本章将向您介绍数字取证的全部内容及其历史回顾.您还将了解在现实生活中应用数字取证的位置及其局限性.
数字取证可定义为法医科学的一个分支,负责分析,检查,识别和恢复驻留在电子设备上的数字证据.它通常用于刑法和私人调查.
例如,你可以依靠数字取证提取证据,以防有人窃取电子设备上的某些数据.
计算机犯罪的历史和数字取证的历史回顾在本节中解释如下:<
在这十年之前,没有发现任何计算机犯罪.但是,如果它应该发生,那么现有的法律处理它们.后来,在1978年,佛罗里达计算机犯罪法案承认了第一个计算机犯罪,其中包括立法禁止未经授权修改或删除计算机系统上的数据.但随着时间的推移,由于技术的进步,承诺的计算机犯罪范围也在增加.为了处理与版权,隐私和儿童色情有关的犯罪,通过了其他各种法律.
这十年是数字取证的发展十年,都是因为Cliff Stoll首次调查(1986年)跟踪名为Markus Hess的黑客.在此期间,开发了两种数字取证学科 - 首先是借助于将其作为业余爱好的从业者开发的临时工具和技术,而第二种是由科学界开发的. 1992年,术语"计算机取证"用于学术文献.
在将数字取证发展到一定程度后,需要制定一些在进行调查时可以遵循的具体标准.因此,各种科学机构和机构发布了数字取证指南. 2002年,数字证据科学工作组(SWGDE)发表了一篇名为"计算机取证最佳实践"的论文.另一个标题是欧洲领导的国际条约,即"网络犯罪公约"由43个国家签署并由16个国家批准.即使在这样的标准之后,仍然需要解决研究人员已经发现的一些问题.
从来没有计算机犯罪在1978年,数字犯罪活动有了巨大的增长.由于这种增量,需要以结构化的方式来处理它们. 1984年,引入了一个正式的流程,之后开发了大量新的和改进的计算机取证调查流程.
计算机取证调查过程涉及三个主要阶段,如下所述 :
数字取证的第一阶段涉及保存数字系统的状态,以便它可以稍后进行分析.它非常类似于从犯罪现场拍摄照片,血液样本等.例如,它涉及捕获硬盘或RAM的已分配区域和未分配区域的图像.
此输入阶段是在获取阶段获得的数据.在这里,检查了这些数据以确定证据.这个阶段提供以下三种证据:
无罪证据 : 这些证据支持给定的历史.
无罪证据 : 这些证据与特定的历史相矛盾.
篡改的证据 : 这些证据表明该系统经过调整以避免识别.它包括检查文件和目录内容以恢复已删除的文件.
顾名思义,此阶段提供了调查结论和相应的证据.
数字取证交易收集,分析和保存任何数字设备中包含的证据.数字取证的使用取决于应用.如前所述,它主要用于以下两个应用中 :
在刑法中,收集证据以支持或在法庭上反对一个假设.取证程序与刑事调查中使用的程序非常相似,但具有不同的法律要求和限制.
主要是企业界使用数字取证私人调查.当公司怀疑员工可能在其计算机上执行违反公司政策的非法活动时,就会使用它.数字取证为公司或个人在调查某人的数字不端行为时提供了最佳途径之一.
数字犯罪并不仅限于计算机,但黑客和犯罪分子也在大规模地使用小型数字设备,如平板电脑,智能手机等.一些设备具有易失性存储器,而其他设备具有非易失性存储器.因此,根据设备的类型,数字取证有以下分支和减号;
这个数字取证分支涉及计算机,嵌入式系统和USB驱动器等静态存储器.可以在计算机取证中调查从日志到驱动器上的实际文件的各种信息.
这涉及从移动设备调查数据设备.这个分支与计算机取证不同,移动设备具有内置通信系统,可用于提供与位置相关的有用信息.
这涉及监控和分析本地和广域网(广域网)的计算机网络流量,以便进行信息收集,证据收集或入侵检测.
这个数字取证分支处理数据库及其元数据的取证研究.
数字取证审查员帮助跟踪黑客,恢复被盗数据,将计算机攻击追溯到其来源,并协助涉及计算机的其他类型的调查.成为数字取证审查员所需的一些关键技能,如下文所述 : 去;
数字取证调查员必须是杰出的思想家并且应该能够在特定任务上应用不同的工具和方法以获得输出.他/她必须能够找到不同的模式并在它们之间建立相关性.
数字取证审查员必须具备良好的技术技能,因为这个领域需要网络知识,数字系统如何相互作用.
因为数字取证领域都是关于解决网络问题-crimes这是一项繁琐的工作,需要很多人才能成为一名王牌数字取证调查员.
良好的沟通技能是与各个团队协调并提取任何缺失数据或信息的必要条件.
成功实施收购后分析,数字取证审查员必须在最终报告和陈述中提及所有调查结果.因此,他/她必须具备良好的报告技能和对细节的关注.
数字取证调查提供了某些限制,如此处所讨论的那样;
数字取证调查的一个主要挫折是审查员必须遵守所需的标准对于法院的证据,因为数据很容易被篡改.另一方面,计算机取证调查员必须完全了解法律要求,证据处理和文件程序,以便在法庭上提供令人信服的证据.
数字调查的有效性完全取决于数字取证审查员的专业知识和选择适当的调查工具.如果使用的工具不符合法律规定的标准,则法官可以拒绝证据.
另一个限制是有些人并不完全熟悉计算机取证;因此,很多人都不了解这个领域.调查人员必须确保以一种帮助每个人了解结果的方式向法院传达他们的调查结果.
制作数字证据和保存它们非常昂贵.因此,许多无力支付费用的人可能无法选择这一过程.
