?數(shù)字取證是以各類電子設(shè)備為調(diào)查對(duì)象，通過收集和分析設(shè)備數(shù)據(jù)來獲取電子證據(jù)，從而協(xié)助企業(yè)、司法機(jī)關(guān)解決調(diào)查案件的一門學(xué)科。據(jù)歐盟2019年的公文顯示，大約85%的刑事調(diào)查案件中都涉及電子證據(jù)，因此，如何科學(xué)、有效地進(jìn)行數(shù)字取證對(duì)現(xiàn)代法律體系地建設(shè)與完善起著至關(guān)重要的作用。然而，互聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展給當(dāng)前數(shù)字取證領(lǐng)域帶來了新的挑戰(zhàn)：一方面，隨著云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈等新興數(shù)字技術(shù)的出現(xiàn)，處理多樣化的電子數(shù)據(jù)來源的能力變得尤為重要；另一方面，反取證技術(shù)不斷對(duì)抗發(fā)展，大幅增加了證據(jù)提取和分析的難度。

數(shù)字取證是取證科學(xué)的一個(gè)分支，專注于對(duì)電子數(shù)據(jù)的處理和分析，是發(fā)現(xiàn)、獲取、分析和報(bào)告可疑電子證據(jù)的過程。數(shù)字取證通常遵循以下基本流程（如圖1所示）：首先，取證調(diào)查人員搜尋、扣押可能涉及犯罪案件的電子設(shè)備；隨后，通過對(duì)存儲(chǔ)在設(shè)備中的電子數(shù)據(jù)進(jìn)行收集、檢查和分析，取證調(diào)查人員可以獲得相關(guān)的電子證據(jù)，并以此重新構(gòu)建犯罪案件的整個(gè)過程；最后，取證調(diào)查人員將調(diào)查過程和可疑電子證據(jù)整理為一份完整的報(bào)告并提交給檢察人員。

圖1 電子數(shù)據(jù)取證流程

電子證據(jù)是數(shù)字取證的基礎(chǔ)，與取證流程密切相關(guān)。電子證據(jù)是指在計(jì)算機(jī)、智能手機(jī)等數(shù)字設(shè)備種形成的，能夠反映設(shè)備運(yùn)行狀態(tài)、活動(dòng)等事實(shí)的各類電子數(shù)據(jù)，如系統(tǒng)日志、網(wǎng)絡(luò)流量、音視頻文件、電子郵件等。電子證據(jù)的來源豐富多樣，早期電子證據(jù)主要是從計(jì)算機(jī)、智能手機(jī)等設(shè)備中收集，然而隨著新型犯罪事件的頻繁發(fā)生，數(shù)字取證領(lǐng)域增加了大量新的數(shù)據(jù)來源，如云計(jì)算、物聯(lián)網(wǎng)、軟件定義網(wǎng)絡(luò)等，給數(shù)字取證領(lǐng)域提出了新的挑戰(zhàn)。

除電子證據(jù)新來源外，新型犯罪事件中的電子設(shè)備種類繁多，各類技術(shù)手段日新月異，增加了證據(jù)提取和分析的難度。在證據(jù)提取階段，易失性數(shù)據(jù)的存在常導(dǎo)致有效證據(jù)的丟失，設(shè)備物理損壞和全盤加密技術(shù)的使用使得證據(jù)提取的流程更加繁瑣。在證據(jù)分析階段，多樣的數(shù)據(jù)來源和不斷發(fā)展的反取證技術(shù)，如數(shù)據(jù)偽造、數(shù)據(jù)隱寫、全盤加密等，向取證人員提出了新的技術(shù)考驗(yàn)。

本文將聚焦數(shù)字取證領(lǐng)域面臨的新挑戰(zhàn)：第1部分主要介紹多種電子數(shù)據(jù)新來源；第2部分分析當(dāng)前數(shù)字取證領(lǐng)域獲取電子證據(jù)的困難；第3部分介紹取證人員在證據(jù)分析階段面臨的難題；第4部分介紹其他非技術(shù)難題。

1.  電子證據(jù)新來源

在新型犯罪事件中，犯罪者對(duì)使用新興技術(shù)的各類產(chǎn)品發(fā)起攻擊，并留下多種數(shù)據(jù)痕跡。本節(jié)將介紹云計(jì)算、物聯(lián)網(wǎng)、軟件定義網(wǎng)絡(luò)等新型技術(shù)常面臨的威脅，以及數(shù)字取證在此類犯罪事件中關(guān)注的電子證據(jù)類型。

