老周部落运营中心

2024年11月12日，特朗普总统在海湖庄园召开扩大会议。会议听取和讨论了苏珊·威尔斯Susan Wiles所作的《下一阶段重点工作的报告》，审议通过了经特朗普总统审核之后的《联邦机构改革方案（草案）》。
会议认为，面对严峻复杂的国际环境和艰巨繁重的国内改革发展稳定任务，要把深化机构改革作为今后一个阶段的中心工作和重点任务，要按照坚持特朗普的全面领导、坚持以效率为中心、坚持优化协同高效、坚持全面依法治国的原则，使联邦的职能实现系统性、整体性重构，为MAGA取得历史性成就、发生历史性变革提供有力保障。

会议决定，鉴于埃隆·马斯克与维韦克·拉马斯瓦米在开除多余员工、合并臃肿部门、重组管理体系方面具有丰富经验，由他们具体负责推进此项工作。全会成员必须为他们的履职提供一切便利条件，要加强媒体宣传、唱响改革声音，为机构改革营造良好的社会舆论氛围。

会议还研究了其它事项。

Telegram 数据取证要点

1. 有效法律证据形式
根据 GA/T 1564-2019《法庭科学 现场勘查电子物证提取技术规范》，应对现场、屏幕进行拍照或录像，记录物证的系统时间和北京时间；对有密码保护的数据提取并保存在有唯一性编号的专用存储介质中。
根据《公安机关办理刑事案件电子数据取证规则》第八条，需要及时固定相关证据时，可采用打印、拍照或录像等方式。第二十三条，对公开发布的电子数据、境内远程计算机信息系统上的电子数据，可以通过网络在线提取。

2. 取证要点难点
数据解密（Android 上应用数据被 FDE/FBE 保护，开机第一次输入密码后才会解密数据），数据保持，数据防销毁

3. 分点解析
由于 Telegram 功能特性，聊天的一方可以为另一方删除聊天记录，扣押到检材后需要立刻断开网络，不要轻易重新连接网络，以免证据被远程删除；可重点关注被设置了定时删除或加密的聊天；可以通过截图、录屏等方式保存证据，对获取到的数据计算哈希值校验并留存。通过 Telegram Desktop 也可以直接导出嫌疑账号数据，但是需要注意账号新登录官方版 telegram desktop 后尝试直接导出数据会提示需要等待24小时，并且该操作会向其他登录会话发送提醒。也有其他第三方 telegram 专用取证软件可用，但一定注意提取范围不要设置过大，避免数据量过大触发服务端安全保护。
对于群聊数据遭到批量损毁的情况，若被控制账号有群聊管理员权限，可使用脚本导出群聊近期操作记录，如 https://gist.github.com/avivace/4eb547067e364d416c074b68502e0136
根据设备类型不同，也有第三方数据提取软件可用，如针对 Android 平台的多个取证软件，这些取证工具一般使用漏洞提升权限然后读取目标应用的私有数据，常见的被利用漏洞有 CVE-2024-0044（AOSP 框架漏洞，由 Meta Red Team X 及我报告）、CVE-2024-31317（AOSP 框架漏洞，由 Meta Red Team X 报告）、CVE-2024-4610（Arm GPU 驱动漏洞，影响除高通平台外大部分平台）及部分厂商如三星自己的漏洞等。取证公司仍在持续挖掘漏洞并转化为利用，如奇安信旗下盘古石取证团队近日宣布再次突破 Android 11 - Android 14 最新安全补丁提权：https://mp.weixin.qq.com/s/MorsW-Vx_Eb_WnqFtj_T5Q
部分设备可能存在设备管理 app 等，可能导致检材上的数据被擦除，可以使用漏洞对相关管理 app 进行禁用或无效化处理。除了传统的垂直提权漏洞，其他类型的漏洞也有可能被利用。本月 Android 安全补丁就修复了我发现的一个可使设备管理机制完全失效的漏洞 CVE-2024-43081，可能会被积极利用。
部分第三方系统存在额外安全保护机制，如设备闲置过指定时间后启动额外的数据保护机制如重启，应阻止设备休眠。


仅做备份处理，希望大家都用不到，更希望大家的信息都没有被取证必要。

11月6日，加拿大政府发表声明，根据由《投资加拿大法》授权的国家安全审查，命令字节跳动公司旗下的TikTok Technology Canada, Inc.停止在该国运营，关闭其位于温哥华和多伦多的办公室。加拿大创新、科学与工业部长弗朗索瓦-菲利普·商鹏飞称，该决定基于审查过程中收集到的证据以及来自情报机关的建议，表明字节跳动在加拿大的运营存在潜在的安全风险。声明称，尽管政府并不会阻止加拿大人民访问TikTok或进行创作，但建议公众使用外国社交平台时提高警觉，注意保护个人信息，并参考加拿大通信安全局发布的网络安全指南。政府称此举符合加拿大关于加强数字媒体领域外资审查的政策，以应对国家安全挑战。
（加拿大政府，CBC）