无人机数字取证调查：挑战与需求

阵列14（2022）100135谁来照看新的守望者？无人机数字取证调查面临的挑战EvangelosMantasa，ConstantinosPatsakisb，c，a牛津大学，OX1 2JD英国牛津b比雷埃夫斯大学，80 Karaoli Dimitriou str，18534 Piraeus，Greece雅典娜研究中心，Artemidos 6，Marousi 15125，希腊A R T I C L E I N F O保留字：无人机无人机数字取证调查标准化A B S T R A C T无人机技术的技术进步增强了飞行器的现有能力，使其成为现代社会的宝贵资产。由于预计将有更多无人机占据领空在不久的将来，与安全有关的事件，无论是恶意行为还是事故，也将增加。对安全事件的法医分析至关重要，因为无人机在人口稠密地区上空飞行，而且还被激进势力和肇事者武器化。因此，迫切需要建立一个无人机 数字取证调查框架，并简化收集和处理此类证据的过程。虽然市场上有许多无人机平台，但相同的原则适用于所有平台，就像手机一样。然而，由于无人机的性质，迄今为止的标准化取证程序无法解决此类调查所需的程序和挑战。认识到这一需求，我们详细介绍了无人机的独特特征以及现有方法和标准的差距，从各种角度展示了其取证分析方面存在的基本问题，从操作和程序角度，并升级到制造商，以及法律限制。上述情况造成了一个非常复杂的环境，必须在主要利益攸关方之间采取协调行动。因此，这项工作铺平了道路，以解决这些挑战，确定主要问题，其根源，并在该领域的需求进行彻底审查的文献和差距分析。1. 介绍几年前，无人机仅由政府和军事组织使用，但不断发展的技术使公众能够使用它们。被称为“未来技术”的技术迅速成为当今的技术，因为无人机迅速融入市场需求。无人机从众多飞行爱好者使用的玩具机器演变为可以承担日常任务的机器。从看似简单的应用，如高质量的基础设施检查，日常货物交付到拯救生命的搜索和救援（SAR）任务，无人机已经建立了其对社会的价值。无人机的革命性使用带来了副作用，因为恶意行为者也逐渐将无人机纳入其作案手法，因为它们便宜，可靠且易于改装以携带有效载荷（例如毒品，爆炸装置）。在过去的五年里，无人机被用来扰乱机场的运营，高价值人员暗杀，2以及用于攻击工业综合体，3仅举几例。恶意行为的数量预计因为犯罪者越来越熟悉这种新技术。解决这一新兴技术的需求推动了数字取证科学进一步专门处理涉及无人机及其支持设备或设备的事件。由于这一需求相对较新，因此有关这一问题的信息和专业知识有限，并且由于没有标准化的做法来围绕无人机进行法医调查，调查人员依赖于与其他数字设备相关的已经建立的程序，这些程序可能不会适用于无人机。此外，大量的支持无人机操作的不同设备增加了调查的复杂性，因为法医专家必须通讯作者：比雷埃夫斯大学，80 Karaoli Dimitriou str，18534 Piraeus，Greece.电子邮件地址：emantas000@gmail.com（E. Mantas），kpatsak@unipi.gr（C.Patsakis）。1https://www.forbes.com/sites/grantmartin/2019/01/08/londons-heathrow-airport-briefly-closed-following-possible-drone-sighting/。2 https://www.bbc.com/news/world-latin-america-45073385。3 https://www.nytimes.com/2019/09/14/world/middleeast/saudi-arabia-refineries-drone-attack.html。https://doi.org/10.1016/j.array.2022.100135接收日期：2021年6月29日;接收日期：2021年10月3日;接受日期：2022年2月22日2022年3月11日在线提供2590-0056/© 2022作者。爱思唯尔公司出版这是一篇基于CC BY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）的开放获取文章。可在ScienceDirect上获得目录列表阵列期刊首页：www.elsevier.com/locate/arrayE. Mantas和C. 帕察基斯阵列14（2022）1001352处理支持设备以及寻找和关联有关无人机操作的证据。