1.1. 云計(jì)算（Cloud）

云計(jì)算作為當(dāng)前蓬勃發(fā)展的新興技術(shù)之一，正逐步取代傳統(tǒng)的本機(jī)計(jì)算方式，以更快速、靈活的方式為用戶提供計(jì)算機(jī)資源交付服務(wù)。隨著云服務(wù)需求的不斷增加，云已經(jīng)發(fā)展為一個(gè)巨大的數(shù)據(jù)倉庫，攻擊者通過挖掘云中的信息獲得云用戶的私人信息并發(fā)起勒索。除此之外，攻擊者也利用云計(jì)算的能力，發(fā)起諸如分布式拒絕服務(wù)之類的攻擊，并且借助云來隱藏行為。在云取證中，取證人員通常是提取虛擬機(jī)快照、網(wǎng)絡(luò)日志、客戶端數(shù)據(jù)等電子證據(jù)進(jìn)行分析，以便將犯罪者繩之以法。

1.2. 物聯(lián)網(wǎng)(Internet of Things, IoT)

智能家居、醫(yī)療物聯(lián)網(wǎng)器械、無人機(jī)、車聯(lián)網(wǎng)等物聯(lián)網(wǎng)設(shè)備空前普及，為個(gè)人、企業(yè)和政府提供了諸多便利，同時(shí)也成為了攻擊者的目標(biāo)。攻擊者借助物聯(lián)網(wǎng)設(shè)備發(fā)動(dòng)病毒攻擊、大規(guī)模監(jiān)視、拒絕服務(wù)攻擊和物聯(lián)網(wǎng)網(wǎng)絡(luò)中斷等攻擊。為了調(diào)查這些攻擊事件，物聯(lián)網(wǎng)取證應(yīng)運(yùn)而生并不斷發(fā)展。在物聯(lián)網(wǎng)取證中，與安全事件相關(guān)的電子證據(jù)來源十分廣泛，其主要來源是存儲(chǔ)在家用電器、傳感器、汽車、無人機(jī)等物聯(lián)網(wǎng)設(shè)備中的數(shù)據(jù)，如系統(tǒng)日志、臨時(shí)緩存等。除此之外，取證調(diào)查人員也可以通過收集和分析源自路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)或者物聯(lián)網(wǎng)設(shè)備所使用的云服務(wù)中的數(shù)據(jù)，來發(fā)現(xiàn)相關(guān)電子證據(jù)，重現(xiàn)網(wǎng)絡(luò)攻擊的過程。

1.3. 軟件定義網(wǎng)絡(luò) (Software?Defined?Network, SDN)

SDN是一種新的網(wǎng)絡(luò)架構(gòu)，它將數(shù)據(jù)和控制層分離，使網(wǎng)絡(luò)控制變得開放可編程。SDN網(wǎng)絡(luò)包含基礎(chǔ)設(shè)施層、控制層和應(yīng)用層3層架構(gòu)，攻擊者通常使用拒絕服務(wù)攻擊對(duì)基礎(chǔ)設(shè)施層進(jìn)行攻擊，或是偽造數(shù)據(jù)包使控制層內(nèi)存過載，或者利用北向接口的漏洞創(chuàng)建惡意SDN策略來控制整個(gè)網(wǎng)絡(luò)。在SDN的攻擊事件中，取證調(diào)查人員需要分析大量的數(shù)據(jù)，如應(yīng)用程序日志、接口通信記錄、主機(jī)配置文件、可疑鏈路、惡意數(shù)據(jù)包、網(wǎng)絡(luò)流量表等。

1.4. 圖形處理單元（Graphics Processing Unit, GPU）

GPU被廣泛應(yīng)用于圖形處理和大規(guī)模計(jì)算工作，顯著提高了許多應(yīng)用程序的運(yùn)行速度，如比特幣挖礦、金融和科學(xué)計(jì)算、密碼破解等。然而，近年來有研究發(fā)現(xiàn)，一些惡意軟件可以利用GPU執(zhí)行惡意操作，如竊取本機(jī)敏感信息、解包并執(zhí)行惡意代碼等，并且可以有效規(guī)避惡意軟件檢測和分析工具。雖然通過分析系統(tǒng)內(nèi)存中的信息通常可以檢測到惡意軟件正在借助GPU執(zhí)行操作，但是，在某些條件下惡意軟件的執(zhí)行不會(huì)在系統(tǒng)內(nèi)存中留下痕跡，因此取證調(diào)查人員仍需要單獨(dú)獲取和分析GPU內(nèi)部的數(shù)據(jù)。

