第二届全国电子数据取证大赛马上就要举行了。等着睡觉闲着也是闲着，就结合上一届的体会，总结下这届竞赛的几个特点。一、立足实战出题人来自香港大学邹锦沛教授团队。邹教授团队曾经处理过陈冠希案件，实力有目共睹。香港作为国际化都市，不仅执法部门需要电子数据取证，大企业机构的需求更大。邹教授团队也一直是电子数据取证领域的实战先锋。比赛从第一届开始，就一直立足实战，分析实实在在的案例。二、个人素养，团队协作并重从上次竞赛开始，就设置了个人赛和团体赛两个环节，个人赛案例相对简单，一般只涉及到一个设备的镜像文件，而团体赛就要复杂的多，一般会有多个镜像文件。个人赛考察基本的个人取证素养，团体赛（四人以内）考察的则是面对复杂案件时，取证的思路、证据链条的构建、团队协作等各个方面。大赛委员会设置两个环节颇有深意，只有通过个人赛的选手才能进入团体赛。这也是为了保证参赛选手都有具备较好的电子数据取证取证素养。三、注重综合能力个人赛只需要回答每一个具体的问题。而团体赛每支队伍需要将答案写入取证分析报告。竞赛结束后进行十分钟的陈述，由评委进行质询。由这一点可以看出，大赛把学生取证报告的书写能力、表达能力也放到非常高的地位，这也是与实践需求相吻合的。四、开放除了必要的软件准备外，竞赛没有限定取证工具，这让学生可以更自由的去发挥。不管是专业取证软件，或者开源工具，只要能解决问题的就是好工具。当然这对积累不够的团队来说，要困难一些。同时由于竞赛时间短，还对设备有较高的要求，比如我们这样的团队，就要想办法去克服和解决。以后竞赛有没有可能由厂商主动提供呢？我个人认为竞赛模式还是非常切合实际工作，也可以借鉴到基层的电子数据人才培养模式中，当然竞赛毕竟是理想化的，和实战还有一定的距离，但不失为一种很好的培养发现人才的方式。后附竞赛提供的案例背景资料，一起猜猜，会怎么出题呢？（一）个人赛-背景介绍Hugo是一个职业黑客，他喜欢透过非法入侵他们电脑来炫耀自己高超的电脑技术。他也是一个臭名昭著的匪徒，其敛财手段主要有：1）网络攻击诈骗、2）编写及分发电脑病毒及3）网络诈骗。Hugo最近被逮捕，他的电脑也被没收了并送至法证取证检查处。你是一个计算机取证专家，你负责调查Hugo曾否进行过任何的非法活动，并找出其同党的数据。（二）团队赛-背景介绍审问Hugo之后发现，发现他的朋友Jason也是一位网络知名的黑客高手。Jason与Hugo不时交流黑客技术（包括不同的网络通讯方法）， 也一起接收及执行来自不同客户的网络黑客生意。近日，Jason 被逮捕，他的计算机和手提电话被没收了并送至计算机取证实验室。你是一个计算机取证专家，受警方委托接到了Jason被送检的数字设备。你负责调查Jason的数字设备中是否有他和Hugo的犯罪证据。（三）背景知识Windows系统取证分析注册表分析Linux及苹果系统取证分析网络取证分析手机取证分析资料恢复与分析（四）必要准备工作（请学生自由准备相应取证设备计算机或软件）每一个团队至少有3台台式计算机或手提电脑，并且每一台计算机至少有50G的磁盘空间用于处理电子证据标准取证分析工具（例如：Encase，FTKImager， X-Ways Forensics， 取证大师等）注册表分析工具（例如：用于电子取证的注册表分析工具，WRR， Registry ripper，等）手机取证分析工具（例如：.XRY，Oxygen等）网络取证分析工具（例如：Wireshark等）（五）可选准备工作用于复制或传输磁盘镜像的额外硬盘或移动硬盘VMWare工具（例如：vmplayer，vmware-vdiskmanager）内存4G以上内存用于处理电子证据内容转载自公众号 网安杂谈了解更多