这项工作的重点是通过识别需要检查的相关设备和存储在其中的证据来解释需要标准化程序的原因。因此，我们回顾了相关文献，强调了与传统数字取证操作的主要差异以及这些操作带来的挑战。我们认为，由于无人机事故和恶意行为在不久的将来将变得越来越频繁，因此应及时建立处理此类事件的取证框架。在这方面，我们的工作进行了彻底的文献综述，涵盖了学术和“灰色”文献中的工作，因为它跨越了，例如国际标准。在此基础上，我们的差距分析说明了该领域的需求，并作为学术界和实践者的指导方针，外地这份手稿的其余部分组织如下。首先，我们介绍了相关的工作，首先提供了无人机的概述和最相关的无人机取证工具。然后，在第3节中，我们将讨论无人机中证据的主要来源及其类型，以继续对法医调查员必须面对的案件进行一般概述。为了方便她的任务，我们为每个案件提供了一份全面和优先的证据清单。在第4.1节中，我们首先介绍了相关的取证模型和标准，然后以差距分析的形式讨论了取证调查中的主要挑战。 无人机的主要区别及其特殊性表明，我们目前不仅缺乏所需的工具，而且缺乏处理即将到来的法医案件的程序。然后，文章总结和简化了一些关键的调查结果和开放的问题，为该领域的进一步发展。2. 相关工作本节的目的是让读者熟悉无人机和从无人机收集法医证据的现有工具。因此，我们简要介绍了无人机的概述，并继续介绍一些相关的工具及其范围。2.1. 无人机概述无人机在日常生活中通常被认为是无人机。重要的是要区分具有自主能力的系统和业余飞行器;其能力仅依赖于飞行员的技能。由于这些无线电控制（RC）机器需要最少和基本的硬件来飞行，通常是一个“飞行板”来接收和处理信号以旋转电机，因此它们不提供任何有形的数字取证。因此，这项工作的重点是具有自主能力的无人机。无人机的主要组成部分如下：• 飞行控制器：无人机最关键的组件，它包含各种传感器（例如加速度计、陀螺仪）和软件，或者广泛称为自动驾驶仪，以允许执行自主命令和更复杂的飞行场景。飞行控制器还可以接收来自传感器（例如激光雷达、红外线）的输入，并调整飞行路径，以避免与附近物体碰撞，而无需任何人工交互。• 配套计算机：飞行控制器可以直接连接到小型机载配套计算机（例如Raspberry Pi，华硕Tinker-board），进一步增强了无人机的功能，运行实时操作系统（OS）。 通过组合连接在配套计算机上的机载测距传感器，并将反馈提供给飞行控制器，可以执行类似于目标回避的任务。预计在临时/DIY飞行器或非常复杂的商用无人机上可以找到同伴计算机，以处理高要求的任务，例如物体回避和3D物体重建。• 电子和硬件组件：电子速度控制器（ESC）、配电板、电池、螺旋桨和电机是提供动力、升力和推进力的基本组件。• GPS接收器：用于提供无人机的位置，并启用诸如返回家园/陆地（RTH/RTL）和自主任务的飞行路径等功能• 射频接收机：用于接收来自地面发射机（飞行员或地面控制站）的控制信号。• 机身：用于保护和容纳无人机的主机身所有组件。• 有效载荷传感器：随着行业越来越依赖无人机，部署了摄像头和传感器（例如激光雷达，测距传感器） 无人机成为系统的重要组成部分，因为这些是提供主要功能的2.2. 无人机取证工具对无人机进行法医调查的必要性引发了网络安全研究人员的极大兴趣。早期的工作集中在确定与无人机调查相关的关键部分[1]。在他们的工作中，Kao等人[2]和Yousef等人[3，4]使用了无人机制造商DJI的特定模型作为案例研究，以分析无人机飞行中记录的证据。Kamoun的作品也采用了同样的方法，即使用另一家受欢迎的制造商Parrot Bebop的特定无人机模型等[5]。在他们的研究中，Clark等人[6]使用DJI PhantomIII作为案例研究，创建了一个开源工具（DROP）来从无人机中提取数据，这些数据存储在加密，编码和专有文件中。自研究发布以来，DROP已被用于作为分析DJI日志文件的默认工具，市场上没有其他工具。在我们以前的工作中[7]，我们专注于描述使用Ardupilot飞行开源固件从无人机中提取数据的技术，开发一种与车辆型号或类型无关的开源工具，从无人机上传输的MAVLink消息中提取数据。 必须强调的是，大多数无人机取证研究都集中在市场上流行的、运行专有软件的飞行器上，尽管它们提供了进行取证调查的解决方案，但它们的方法或方法的一部分无法标准化。研究中描述的技术可能很快就会过时或无关紧要，因为无人机制造商很可能会在未来的产品中做出改变3. 