圖2 電子數(shù)據(jù)取證的數(shù)據(jù)來源

1.5. 智慧城市（Smart City）

近年來，智慧城市技術(shù)被廣泛利用來應(yīng)對(duì)不斷發(fā)展的現(xiàn)代城市所面臨的難以處理的問題。例如，MK Smart是一項(xiàng)在英國開展的智慧城市項(xiàng)目，該項(xiàng)目中有一個(gè)名為MK Data Hub的中心基礎(chǔ)設(shè)施。MK Data Hub數(shù)據(jù)中心包含來自不同來源的801個(gè)數(shù)據(jù)集，包括能源消耗數(shù)據(jù)、交通數(shù)據(jù)、衛(wèi)星數(shù)據(jù)、社會(huì)和經(jīng)濟(jì)數(shù)據(jù)以及社交媒體或應(yīng)用程序的眾包數(shù)據(jù)。這些數(shù)據(jù)是智慧城市項(xiàng)目的核心，自然地引起了攻擊者的關(guān)注，長期以來該數(shù)據(jù)中心的物理安全和網(wǎng)絡(luò)安全一直都面臨著巨大的威脅。在智能城市項(xiàng)目的取證中，取證調(diào)查人員需要分析的是城市內(nèi)全部數(shù)據(jù)，這些數(shù)據(jù)來源廣泛且多樣，因此數(shù)據(jù)的復(fù)雜性極高，嚴(yán)重阻礙了電子數(shù)字取證的實(shí)施。

1.6. 工業(yè)控制系統(tǒng)(Industrial Control System, ICS)

工業(yè)控制系統(tǒng)是一個(gè)廣泛的術(shù)語，用以指代任何用于控制關(guān)鍵基礎(chǔ)設(shè)施（如電網(wǎng)、核設(shè)施和天然氣管道）的物理設(shè)備，主要包括監(jiān)控和數(shù)據(jù)采集（Supervisory Control and Data Acquisition, SCADA）、分布式控制系統(tǒng)（Distributed Control System, DCS）、可編程邏輯控制器（Programmable Logic Controller, PLC）、遠(yuǎn)程終端單元（Remote Terminal Unit, RTU）等。除信息竊取和勒索攻擊等網(wǎng)絡(luò)犯罪相關(guān)問題外，ICS還極易受到一些物理攻擊事件，如化工廠火災(zāi)或電網(wǎng)系統(tǒng)爆炸等。傳統(tǒng)的數(shù)字取證方法主要是對(duì)ICS中的計(jì)算機(jī)進(jìn)行取證，但是對(duì)于SCADA、PLC、RTU等系統(tǒng)的復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)、日志文件、設(shè)備運(yùn)行數(shù)據(jù)、活動(dòng)日志等還需要更深入的研究。

1.7. 區(qū)塊鏈（Blockchain）

近些年，有多項(xiàng)研究將區(qū)塊鏈應(yīng)用到其他領(lǐng)域的電子數(shù)據(jù)取證中，提出了區(qū)塊鏈輔助的取證方法，保證電子證據(jù)鏈的安全性和可追溯性。但是，區(qū)塊鏈領(lǐng)域本身的取證尚未得到廣泛的研究。研究人員對(duì)區(qū)塊鏈技術(shù)中可能發(fā)生的攻擊方法進(jìn)行了研究，提出了將比特幣和其他加密貨幣錢包地址映射到用戶信息的方法，并且驗(yàn)證了針對(duì)分布式P2P存儲(chǔ)網(wǎng)絡(luò)的攻擊方式。當(dāng)前，區(qū)塊鏈領(lǐng)域的電子數(shù)據(jù)取證主要是從內(nèi)存中提取比特幣密鑰、擴(kuò)展公鑰、錢包地址、網(wǎng)絡(luò)協(xié)議和交易歷史等數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行調(diào)查和分析。

