数字取证中的证据类型

Question

在研究数字法医学时，我对不同类型的证据，特别是间接证据和佐证证据感到困惑。

假设情景：

• 由于已知恶意软件的签名而生成IDS警报。
• 在代理服务器上发现恶意软件的提取
• 在主机的OSSEC IDS上发现了一个警报
• NGFW阻止了一个URL，该URL是从可能受感染的主机请求的。

那么，哪一个是恶意软件感染的最佳证据、直接证据、间接证据和确证证据？

Answer 1

这一问题没有具体说明证据被发现的顺序，这使情况变得混乱。我将按照我所选择的顺序排列，这样才能使它最有意义：

间接证据：

“IDS警报是由于已知恶意软件的签名而生成的”--这是证据，但有时IDS会生成虚假的积极警报，例如，由于用户或程序进行了与恶意软件对IDS所做的类似的合法活动，或者IDS中捕获的行为类型多于预期的错误。

佐证：

“在主机的OSSEC IDS上发现了警报”(似乎与上面的内容相同？)

“NGFW阻止了可能受感染的主机的URL。”-- IDS和防火墙都检测到类似恶意软件的活动和主机匹配的事实，这意味着间接证据已经得到证实。然而，从理论上讲，这可能是一个假阳性，例如，一名安全专业人员可能正在使用wget或curl访问受损害的网站，以检查网站上的内容。这还不是直接证据！

直接证据和最佳证据：

“在代理服务器上发现了恶意软件的提取”--这意味着发现了实际的恶意软件。这是直接证据，也是(企图或实际)恶意软件感染的无可辩驳的证据。因为从其他证据我们可以看到它在运行，这肯定是一个实际的恶意软件感染。