📅 最后修改于: 2020-11-07 08:07:58 🧑 作者: Mango
本章将向您介绍数字取证的意义及其历史回顾。您还将了解在现实生活中可以在何处应用数字取证及其限制。
数字取证可以定义为分析,检查,识别和恢复驻留在电子设备上的数字证据的取证科学分支。它通常用于刑法和私人调查。
例如,如果有人窃取电子设备上的某些数据,则可以依靠数字取证提取证据。
本节介绍了计算机犯罪的历史和数字取证的历史回顾,如下所示-
在此十年之前,尚未发现计算机犯罪。但是,如果应该发生这种情况,那么现有的法律将对其进行处理。后来,在1978年,第一部计算机犯罪在《佛罗里达计算机犯罪法》中得到认可,其中包括禁止未经授权修改或删除计算机系统上数据的立法。但是随着时间的流逝,由于技术的进步,计算机犯罪的范围也有所增加。为了处理与版权,隐私和儿童色情制品有关的犯罪,通过了其他各种法律。
这十年是数字取证的发展十年,这全是因为有史以来第一次调查(1986年),克里夫·斯托尔(Cliff Stoll)追踪了名叫Markus Hess的黑客。在此期间,开发了两种类型的数字取证学科–第一种是借助从业者将其视为业余爱好的临时工具和技术开发的,第二种是由科学界开发的。 1992年,学术文献中使用了“计算机取证”一词。
在数字取证发展到一定水平之后,有必要制定一些可以在进行调查时遵循的特定标准。因此,各种科学机构和机构已经发布了数字取证指南。 2002年,数字证据科学工作组(SWGDE)发表了一篇名为“计算机取证的最佳实践”的论文。另一顶羽毛是由欧洲领导的国际条约,即《网络犯罪公约》 ,由43个国家签署并得到16个国家的批准。即使采用了这种标准,仍然需要解决研究人员已经确定的一些问题。
自1978年首次发生计算机犯罪以来,数字犯罪活动大量增加。由于这种增加,需要一种结构化的方式来处理它们。 1984年,引入了正式的程序,此后,开发了许多新的和改进的计算机取证调查程序。
计算机取证调查过程涉及三个主要阶段,如下所述-
数字取证的第一阶段涉及保存数字系统的状态,以便以后进行分析。这与从犯罪现场拍摄照片,血液样本等非常相似。例如,它涉及捕获硬盘或RAM的已分配和未分配区域的映像。
该阶段的输入是在采集阶段中采集的数据。在这里,检查了这些数据以找出证据。此阶段提供以下三种证据:
灌输证据-这些证据支持给定的历史。
开脱性证据-这些证据与给定的历史相矛盾。
篡改的证据-这些证据表明,对系统进行了调整以避免识别。它包括检查文件和目录内容以恢复已删除的文件。
顾名思义,此阶段提供了调查结论和相应的证据。
数字取证处理涉及收集,分析和保存任何数字设备中包含的证据。数字取证的使用取决于应用程序。如前所述,它主要用于以下两个应用程序-
在刑法中,收集证据以支持或反对法院的假设。取证程序与刑事调查中使用的程序非常相似,但是法律要求和限制不同。
主要是企业界使用数字取证进行私人调查。当公司怀疑员工可能在其计算机上执行违反公司政策的非法活动时,将使用此功能。数字取证为公司或个人调查某人的数字不当行为提供了最佳途径之一。
数字犯罪不仅限于计算机,但是黑客和罪犯也正在大规模使用小型数字设备,例如平板电脑,智能手机等。一些设备具有易失性存储器,而其他设备具有非易失性存储器。因此,根据设备的类型,数字取证具有以下分支机构-
数字取证部门涉及计算机,嵌入式系统和静态存储器,例如USB驱动器。可以在计算机取证中调查从日志到驱动器上的实际文件的各种信息。
这涉及调查来自移动设备的数据。在移动设备具有内置通信系统的意义上,此分支与计算机取证有所不同,该通信系统可用于提供与位置有关的有用信息。
这用于监视和分析计算机网络流量,包括局域网和WAN(广域网),以进行信息收集,证据收集或入侵检测。
数字取证的这一分支涉及对数据库及其元数据的取证研究。
数字取证检查员可帮助跟踪黑客,恢复被盗数据,将计算机攻击归还其来源,并协助进行其他类型的涉及计算机的调查。成为数字取证检查员所需的一些关键技能,如下所述-
数字取证调查员必须是杰出的思想家,并且应该能够对特定任务应用不同的工具和方法来获得输出。他/她必须能够找到不同的模式并在它们之间建立关联。
数字鉴识检查员必须具有良好的技术技能,因为该领域需要网络知识,数字系统如何相互作用。
由于数字取证的领域全都涉及解决网络犯罪,这是一项繁琐的任务,因此,对于成为一名王牌数字取证调查员的人来说,它需要极大的热情。
必须具有良好的沟通能力,才能与各个团队进行协调并提取任何缺失的数据或信息。
成功实施采集和分析后,数字法医检查员必须在最终报告和演示文稿中提及所有发现。因此,他/她必须具有良好的报告制作能力和对细节的关注。
数字取证调查提供了某些限制,如此处所讨论-
数字取证调查的主要挫败之一是,审查员必须遵守法院证据的必要标准,因为数据很容易被篡改。另一方面,计算机法证研究人员必须完全了解法律要求,证据处理和文件编制程序,才能在法院提出令人信服的证据。
数字调查的有效性完全取决于数字取证检查员的专业知识和适当调查工具的选择。如果所使用的工具不符合指定的标准,则在法庭上,法官可以拒绝提供证据。
另一个限制是,有些人对计算机取证并不完全熟悉。因此,许多人不了解该领域。调查人员必须确保以与众不同的方式与法院沟通其调查结果。
产生数字证据并加以保存非常昂贵。因此,许多负担不起费用的人可能不会选择此过程。