无人机和证据来源在本节中，我们将重点介绍可用作提取证据来源的无人机的主要组件。然后，我们继续查明需要进行法医调查的案件 并优先考虑，这是调查人员必须在每个案件中寻找的3.1. 法医专家视角下的无人机无人机技术的发展已经将无人机的使用引入到私营和军事部门的许多应用中。运送有效载荷（例如医疗用品或日常用品）的无人机或在作战区域进行监视的无人机使用各种传感器和系统来与地面操作员进行通信和接收命令。从笔记本电脑和移动设备到定向天线和5G塔，仅举几例，无人机的操作依赖于一个系统，即无人机系统（UAS）。因此，数字取证专家必须关注整个UAS，而不仅仅是飞行器。无人机系统的关键部件（见图1），也可能以群的形式出现，如下所示E. Mantas和C. 帕察基斯阵列14（2022）1001353Fig. 1. 无人机系统（UAS）的组成部分。• 无人机（UmA）：上一节所述的飞行器可能是最关键的组件，因为整个系统的存在是为了协助无人机的操作及其自主能力。还应指出，另一个 或者多个飞行器可以是同一UAS的一部分，被描述为一个群体。• 地面控制站（GCS）：地面控制站是提供通信并实现无人机远程控制的地面软件和硬件。GCS软件可以安装在固定位置的系统上（例如军事空军基地）或便携式系统（如笔记本电脑和移动电话）中GCS装置的购置意义重大，因为它包含了大部分的飞行数据，并可以与个人联系。市面上有一些无人机配备了带有专有软件的控制器来控制无人机，这是一种结合了模拟射频控制和移动平台数字接口的混合设备，其获取也可能包含大量证据。• 通信数据链路（CDL）：数据链路主要用于无人机控制、机载摄像机的视频传输和提供飞行器位置信息或其他传感器值的遥测。每个数据链路在不同的射频（RF）波长上广播，其中4 GHz和900Mhz主要用于无人机控制，3-44小型无人机（sUAV）也可以使用蓝牙和WiFi通信来执行所有先前的操作，但它们的飞行半径显著减小。所有这些互连的组件都存储与无人机操作相关的数据或将其提供给其他设备。这些数据可以被分类在以下类型中：• 飞行日志和预定义的飞行任务：如前所述，负责自主能力的飞行控制器在飞行期间具有另一功能。 它生成一个日志，其中包含有关GPS位置和高度等关键传感器的信息，从而重建飞行路径，为法医调查人员提供有关无人机活动的宝贵信息。此外，它们还包含关键设备数据和错误日志。例如，电池和信号统计其与其它错误消息一起可能指向故障。无人机的飞行员还可以创建一个可以直接加载到飞行控制器上的战斗任务。此文件可以提供未存储或删除的以前航班的信息，甚至可以提供定期航班的信息。• 媒体：配备摄像头的无人机提供了大量在飞行过程中捕获的图像和视频片段。这种媒体的获取可以指示无人机任务的目标监视工业或军事综合体）以及受无人机飞行影响的地区这些多媒体可能包含无人机操作员的帧、碰撞前的镜头，从而导致法医调查员更快地识别。• 传感器或其他有效载荷日志：无人机的有效载荷不仅限于相机。无人机正在成为我们日常生活的一部分 生活和进行需要先进的机载硬件的操作（例如地面的3D重建，基础设施维护）。虽然这类设备可收集大量数据，但对调查可能没有任何重大的法证价值，因为所收集的数据将用于特定的业务运作。各种各样的装置的存在也提供了大量的证据收集来源。无人机系统中的每个设备很可能都有一个存储单元，无人机取证调查人员可以在其中发现有关无人机及其操作员活动的详细信息。存在在不同设备上的多个证据意味着如果无人机或UAS的设备由于例如损坏或反取证技术（例如，加密的内部无人机存储器）而变得不可恢复，则存在可以取回其他证据的高可能性。 可以包含无人机飞行证据的最常见设备如下所述：• 无人机内部存储：无人机的内部机载存储包含飞行日志和飞行期间捕获的媒体，尽管由于硬件限制而数量有限，因为它很少超过数十GB。通常，如果不存在可移动存储器，则内部存储器用作存储数据的替代或• 车载存储：广泛需要捕获通过使用可移动介质，4https://www.911security.com/learn/airspace-security/drone-fundamentals/drone-communication-data-link。5https://blog.eccouncil.org/6-anti-forensic-techniques-that-every-cyber-。E. Mantas和C. 帕察基斯阵列14（2022）1001354图二. UAS设备上的证据分发。比如SD卡。