，以缩短发现 线索的时间，以便快速有效地采取行动
把事件和证据信息串联为有用信息的大数据分析与相关技术
把数据转化为可用信息的高级技术和方法
提取数字设备数据的基本技术
深入的数字调查与取证概念
21
6 个构建模块
1. 高级解锁 + 漏洞利用 2. 使用多层调查模式 3. 快速地跨案件协作 + 高级分析
6 高级保险室 / 锁破解和漏洞利用
人员
流程
产品
3- 5 年规划 多机构 保障未来
解决数字调查难题 :
设备锁定 数量 多样性 速度 易变性
从端到端的数字调查 (EEDI) 平台的 6 个主要构建模块
54
端到端数字调查的积极结果
20/20/20 伦敦市长的目标
20%
犯罪率下降 公众信心上升 运行费用削减
业务部门 调查分析部门
使用多层调查模式
31
Cen中tr心al数D字ig实it验a室l Lab
技术工具
手机取证大数据分 析系统/平台
目标数量
5%
警D种iSv/iu部sbio门n 警D种iSvi/us部bio门n 警D种iSvi/us部bio门n 警D种iSvi/us部bio门n D警i种Sviu/s部bio门n 警Di种Svi/us部bio门n
侦查单位
一线/办案人员
移动取证数据源
取证中心管理系统
中心用户管理
中心许可与版 本控制
实时监控
使用跟踪 KPI 报告
46
KPI 报告: 设备数量
表1 设备检查量变化趋势
检查次数/年 电话(通过实验室/FSP) 电话（通过SSK） 计算机 计算机(通过网络中心) 视频 音频 合计
40% 移动设备调查
2015
反恐单位
预防、事件响应、事件后数字调查
检察官
从法律角度进行数字调查
持续的人员培训
40
高级 MPS 技能 (2016)
• 蜂窝基站分析 (约 300 个案例) • 专业音频 + 视频 (约 50 个案例) • 复杂和简单 Chip off (约 85 个案例)
43
构建模块 #5 KPI 报告 + 控制
60% - 第 1 层(实验室)
48
构建模块 #6 持续的能力提升
49
构建模块 #6
能力提升
新技术跟踪和升级(专业解锁 / 提取 / 解密)
更多数据源
移动终端+ 云分析器 + OSINT
持续的能力提升
50
持续提升数字调查能力与技术
高级
私有云数字数据调查 超过 100%
(Facebook, google 服务)