大家好。我是杰西卡·海德,我想借此机会在DFIR社区分享不同的分享方式。回到2017年,我写了一篇关于分享DFIR的重要性的博客虽然所有这些建议都是正确的,但我想提供这一更新,因为现在有更多的机会在社区中分享。
随着法医考官技能的提高,分享是一种自然的吸引力。在上一篇文章中DFIR中的回报我首次发布了DFIR需求层次结构,它展示了法医考官从独立案例工作到与社区共享的自然发展过程。当许多人达到这个水平时,他们可能会寻找方法来分享他们正在学习的东西,或者随着他们在这个水平上的发展,他们可能正在寻找更多的方法来与社区分享。这篇文章的目的是探索为社区做出贡献的不同方式。
在接下来的几个月里,作为“新年,DFIRent You”系列节目的一部分,我们将探索分享对你的职业生涯和其他建议有帮助的方式。在这个新系列中,我们将探索各种主题,以帮助考官在职业生涯的不同阶段成长。这篇文章将关注分享知识、学习和研究的不同方法。如果你喜欢写作、编写脚本,或者有口头表达的天赋,请找到适合你的格式或媒介。
要共享的方法
共享脚本!
它不一定是花哨的。在您的案例中,您可能编写了快速代码来解析一件事,这可能会对其他人有所帮助。即使您不是程序员,如果您可以编写一个SQL查询,并且它可以解析数据库以查找新工件,那么也可以共享该查询。
有很多地方可以共享,从您自己的个人Git存储库到博客,甚至可能是其他人博客上的访客帖子。也有机会利用框架为现有项目作出贡献。一个例子是亚历克西斯·布里格诺尼的ILEAPP和ALEAPP,这是解析iOS和Android设备的框架。人们经常编写小型解析器,在Alexis构建的框架内工作,Alexis将该项目变成了一个社区项目。我最喜欢的一些来自普通共享者的Git存储库包括约格什·卡特里,马里·德格拉齐亚、和瑞安·本森.
共享脚本的另一种方法是在磁铁取证文物交换这些工件可以使用SQLite、XML模板或Python编写。你甚至可以使用磁铁自定义工件生成器在没有编码经验的情况下,从SQLite数据库创建一个。一旦您编写了自定义工件,就可以通过工件交换与社区共享。
共享工件信息
也许你不喜欢编写脚本,但你知道数据是如何存储的,你可以手动解析它,也可能是你在工具中刻意追求的东西。分享有关该工件的信息!您可以直接与项目或工具的开发人员共享此内容,看看他们是否可以将您的学习融入其中。
有两个项目是关于共享工件知识的。纽黑文大学主办人工基因组项目。目前描述的工件超过1100件。此外,DFIR。培训托管了一个定义各种工件的页面.
响应问关于论坛和Listserv的问题
如果你阅读了论坛或listserv,并且你有经验、想法或参考,请分享!有各种论坛、listserv,甚至Discord服务器。
最近,一个关注我不关注的listserv的人联系了我,因为他们认为我可能有一个问题的答案,所以碰巧我帮助了一个案件中遇到这种情况的人。当然,我现在有另一组需要开始观看。
你永远不知道你有经验的东西什么时候能帮助别人。你可能没有时间遵循每一件事,但如果你有想法、参考或经验,请伸出援手。如果这是在你的情况下最好的行动方案,你通常可以通过直接信息私下进行。
我已经成为了数字取证不一致服务器共有6000多名法医考官通过不同渠道讨论各种主题。这意味着您可以加入有关特定主题的对话。
在社交媒体上提供更多背景