由于micro SD卡的存储容量已超过TB大关，因此每字节的低价格比率使其成为主导的数据存储解决方案 在无人机上。大多数无人机都有一个SD卡插槽，可以保存飞行过程中记录的图像和视频片段，甚至可以保存• 伴随计算机存储：如前所述，伴随计算机运行实时操作系统。这可能包含数字证据作为• 移动设备：移动GCS应用 提供 的 通过无线连接（例如WiFi、蓝牙）控制无人机或接收有效载荷（例如无人机机载摄像头的视频流）的能力• 网络数据包：对来自UAS网络的数据包的监控和捕获可以导致发现存储飞行数据的许多有效载荷或设备和服务器，作为对法医调查员来说不明显的额外证据来源。• 云存储：目前无人机技术的趋势越来越明显，制造商允许他们的客户将他们的日志和图像存储在他们的服务器上。由于需要减少本地存储介质，在UAS取证调查期间还应考虑将数据存储外包给第三方一个典型的无人机上发现的设备和证据的指示性列表如图所示。二、3.2. 法医调查据认为，有必要概述需要进行数字法证调查的案件，以强调哪些证据可能可用，哪些证据可能与每个案件更相关大多数“良性"案件涉及事故，法医调查人员应该确定其原因。很明显，即使是一个小的故障，由于无人机可能具有的高度和一旦有东西开始从空中坠落时平衡的困难，无人机也会遭受严重的损害。此外，虽然人们可能不关心无人机及其有效载荷本身的损坏，但由于造成的损坏而引起的保险问题可能需要对事故进行调查。应该注意的是，由于突发和局部现象导致的天气问题，甚至与鸟类或其他无人机的碰撞都属于事故类别，必须进行调查。在这种情况下，最相关的证据将是飞行日志和捕获的媒体，因为表1无人机法医调查案件的高级别描述证据来源Fuscraft *GCS设备 * 飞行仪表媒体传感器机载计算机有效载荷网络数据包传输（a）证 据 来 源 的 彩色编码。注 （*）：相关物证碰撞/坠机非法区域监视Orders/Payload DeliveryCyber-attack（Victim）Cyber-attack（Actor）与天气有关的事故（b）根据案件确定证据来源的优先次序。（欧元）它们将在飞行员的GCS设备上可用更进一步，我们必须考虑来自无人机或针对无人机的恶意物理行为的情况另一方面，我们考虑无人机用于执行恶意物理行为的行为，其中包括拦截，监视，盗窃，交付非法产品和使用军械库。最后，我们考虑来自无人机的数字攻击[8]。挖- 针对无人机的重要攻击可以被认为是干扰、命令注入、电磁脉冲（EMP）、拒绝服务（例如，淹没网络接口）以及通过拦截易受攻击的协议的数据泄漏。特别感兴趣的可以被认为是由于存在例如易受攻击的接口或服务而导致的无人机的恶意软件感染。此外，我们还必须考虑固件后门，因为越来越多的供应链攻击变得更加相关[9]。另一方面，无人机可以用来发动数字攻击，例如渗透无线网络、执行对未受保护的服务的拒绝服务或部分地破坏它。调查人员利用收集到的证据，首先要评估事件的性质，以及是否构成犯罪，例如是意外还是恶意行为。调查人员根据调查现场、收集的证据和可见的损害情况，E. Mantas和C. 帕察基斯阵列14（2022）1001355必须评估实际影响，因为可能造成进一步的损害。这些证据将使她能够估计事件发生的时间和地点，但也可以提取一些关键的感兴趣的地点例如，无人机从何处发射以及它正前往何处。预定的飞行和有效载荷也可以表示无人机的目的。对于归属，调查人员还必须考虑存储的数据（图像，视频），元数据（电子邮件，注册帐户，存储的WiFi），硬件标签以及湿证据（指纹，DNA），以评估无人机的可能所有者和控制者。显然，上述内容突出了数字证据与 身体上的功能是互补的。为了总结证据收集来源，在表1中，我们强调并优先考虑每个病例最相关的证据来源。 该表清楚地显示了我们前面讨论的一般情况如何不同，因为调查人员必须寻找不同的证据。4. 无人机数字取证跟上最新技术的快速变化是一个持续的挑战。无人机正在开始塑造未来的社会，许多人将其用于个人和职业目的。作为UAS的一部分，对无人机和相关设备进行数字取证的挑战是识别飞行路线、可能的故障、碰撞以及系统设备中包含的相关媒体（图片和视频）。这些可以帮助调查人员了解无人机的任务，操作是否成功执行，受其影响的人员或资产以及可能的损坏或碰撞背后的原因。 从电子证据得出的结论必须遵循一个标准 一套准则，以确保调查不受法院质疑[10]。此外，由于云存储（例如，在第三国托管的服务器上的证据），还应考虑无国界性。