2. 證據(jù)提取新難題

在數(shù)字取證流程中，取證調(diào)查人員首先需要提取設(shè)備中的電子證據(jù)，然而，證據(jù)提取的過程并不總是一帆風(fēng)順的。數(shù)據(jù)易失性、設(shè)備物理損壞和設(shè)備全加密等情況和技術(shù)給電子證據(jù)的提取帶來了巨大的挑戰(zhàn)。

2.1. 數(shù)據(jù)易失性

數(shù)據(jù)易失性指的是待取證設(shè)備中的數(shù)據(jù)可能由于某些原因而丟失。例如，計(jì)算機(jī)的內(nèi)存可以包含與系統(tǒng)使用相關(guān)的證據(jù)，如運(yùn)行中的進(jìn)程列表、網(wǎng)絡(luò)連接或驅(qū)動(dòng)程序的加密密鑰等等，但是這些數(shù)據(jù)不會(huì)永久地存儲(chǔ)在系統(tǒng)中，當(dāng)系統(tǒng)關(guān)閉或拔掉電源時(shí)，這些數(shù)據(jù)會(huì)完全丟失。物聯(lián)網(wǎng)設(shè)備上的所有可用信息都可以在本地記錄，不過由于本地存儲(chǔ)通常有限，記錄的傳感器值/執(zhí)行器狀態(tài)數(shù)一直保持在某個(gè)閾值下。一旦數(shù)據(jù)量超過閾值，數(shù)據(jù)便會(huì)被覆蓋，從而可能導(dǎo)致丟失重要證據(jù)。

2.2. 設(shè)備物理損壞

物理損壞是指由于事故、自然災(zāi)害或者其他原因使得物體表面、結(jié)構(gòu)受到破壞的現(xiàn)象，例如智能手機(jī)屏幕破碎、硬盤信道損壞、液體腐蝕等。取證調(diào)查人員在進(jìn)行涉案設(shè)備收集時(shí)，經(jīng)常會(huì)遇到設(shè)備損壞的情況。對(duì)于遭受物理損壞的設(shè)備，取證調(diào)查人員首先會(huì)盡快挽回?fù)p失，比如將浸水設(shè)備進(jìn)行清洗、干燥后反組裝，查看設(shè)備是否可以恢復(fù)正常狀態(tài)。如果設(shè)備損壞嚴(yán)重、無法恢復(fù)原狀，取證調(diào)查人員會(huì)通過更換設(shè)備損壞部件或者提取損壞設(shè)備的有效部件的方式盡可能多地提取電子數(shù)據(jù)。

圖3 提取設(shè)備部件

2.3. 設(shè)備全加密

全盤加密 (Full Disk Encryption, FDE) 是一種使用對(duì)稱密鑰加密（通常是 Advanced Encryption Standard, AES）在塊級(jí)別對(duì)設(shè)備上的所有用戶數(shù)據(jù)進(jìn)行加密的方式，常見的工具有BitLocker 和VeraCrypt。企業(yè)和用戶經(jīng)常使用全盤加密的方式保護(hù)私人數(shù)據(jù)，卻也使得電子數(shù)字取證任務(wù)更具有挑戰(zhàn)性。在沒有加密密鑰的情況下，很難從完全加密的設(shè)備中恢復(fù)數(shù)據(jù)。即使目前取證人員可以利用磁盤加密工具中的恢復(fù)選項(xiàng)從磁盤中提取數(shù)據(jù)，但由于恢復(fù)技術(shù)還不夠成熟，數(shù)據(jù)提取也將十分耗時(shí)，且無法確保提取成功。

3. 證據(jù)分析新難題

在證據(jù)分析階段，取證人員需要處理大量來自不同數(shù)據(jù)來源的電子證據(jù)，再加上諸如數(shù)據(jù)偽造、隱寫和文件擦除等反取證技術(shù)的干擾，使得證據(jù)分析的過程異常困難。

圖4 證據(jù)分析

3.1. 多源分析和關(guān)聯(lián)