不久前,有一些关于在DFIR社区中有效使用Twitter的精彩讨论。 哈兰·卡维定期解决为喜欢或重新分享的推文和LinkedIn帖子提供更多上下文的问题。提供额外上下文的一种方法是在您发现感兴趣的内容时引用推文,而不是简单的转发推文。Quote Tweet的目标是将原始推文与您共享它的原因结合在一起。这并不总是必要的,但值得考虑在您转发的内容中添加一个“So What”因素。考虑给观众一个简介,说明你为什么要在你共享的平台上共享数字内容,从LinkedIn到Twitter,再到你选择的社交媒体。
成为导师
您可以在组织内外进行指导。学员可以是同事、学生,也可以是其他组织中从事该领域工作的人。导师制可以侧重于软技能和技术技能。
做一名导师的神奇之处在于,你不仅有机会鼓励某人成为更好的技术资产或专业人士,而且你还可以从学员那里学到比你想象中更多的东西。被辅导者有一个习惯,就是以新的挑战和灵感的形式,把你最好的一面展现出来。这种关系是基于共享的,可以互惠互利。如果你的工作阻碍了你创作公共艺术作品的能力,那么导师是一个很好的分享方式。
参与辅导有很多正式和非正式的方式。程序,如像女孩一样玩耍拥有正式的导师计划,科学、技术、工程和数学(STEM)领域的女性与女孩结对学习STEM职业。
我个人看到的其他一些指导工作的独特方式包括圣母院女性法医训练营该实验室有大学生,他们也在圣约瑟夫县网络犯罪实验室工作,教和指导高中女孩有关数字取证的知识,同时还引进了数字取证社区的职业女性,与大学生和高中学生一起工作,所有这些都在主任米奇·卡伊泽的指导下,提供四个级别的近邻指导。
我最近参加的另一个辅导机会是帮助模拟法庭。一些大学利用模拟法庭准备数字取证学生作证。在帮助模拟法庭的过程中,我能够与学生一对一地进行准备,然后参与提问并提供反馈。帮助年轻学生做好准备的好方法。如果您有兴趣以这种方式提供帮助,我很高兴为您介绍将模拟法庭纳入其课程的教授。
教
通过创建课程和教学,有很多机会分享您的知识。这可能是在学院或大学。或者,它可以与当地的一所高中分享有关数字取证的信息,自愿授课。
您甚至可以向组织中的非技术利益相关者传授基本的法医学知识,这样他们可以更多地了解您的角色,同时也有助于他们更好地了解您所做的工作。
写入
有很多方面可以用来在纸上发布内容。从推特到博客,从白皮书到学术文章再到书籍,不一而足。所有这些都与该领域相关且适当。我应该指出,这些承诺的时间相差很大。
写作——社交媒体帖子
推文可以很快地获得新发现的信息。通常,推特是人们谈论工具最新更新、最新发现以及分享他们正在进行的研究的地方。这是一个快速分享新发现的好地方。这也是一种有效的方式,可以快速分享您如何利用研究或发现有价值的资源的背景,以便其他人能够意识到这一点#DFIR公司或看看我的法医名单.
其他人在LinkedIn上分享信息。领英允许使用比推特稍长的格式。然而,观众略有不同。我建议在适当的时候在两个地方共享信息。我倾向于在LinkedIn上使用较少的缩写,因为单词数量较大。虽然领英确实允许博客长度的帖子,但我建议在领英之外写这篇文章,这样更容易访问。
写作–博客
博客需要更多的时间来编写,但它允许使用较长的形式,您可以提供详细信息和屏幕截图。如果你创建博客帖子,请尝试使其对谷歌友好,以便其他人可以在需要时找到资源。不是每个人今天都在解析Windows 10手机短信数据库,但最好确保当其他人在搜索引擎中键入这些单词时,他们会找到你的帖子。菲尔·摩尔(Phill Moore)有一篇关于开博客的好文章。如果你开始写博客,一定要给Phill发消息,确保你的新博客被添加到他的每周综述中,本周4n6.