事实上，正如NIST所指出的那样，云取证也面临着许多挑战[11]，例如ISO27037的映射草案并不那么简单。6此外，云提供商或第三方提供的证据通常不一定被批准，正如苹果公司和圣贝纳迪诺枪击案所示。7请注意，即使云服务提供商愿意合作，数据也可能存储在不同的服务器和国家/地区。UAS上存在多个设备和各种格式，需要参与以下工作的法医专家具备高水平的专业知识：由于每种器械需要不同的采集和检查技术，因此，4.1. 相关标准、做法和挑战标准对于确保跨地理和司法边界的一致性和相互遵守至关重要。目前，世界各地的组织使用公认的方法提供了许多标准和惯例。关于如何从法医角度进行调查的技术细节因设备而异。电子证据的分析通常分为以下几个阶段：识别、收集、获取、保存和处置，尽管由于每个组织使用不同的法医模型，因此确切的阶段名称可能会有所不同。目前，有几种模型和方法，在调查过程中的证据和数字取证程序的处理。其中包括DFRWS模型[12]，增强型数字调查过程模型（EDIP）[13]，分析犯罪现场6https://downloads.cloudsecurityalliance.org/initiatives/imf/Mapping-the-Forensic-Standard-ISO-IEC-27037-to-Cloud-Computing.pdf。7https://edition.cnn.com/2016/02/16/us/san-bernardino-shooter-phone-apple/index.html。图三. 标准和指南对调查过程类别和活动的适用性。程序模型（ACSPM）[14]，Kohn等人的集成数字取证过程模型。[15]，系统数字取证模型（SRD）。[16]和高级数据采集模型（ADAM）[17]。一般来说，执法机构遵循ACPO（首席警官协会）准则的变体[18]。国际标准化组织（ISO）发布了一系列标准，通过提供ISO 27000系列来协助这一工作，这些标准侧重于信息安全标准化程序。在下文中，我们提出了关于无人机数字取证调查的最相关标准，如图所示。3源自ISO/IEC 27041：2015 [19]。• ISO/IEC 27035：这是一个由三部分组成的标准，为组织提供了一种结构化和有计划的方法来管理安全事件，涵盖了一系列事件响应阶段• ISO/IEC 27037：2012：该标准提供了关于处理最常见数字设备证据的一般指导方针，以及包括以各种形式存在的设备在内的情况，给出了使用无人机所使用的许多传感器的汽车系统的例子。这意味着，尽管ISO标准中存在无人机支撑设备的框架，但实际飞行器的处理尚未建立。E. Mantas和C. 帕察基斯阵列14（2022）1001356• ISO/IEC 27038：2014：描述了对不得披露的信息进行数字编辑，并特别注意确保删除的信息永久不可恢复。• ISO/IEC 27040：2015提供了详细的技术指导，说明组织如何通过采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全性，从而定义适当的风险缓解级别。• ISO/IEC 27041：2015：描述了其他标准和文件，以提供指导，设定基本原则，确保适当选择工具、技术和方法进行调查。• ISO/IEC 27042：2015：本标准描述了如何设计和实施调查期间使用的方法和过程，以正确评估潜在的数字证据，解释数字证据，并有效报告调查结果。• ISO/IEC 27043：2015定义了事件调查的关键通用原则和过程，并为调查的所有阶段提供了框架模型• ISO/IEC 27050：这一最近修订的标准指导非技术人员和技术人员处理电子存储信息（ESI）的证据。• ISO/IEC 17025：2017：本标准描述了测试和校准实验室能力的一般要求，适用于所有执行实验室活动的组织，无论人员数量如何• ISO/IEC 30121：2015为组织提供了一个框架，以便在事件发生前战略性地准备数字调查，以最大限度地提高调查的有效性ETSI是一个欧洲标准化组织，负责制定ICT系统和服务的标准，并与众多组织合作，在世界各地使用。2020年，ETSI发布了TS 103 643V1.1.1（2020-01）[21]，这是一套用于在法律程序中保证数字材料的技术，旨在提供一套工具来帮助数字证据的合法呈现8美国国家标准与技术研究所（NIST）发布了组织发展法医能力的指导方针，该指导方针基于法医学在科学应用于法律方面的原则，但由于受到不同法律法规的约束，因此不应用于数字法医调查，正如其手册中明确指出的那样。