隨著提取的電子數(shù)據(jù)的數(shù)量和種類越來越多，取證調(diào)查人員需要關(guān)聯(lián)處理不同來源的電子數(shù)據(jù)來分析和還原案件的經(jīng)過，例如計(jì)算機(jī)、服務(wù)器、路由器、防火墻或其他物聯(lián)網(wǎng)設(shè)備等，這些電子數(shù)據(jù)具有異構(gòu)性和語義多樣性等特點(diǎn)。即使是同種來源的數(shù)據(jù)也有可能會(huì)有不同標(biāo)準(zhǔn)的數(shù)據(jù)格式，例如在云服務(wù)中不同的提供商都有各自的日志記錄標(biāo)準(zhǔn)。復(fù)雜的、有針對(duì)性的網(wǎng)絡(luò)攻擊將其行為隱藏在多源異構(gòu)的數(shù)據(jù)中，只有將所有數(shù)據(jù)作為一個(gè)整體進(jìn)行關(guān)聯(lián)分析，才可以還原一個(gè)完整的攻擊過程。

3.2.  數(shù)據(jù)偽造

數(shù)據(jù)偽造是攻擊者用于迷惑和誤導(dǎo)取證調(diào)查人員常用技術(shù)。攻擊者通過修改系統(tǒng)日志、各類記錄文件、用戶文件、圖像音視頻等多媒體文件來掩蓋犯罪事實(shí)。取證調(diào)查人員通過檢測和識(shí)別這些痕跡來發(fā)現(xiàn)攻擊者的偽造行為。而攻擊者面對(duì)多樣化的取證方法，不斷改進(jìn)現(xiàn)有的數(shù)據(jù)偽造技術(shù)，或者提出新型數(shù)據(jù)偽造方法，以逃避取證。例如，在圖像偽造領(lǐng)域，研究人員已經(jīng)提出了基于圖像篡改痕跡、基于統(tǒng)計(jì)特征和基于深度學(xué)習(xí)的檢測方法，但是攻擊者仍然可以使用中值濾波、指紋復(fù)制和基于對(duì)抗樣本的偽造技術(shù)逃避檢測。

3.3. 數(shù)據(jù)隱寫

隱寫是數(shù)據(jù)隱藏的常用方式，允許攻擊者將任何數(shù)據(jù)（如網(wǎng)絡(luò)罪犯將病毒、垃圾郵件和惡意鏈接嵌入數(shù)據(jù)）插入到可靠的對(duì)象中。在當(dāng)今的數(shù)字世界，互聯(lián)網(wǎng)上的任何東西或一切都可能是秘密信息的掩護(hù)，最常見的是硬盤空閑空間和數(shù)字圖像、音頻、視頻等多媒體文件，除此之外，攻擊者也可以使用冗余通信機(jī)制將數(shù)據(jù)隱藏到網(wǎng)絡(luò)流量中，或者利用網(wǎng)絡(luò)游戲、虛擬世界等新的隱藏場所。由于設(shè)備的存儲(chǔ)容量普遍很大，檢查是否含有隱藏?cái)?shù)據(jù)需要耗費(fèi)大量的時(shí)間，所以取證調(diào)查人員通常情況下不會(huì)直接提取隱藏?cái)?shù)據(jù)，而是檢查系統(tǒng)是否安裝和使用了任何已知的數(shù)據(jù)隱藏工具或程序。另外，提取隱藏?cái)?shù)據(jù)仍然是一項(xiàng)具有挑戰(zhàn)性的任務(wù)，據(jù)了解，目前還沒有有效的工具可以檢測和提取隱藏在已刪除或移動(dòng)的工具、已卸載的軟件、網(wǎng)絡(luò)流量中的電子數(shù)據(jù)，至于隱藏在虛擬世界中的數(shù)據(jù)則是更加難以追蹤。

3.4. 文件擦除

文件擦除是在文件中填充隨機(jī)數(shù)據(jù)以刪除文件的過程。目前存在許多公開的文件擦除工具可在所有平臺(tái)上免費(fèi)使用，幫助用戶清理計(jì)算機(jī)殘留垃圾或徹底刪除用戶文件以保護(hù)其隱私。一旦文件擦除工具被攻擊者用來銷毀犯罪證據(jù)，將使電子數(shù)據(jù)的分析過程變得十分困難。取證調(diào)查人員只能通過設(shè)備中是否存在數(shù)據(jù)擦除工具、文件系統(tǒng)中是否存在殘留、注冊表中是否存在記錄等證據(jù)信息來判斷用戶是否執(zhí)行了擦除操作，但是擦除工具往往會(huì)對(duì)數(shù)據(jù)區(qū)域使用不同的擦除策略擦除多次，導(dǎo)致數(shù)據(jù)恢復(fù)軟件和工具失效。