撰写–同行评审期刊
我希望在学术期刊上看到更多可引用的文章,例如国际法医学:数字调查,法医学杂志、和DFRWS公司.SANS还托管长格式文件期刊文章提供同行评议的资源,在考官作证时为研究提供可信度,建立专业知识等。如果你有机会写一篇同行评议的学术论文,我鼓励你这样做。审查过程非常谦逊,有助于构建更好的工作。期刊提交通常有多个作者,因此这是一个与社区合作、进行研究和共享的绝佳机会。
编写–进行同行评审
同行评议本身就是一种分享的方式。您可以对期刊或博客和其他内容进行同行评审。虽然期刊的同行评审过程是正式的,但也有方法为博客内容提供同行评审。一种方法是通过DFIR审查,一个为博客帖子提供同行评议的项目。DFIR审查的团队正在积极寻找更多的审查人员。如果您感兴趣,请发送电子邮件至DFIR Reviewdfireview@dfrws.org。
另一种不那么正式地提供同行评议的方法是对现有博客进行后续报道,或在原始博客上添加评论。如果您成功使用了博客中描述的方法,请考虑提供验证详细信息的注释。如果某个方法在其他情况下不起作用,请在注释中共享该信息。博客通常喜欢这样深思熟虑、富有建设性的评论。
方法的工作能力可能会受到SQLite数据库从固件到模式更改的所有更新的影响,这可能会导致结果发生更改,因此请务必注意这些类型的变量,以帮助其他读者将结果上下文化。
写作–书籍
书籍是一种更长的贡献形式。我还没有亲自完成一本书的创作,但我非常感谢那些为我的个人图书馆贡献过作品的人,我的图书馆经常被引用。衷心感谢所有为社区制作数字取证书籍的人。感谢您的贡献。
撰写–投稿文章
最后一个帮助的方法是向一些法医数字内容管理员提供更新。这包括一些我最喜欢的网站,以保持最新;关于dfir.com,本周in4n6.com、和飞行训练。这三个网站都非常欢迎文章、链接等的贡献。
播客和节目
如果你不是作家,但说话很舒服,考虑一下播客或节目。有一些很棒的法医学证据,包括法医午餐,13立方,的数字取证生存播客和我的播客向上缓存如果你只想分享一集或一个片段的内容,请联系那些定期播客的人,并邀请他们成为你的嘉宾。他们可能会接受你。
出席
在我们的领域里有很多会议,只有当人们分享内容和发现时,这些会议才会存在。从OSDFCon到DFRWS,再到HTCIA,再到技术安全和数字取证会议,再到SANS DFIR峰会和Magnet User/Virtual Summits,各种会议都有很大不同。
每次会议的个性和感觉都略有不同。写一篇对CFP(论文征集或演讲征集)的回应可能会令人生畏,但值得与广大观众分享你的发现。这也是一个很好的机会,可以结识该领域的其他人,并就各种主题进行讨论。最近,许多会议都转向了虚拟或混合格式,使它们更容易被不同的地理位置访问。
法医学挑战
另一个分享的好方法是参与法医挑战。 我有机会参与并创造法医挑战有一些令人惊讶的挑战,例如由David Cowen和Matthew Seyer创建的非官方DefCon DFIR Capture the Flag(CTF)、DFRWS Forensic Rodeos、SANS Netwars、Magnet User/Virtual CTF以及Weekly Magnet CTF等。参与挑战可以在活动之后和活动期间与其他参与者建立联系,讨论解决问题的方法。
参与CTF的另一种方式是创建关于您如何解决挑战的博客帖子,或者创建和共享您使用的解决方法中的脚本/自定义工件。我从不同的考官解决相同挑战的多种方法中学到了很多。通常有多种解决方案,你可以从他人那里学到很多。
另一种分享的方式是创建法庭质询本身。我在与他人合作中获得了很多乐趣和学习,比如尚普兰学院数字取证协会,共同构建挑战。这为合作和指导提供了机会,以创建涵盖各种法医主题的可怕挑战。
研究团队
我有没有提到法医也是我的爱好?团队研究为技能共享提供了实现目标的机会。我很幸运能与出色的团队合作。例如,当我使用我的硬件取证技能与Brian Moran合作,利用他的网络法医技能进行Alexa法医研究。我还与Aaron Sparling谈记忆法医学分析和Eoghan Casey博士和Alex Nelson博士谈文件恢复分类的标准化在这些情况下,我们能够分享技能集,以提供更完整的分析。找机会与他人合作,拓宽和深化你的研究。这些是我最喜欢的一些项目。
测试数据
另一种帮助社区的方法是共享测试数据。如果您已经创建了示例数据,无论是从完整图像到特定应用程序的数据库,都可以与社区共享。最近有很多人创建并共享了数据,包括Joshua Hickman创建的iOS和Android数据集,马歇尔大学学生的猫头鹰场景,以及乔治梅森大学托马斯·摩尔的独狼场景。数字语料库中提供了所有这些集合以及更多集合.
如果您已经创建了数据集来测试特定的操作系统、设备、应用程序或工件,那么您可以通过共享这些数据集来帮助社区。如果您的数据集还包含有关创建工件的步骤的文档,那就更好了。这将帮助其他人验证解析和结果。
总结
有很多机会分享你的经验、学习和方法。分享将有助于考官有组织地记录他们所学的知识,同时也有助于社区中的其他人在自己的工作中利用你的知识。我鼓励你们每个人在分享曲目中再增加一种方法,并帮助法医界超越你的一个案件。如果您有任何问题或意见,请随时联系我jessica.hyde@magnetforensics.com.
