产销监管链–数字取证

📌 相关文章

📜 产销监管链–数字取证

📅 最后修改于: 2021-08-27 17:04:18 🧑 作者: Mango

产销监管链是指逻辑顺序，该顺序记录了法律案件中物理或电子证据的保管，控制，转移，分析和处置的顺序。链中的每个步骤都是必不可少的，就好像被打断了一样，证据可能会被视为不可接受。因此，我们可以说，维持监护权链是关于遵循正确和一致的程序，从而确保证据的质量。

In this article, we will be discussing-

What Chain of Custody entails in Digital Forensics.

Importance of maintaining Chain of Custody.

Chain of Custody Process.

The Chain of Custody Form.

Procedure to establish the Chain of Custody

How Chain of Custody can be assured?

为什么编程需要懂一点英语

让我们开始详细介绍每个部分。

数字网络取证需要什么监管链?

如果您处于网络安全领域，那么您将在职业生涯中处于某一时刻，将涉足数字取证。监管链是数字取证中最重要的概念之一。
数字网络取证中的监管链也称为书面追踪或取证链接，或证据的按时间顺序记录。

监管链表明收集，控制顺序，转移和分析。
它还记录了处理证据的每个人的详细信息，收集或转移证据的日期和时间以及转移的目的。
它向法院和委托人证明了证据没有被篡改。

数字证据是从众多设备中获取的，例如大量的IoT设备，音频证据，视频记录，图像以及存储在硬盘驱动器，闪存驱动器和其他物理介质上的其他数据。

维持产销监管链的重要性?

对考官的重要性：

保持证据的完整性。
为防止证据受到污染，这可能会改变证据的状态。
如果您获得了证据的元数据，但无法从元数据中提取任何有意义的信息。在这种情况下，监管链有助于显示可能存在的证据，证据的来源，产生者以及所用设备的类型。这将帮助您生成示例并将其与证据进行比较，以确认证据属性。

对法院的重要性：如果不保存，在法院提交的证据可能会受到质疑，并被裁定为不可受理。

产销监管链流程

为了保留数字证据，监管链应从数据收集的第一步到检查，分析，报告以及向法院提出陈述的时间。这对于避免任何暗示证据已经以任何方式被泄露的可能性非常重要。

让我们详细讨论监管链的每个阶段：

数据收集：这是产销监管链过程的起点。它涉及从所有可能的相关来源进行识别，标记，记录和获取数据，以保持所收集数据和证据的完整性。
检验：在此过程中，会记录监管信息链，概述进行的取证过程。在整个过程中捕获屏幕截图以显示完成的任务和发现的证据非常重要。
分析：此阶段是检查阶段的结果。在分析阶段，使用法律上合理的方法和技术来获得有用的信息，以解决特定案例中提出的问题。
报告：这是“检查和分析”阶段的文档编制阶段。报告包括以下内容：
- 关于产销监管链的声明。
- 解释所使用的各种工具。
- 对各种数据源的分析的描述。
- 确定的问题。
- 确定的漏洞。
- 关于可以采取的其他取证措施的建议。

产销监管链形式

为了证明监管链，您需要一个表格，其中列出了在每个步骤中如何处理证据的详细信息。该表格应回答以下问题：

证据是什么?例如：数字信息包括文件名，md5哈希，而硬件信息包括序列号，资产ID，主机名，照片，说明。
你是如何得到的? ：例如-标记，标记或从桌面拉出。
何时收集?：日期，时间
谁来处理?
这个人为什么要处理它?
它存储在哪里?：这包括有关存储证明的物理位置的信息或用于存储取证图像的存储的信息。
运输方式：例如-放在密封的防静电袋中，或在安全的存储容器中。
如何追踪?
它是如何存储的?：例如-在安全的存储容器中。
谁可以获取证据?：这涉及制定签入/签出流程。

CoC表单必须保持最新。这意味着每次处理最佳证据时，都需要更新监护链形式。

建立产销监管链的程序

为了确保产销监管链的真实性，必须遵循一系列步骤。重要的是要注意，法医专家获得的有关证据的信息越多，所建立的监管链就越真实。您应确保根据电子设备的监管链遵循以下步骤：

保存原始材料
拍摄实物证据
拍摄数字证据的屏幕截图。
在收到证据时记录日期，时间和任何其他信息。
将数字证据内容的逐位克隆注入法医计算机。
执行哈希测试分析以验证工作克隆。

如何确保产销监管链?

在处理数字证据和产销监管链时，需要考虑一些注意事项。我们将讨论最普遍和全球公认的最佳实践。

永远不要使用原始证据：处理数字证据时需要注意的最大考虑是，法医专家必须完整复制证据以进行法医分析。当对工作副本进行错误或需要进行比较时，这是不容忽视的，那么在这种情况下，我们需要原始副本。
确保存储介质已消毒：在获取证据时，确保检查员的存储设备在法医上很重要，这一点很重要。假设检查者的存储介质感染了恶意软件，在这种情况下，恶意软件可以逃逸到被检查的计算机中，并且所有证据最终都将受到威胁。
记录任何额外的范围：在检查过程中，记录所有超出当前法律权限范围并随后引起案件代理人注意的所有此类信息非常重要。全面的报告必须包含以下部分：
- 报告机构的身份。
- 案例标识符。
- 案件调查员。
- 提交者的身份。
- 收货日期。
- 报告日期。
- 提交检查的项目的描述性清单：包括序列号，品牌和型号。
- 考官的身份和签名
- 检查过程中所采取步骤的简要说明：例如-字符串搜索，图形图像搜索以及恢复已删除的文件。
- 结果。
考虑现场人员的安全：在搜索之前和搜索期间确保犯罪现场是完全安全的，这一点非常重要。在某些情况下，审查员可能只能在现场进行以下操作：
- 确定计算机的数量和类型。
- 采访系统管理员和用户。
- 识别并记录介质的类型和数量：这也包括可移动介质。
- 确定是否存在网络。
- 记录有关从中删除介质的位置的信息。
- 标识异地存储区域和/或远程计算位置。
- 识别专有软件。
- 确定有问题的操作系统。

数字证据和数字监管链是数字法证专家采取任何行动的基础。在本文中，我们研究了数字证据的重要性以及它的含义以及对数字证据的轻微篡改如何改变法医专家的调查过程。

参考： – https://en.wikipedia.org/wiki/Chain_of_custody