4. 其他非技術(shù)新難題

4.1. 效率問題

隨著數(shù)字化的不斷發(fā)展，電子數(shù)據(jù)量呈指數(shù)型增長。與過去案件中較少的設(shè)備數(shù)和較小的數(shù)據(jù)量相比，如今的案件設(shè)備數(shù)量和種類大幅增多，取證調(diào)查人員需要處理并分析龐大的數(shù)據(jù)量，這是一項(xiàng)非常耗時(shí)的任務(wù)。以往使用單個(gè)工作站處理案件的取證方式限制了案件處理的效率，因此為了縮短案件分析的時(shí)間，同時(shí)部署多臺(tái)計(jì)算機(jī)同步進(jìn)行取證成為一個(gè)可選之舉。但是，在多臺(tái)設(shè)備部署的取證系統(tǒng)中，取證設(shè)備是否需要人工操作以及設(shè)備間如何同步取證進(jìn)度和關(guān)聯(lián)電子證據(jù)等問題仍然需要進(jìn)一步探討。

4.2. 隱私問題

用戶普遍將個(gè)人信息存儲(chǔ)在常用設(shè)備中，或者通過在線社交網(wǎng)絡(luò)或社交媒體網(wǎng)站帶入網(wǎng)絡(luò)空間，這也導(dǎo)致了在電子數(shù)據(jù)取證的過程中，數(shù)據(jù)收集和分析都有可能會(huì)侵犯到用戶的隱私。此外，由于云平臺(tái)的共享性，云取證采集的日志文件中可能會(huì)包含同一平臺(tái)的其他使用者的信息，嚴(yán)重威脅著與案件無關(guān)的用戶的隱私。為了保證用戶數(shù)據(jù)安全、提升用戶信任，數(shù)字取證的流程仍然需要進(jìn)一步完善和優(yōu)化，研究人員也應(yīng)考慮將更多的安全技術(shù)應(yīng)用到電子數(shù)據(jù)取證領(lǐng)域。

4.3. 資源問題

電子數(shù)據(jù)數(shù)據(jù)取證收集的證據(jù)大部分屬于系統(tǒng)最底層的數(shù)據(jù)，數(shù)據(jù)的復(fù)雜度較高，非技術(shù)人員很難理解和分析。理想情況下，取證調(diào)查人員需要擁有良好的知識(shí)儲(chǔ)備和較強(qiáng)的技術(shù)能力，了解各類設(shè)備硬件和軟件以及網(wǎng)絡(luò)的相關(guān)內(nèi)容，熟悉并掌握多領(lǐng)域的、最新的技術(shù)知識(shí)。然而目前對(duì)電子數(shù)據(jù)取證從業(yè)人員的專業(yè)培訓(xùn)課程和進(jìn)修學(xué)習(xí)課程仍未得到廣泛普及。

參考文獻(xiàn)

[1] Yaqoob I, Hashem I A T, Ahmed A, et al. Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges[J]. Future Generation Computer Systems, 2019, 92: 265-275.

[2] Khan S, Gani A, Wahab A W A, et al. Software-defined network forensics: Motivation, potential locations, requirements, and challenges[J]. IEEE Network, 2016, 30(6): 6-13.

[3] Okai E, Feng X, Sant P. Security and Forensics Challenges to The MK Smart Project[C]//2019 IEEE SmartWorld, Ubiquitous Intelligence & Computing, Advanced & Trusted Computing, Scalable Computing & Communications, Cloud & Big Data Computing, Internet of People and Smart City Innovation (SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI). IEEE, 2019: 1666-1670.

[4] Balzarotti D, Di Pietro R, Villani A. The impact of GPU-assisted malware on memory forensics: A case study[J]. Digital Investigation, 2015, 14: S16-S24.

[5] Fukami A, Nishimura K. Forensic analysis of water damaged mobile devices[J]. Digital Investigation, 2019, 29: S71-S79.

[6] Hoelz B, Maues M. Anti-Forensic Threat Modeling[C]//IFIP International Conference on Digital Forensics. Springer, Cham, 2017: 169-183.

[7] AlHarbi R, AlZahrani A, Bhat W A. Forensic analysis of anti‐forensic file‐wiping tools on Windows[J]. Journal of Forensic Sciences, 2022, 67(2): 562-587.?