NIST指南的范围是将取证纳入组织的信息系统生命周期。 最相关的指南是800-86 [22]（将取证技术集成到事件响应中）和800-101 [23]（移动终端取证）。数字证据科学工作组（SWGDE）是一个致力于数字和多媒体证据领域的组织，旨在促进沟通与合作，并确保法医界的质量和一致性。SWGDE已经发布了许多文件，提供了大量最先进的取证主题的最佳实践。尽管如此，它们都没有针对或解决无人机取证的特殊性然而，上述标准均未提及无人驾驶飞机。虽然有人可以监督这一疏忽，因为程序可以涵盖无人机法医调查所需的程序。然而，对于从UAV收集法医证据，人们不能总是访问数据，并且可能需要利用设备来访问它们。正如将在接下来的段落中讨论的那样，任何标准都没有预见到这些过程。此外，无人机和地面控制系统的日志文件中相互矛盾的记录（也在以下段落中讨论），8https://www.swgde.org/documents/published。上述标准。 因此，虽然可以预见到调查无人驾驶飞机的法医实验室的设备和准备工作，但现有标准没有涵盖无人驾驶飞机的特殊性。最后，国际刑警组织最近发布了无人机和相关设备的概述，以及负责从无人机获取、检查、分析和展示数字证据的数字取证调查人员的指南[24]。 这项工作试图弥补执法人员在这一最先进的法医主题方面的知识差距，是第一次正式组织对标准化程序的尝试。4.2. 既定程序和现行标准限制方面的挑战和差距由于无人机的性质，很明显，它是一个系统，显着区别于传统的设备，调查人员将不得不执行数字取证。首先，它是一个网络物理系统;因此，物理部分在调查中引入了许多问题。这可以通过各种手段来表现，例如，传感器可能由于校准或精度而具有显著差异，如在GPS传感器的情况下。为了突出这一重要问题，应考虑以下几点。GPS的精度取决于传感器的技术。9标准GPS或具有1.5米的精度，差分GPS40厘米，其中在RTK1厘米的情况下。这种偏差意味着地面控制系统没有报告无人机的确切位置。在灾难性事件的情况下（例如与附近物体碰撞或极端天气条件），无人机操作员只能假设无人机的位置，如GCS所报告的，并且 无法对法医调查的数据进行准确评估。 传感器的准确性并不是卫星导航系统的唯一问题。无人机容易受到GPS欺骗的影响[25如前所述，无人机系统由多个设备组成，在法医调查期间并不总是清楚哪一个设备可用。例如，UAV可能已经被事件响应者收集，但可能无法访问GCS设备，因为它被破坏或在调查期间未被发现。反过来也可以适用，即无人机无法回收，调查人员只能访问地面控制系统设备。因此，无法充分接触可能的证据来源。尽管缺乏证据来源，但一个巨大的挑战是，在两个来源有矛盾或缺失日志的情况下，确定应该信任哪个来源。请注意，差异可能源于各种原因，因为缺乏适当的身份验证机制会放大由于在大多数无人机中，命令不通过密码原语进行认证，因此可以在两个设备中的任何一个中制作日志文件。即使不是这种情况，与传感器的差异（参见上文关于GPS差异的讨论）也会给研究者带来更多问题。目前，也有众多的无人机模型，缺乏必要的可能妨碍法医调查的安全特征，以正式呈现案件。商业产品缺乏加密和身份验证就是一个深刻的例子。 由于它们的缺失，接收到的命令没有经过验证，并且它们的来源可以被质疑。因此，不清楚是谁向无人机发出了命令，在自主任务的情况下，可能会严重偏离预期的飞行路径或模式。相反，当在设备上使用加密时，密钥可能并不总是可用的，因此从取证工具的获取可能不可能9https://marxact.com/support/what-is-the-difference-between-standalone-differential-gps-and-real-time-kinematic/。E. Mantas和C. 帕察基斯阵列14（2022）1001357加密的后一个问题导致了另一个挑战。为了从缺乏可访问的可移动存储设备的无人机收集证据，或者它们被加密，类似于移动设备，人们可能需要利用漏洞来访问数据。这意味着篡改数字证据会给证据的监管利用漏洞的性质和对设备进行“root "等操作的显然，这种做法违反了《反腐败法》的第一项原则，该原则明确规定：“执法机构或其代理人采取的任何行动都不应改变计算机或存储介质中保存的数据，这些数据可能随后在法庭上被依赖。''我们还必须考虑平台的多样性。 与手机不同，手机有两个主要平台，Android和iOS，可以被认为是一个成熟的市场，无人机市场可能有一个大玩家（DJI），享有最大的市场份额;超过70%，然而，其余的是显着分散的。因此，有很多不同的平台，这意味着需要各种取证工具。此外，许多无人驾驶飞机的不同范围以及它们的大量数量表明，尽管分散，但这种异质性预计将继续存在，因此无法预见法医工具的互操作性。值得注意的是，最近对中国制造的无人机的禁令可能会导致重大的市场变化。10无人机取证的一个非常具有挑战性的参数与现场取证有关。虽然Adelstein [29]强调了现场取证的必要性与“传统”受损设备相反除此之外，由于无人机是远程控制的，即使通过云，死亡开关或其他此类机制预计将在调查期间继续为此，要捕获无人机，建议从不可见的角度接近它，并使用外套或网等不可篡改的措施。接下来，无人机应该被关闭，而不破坏任何可能的湿证据。由于没有标准化的程序来对无人机进行数字Foren-sics调查，研究人员必须解决适用于类似设备的已经建立的实践。这就提出了以下问题：无人机或相关设备是什么样的，要选择一种方法来进行法医分类。一个有效的论点是，无人机在硬件（例如处理器架构）和传感器（例如GPS接收器，加速度计）方面与移动电话有许多相似之处。 值得注意的是，目前也没有处理移动数字取证案件的标准，但最近FORMOBILEH2020项目启动了11为了获得所需的数据，研究者必须采用图4所示的技术。通常，为了对移动终端进行逻辑成像，研究者必须打开该设备。如果将这种方法应用于无人机，则存在更改或擦除UAV内部存储器的现有数据的高风险 如[6]所述，开启无人机会删除之前记录的飞行日志，导致证据丢失和调查改变。虽然调查人员正确地遵循了程序，但由于对无人机内部操作的误解，结果可能会使整个调查毫无用处。由于无人机本身的数据存储具有高度不稳定性，因此应高度谨慎并为采集做好准备。10https://www.ainonline.com/aviation-news/aerospace/2020-08-17/us-nears-law-banning-chinese-drones.11 https://formobile-project.eu/。发生。因此，研究者应考虑她必须从哪种器械中收集证据，以及在何种模式下允许提取证据，以防止篡改。这个例子引起了另一个关于技术的关注。 负责从无人机获取数据的调查人员的知识。虽然调查人员熟悉处理不同类型设备的程序，但认知和人为因素[31]加上缺乏无人机技术细节的专业知识，这对过程的标准化非常重要。当认为有必要打开设备时，建议相应的环境具有法拉第屏蔽，以防止来自或到达无人机的网络信号。如果这是不可能的，那么干扰设备或铝箔必须使用，以防止传入和传出的网络流量从无人机上此外，有若干法律和道德方面的问题是这种法医调查的基础，并可能对调查人员造成若干限制。例如，根据管辖权，调查人员可能不被允许使用无人机中存储的凭证来收集进一步的证据。5. 结论由于无人机在各个领域的不断采用，从运输和交付到农业，从灾害管理和智能城市监测到搜索和救援行动，天空中不断出现越来越多的飞行器。无人机可以节省时间和成本，同时提供新的服务，这意味着这一趋势将继续下去。此外，我们已经目睹了它们在各种行为中的恶意使用，无论是物理的还是数字的。基于上述情况，人们可以很容易地理解，无人机数量的增加加上对手对它们的利用，很快就会使对无人机的数字取证调查成为常态。保险公司、执法机构、安全公司和个人将不得不从无人机上提取证据来调查案件。 尽管如此，正如本工作中已经讨论的那样，与传统的计算设备相比，UAV是非常不同的。事实上，它的物理性质，它的流动性和双重性;在控制方面，创造了一个非常复杂的环境。现有标准没有涵盖后几个方面，这使调查更加复杂我们认为，这是一个高的时间为相应的利益相关者承认这些问题，并合作制定一些基线原则，以便利在不久的将来开展调查。挑战是多方面的，不能单独解决，其中许多需要制造商采取进一步措施。一个典型的例子是使用加密原语进行身份验证 接收到的来自地面控制系统的指令很明显，这种措施提高了无人机的整体安全性，防止了许多命令注入攻击;尽管如此，它为法医调查员提供了审计跟踪的保证。制造商接口的进一步统一也可以促进开发 满足更多平台需求的取证工具无人机和手机在提取证据方面的几个共同点要求法医调查人员对这两种情况采取更全面的方法。如所讨论的，人们可能需要利用一些漏洞来访问这些设备以访问违反ACPO原则和许多现有标准的证据。这突出了数字证据收集中的一个关键问题，因为它质疑证据的保管链。显然，如果不正确处理，就会为从多个角度加以利用打开大门。例如，一个人可以用它来使证据变得无用，或者一个人可以用它来植入证据。显然，后者表明，法律视角被认为是必要的。值得注意的是，我们还确定了需要采取法律办法的管辖权问题根据我们的差距分析，我们认为制定无人机取证标准是必要和及时的。上述挑战要求对无人机进行E. Mantas和C. 帕察基斯阵列14（2022）1001358见图4。 数据采集技术。在这方面，我们需要进一步加强现有程序和既定法证程序，并为此作出更协调的努力。为此，我们优先考虑制造商与其他平台的通用最佳实践的协调，这将为建立程序和工具铺平道路和发展。竞合利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作确认这项工作得到了欧盟委员会在地平线2020计划（H2020）下的支持，作为项目Cyber-Sec 4 Europe，希腊（赠款协议编号830929）和LOCARD，希腊（赠款协议编号832735）的一部分。本文的内容并不反映欧盟的官方意见。对其中所载信息和所表达的意见的责任完全在于作者。引用[1]放大图片创作者：Kovar D，Dominguez G，Murphy C.无人机（又名无人机）取证。2016年，URLhttps://integriography.files.wordpress.com/2016/06/uav-forensics-ts16-final-distribution.pdf。[2]高丹燕，陈M-C吴W-Y，林J-S陈C-H 蔡F.无人机foren- 原文调查：DJI Spark Drone作为案例研究。Procedia Comput Sci2019;159：1890-&9，基于知识和智能信息工程系统：第23届KES国际会议论文集2019。[3]Yousef M，Iqbal F.无人机取证：DJI Mavic Air的案例研究。2019 IEEE/ACS第16届 计 算 机 系 统 和 应 用 国 际 会 议 。 2019 年 ， 第 1-3 页 。http://dx.doi.org/10.1109/AICCSA47632.2019.9035365网站。[4]放大图片作者：Yousef M，Iqbal F.无人机取证：对新兴技术的详细分析DJI模型 。 2020 年 第 11 届 信 息 与 通 信 系 统 国 际 会 议 2020 ， 第 066-71 页 。http://dx.doi.org/10.1109/ICICS49469.2020的网站。239530。[5]Kamoun F，Bouafif H，Iqbal F.更好地理解无人机取证：鹦鹉AR无人机2.0的案例研究。IntJDigitCrimeForensics2019;12：1-23.http://dx.doi.org/10.4018/IJDCF.2020010103网站。[6][10] Clark D ， Meffert C ， Baggili I ， Breitinger F. DROP （ drone open sourceparser ） your drone ： Forensic analysis of the DJI phantom III. Digit Investig2017;22：S3-14. http://dx.doi.org/10.1016/j.diin.2017.06.013网站。[7]Mantas E，Patsakis C.狮鹫：无人机取证记录和遥测日志。In：Attrapadung N，Yagi T ， editors. 信 息 和 计 算 机 安 全 的 进 步 。 Cham ： Springer InternationalPublishing; 2019，p. 377比90[8]放大图片作者：Yaacoub J-P.无人机系统的安全分析：攻击，限制和建议。互联网2020;100218.[9]欧洲刑警组织互联网有组织犯罪威胁评估欧盟执法合作署（Europol），2020年。[10] 麦凯米什河什么时候数字证据才是合理的？IFIP数字取证国际会议。Springer;2008，p. 3比15[11] Herman M， Iorga M， Salim AM ， Jackson RH ， Hurst MR ， Leo R ， Lee R ，Landreville NM，et al. Tech.代表，国家标准与技术研究所;2020年。[12] P