随着Internet,技术和数字取证领域的不断扩展,您需要熟悉它们为保存数字证据所做的贡献。数字证据保存的根本重要性非常明确。在本文中,我们要强调必须采取一系列步骤来保存数字证据,因为即使是很小的疏忽大意也可能导致证据丢失和案件破裂。
In this article, we will be covering the following topics:
- Top 11 Critical Steps in Preserving Digital Evidence.
- Details You Should Plan To Share.
- Three Methods to Preserve Digital Evidence.
- Problems in Preserving Digital Evidence.
让我们开始详细讨论每个部分。
保存数字证据的11个关键步骤
在本节中,我们将讨论在带给法医专家之前必须采取的关键步骤,以防止数据丢失。时间对于保存数字证据至关重要。
- 请勿更改设备的当前状态:如果设备处于关闭状态,则必须保持关闭状态;如果设备处于开启状态,则必须保持打开状态。在执行任何操作之前,请致电法医专家。
- 关闭设备电源:对于手机,如果未充电,请勿对其充电。如果手机处于开机状态,则应将其关闭,以防止由于自动启动而导致任何数据擦除或数据覆盖。
- 请勿将设备放在开阔的地方或不安全的地方:确保在开阔的区域或不安全的地方不要无人看管设备。您需要记录以下内容-设备在哪里,谁可以访问设备以及何时移动设备。
- 请勿在设备中插入任何外部存储介质:请勿将存储卡,USB拇指驱动器或您可能拥有的任何其他存储介质插入设备。
- 请勿将任何内容复制到设备或从设备复制任何内容:将任何内容复制到设备或从设备复制任何内容都会导致内存的空闲空间发生变化。
- 拍摄证据的图片:确保从各个方面拍摄证据的图片。如果是手机,请从各个方向拍摄照片,以确保在法医专家到达之前,设备不会被篡改。
- 确保您知道设备的PIN /密码模式:了解设备的登录凭据并与法医专家共享,这对于他们无缝地进行工作非常重要。
- 请勿打开设备上的图片,应用程序或文件之类的东西:打开设备上的任何应用程序,文件或图片可能会导致数据丢失或内存被覆盖。
- 不要信任未经取证培训的任何人:仅允许经过认证的取证专家来调查或查看原始设备上的文件。未经培训的人员可能会导致数据删除或重要信息损坏。
- 确保不要关闭计算机,如果需要,请使其休眠:由于可以从磁盘驱动器和易失性存储器中提取数字证据。休眠模式将保留易失性存储器的内容,直到下一次系统启动。
您应该分享的详细信息
为了使取证调查人员能够专业地获取证据,可以在“犯罪”现场现场扣押设备或创建取证副本。要记住的要点,以加快保存数字证据的过程并简化当局的过程:
- 准备自我,以共享身份验证代码,例如屏幕图案和密码。
- 您可能还需要共享设备手册,充电器,电缆。
- 设备交互也将被分析,以建立完整的,最合适的整体活动图。
- 拥有您打算提交给警察的设备的所有权。如果您没有权限或没有自愿提交设备,那么在这种情况下,警察可能需要在其合法权力下扣押该设备。
- 比起与警察共享设备,比每次将手机都分发出去要容易得多,因此建议您为手机配置一个外部存储器。
- 定期备份您的电话数据,并保留这些备份的副本以备将来使用。这些将帮助您恢复另一部手机或您的手机,如果需要的话,也可以帮助记录发生的踪迹。
保留数字证据的三种方法
在本节中,我们将讨论法医专家可以在开始分析阶段之前用来保存任何证据的三种方法。
- 驾驶成像:法医调查人员在开始从源头分析证据之前,他们需要创建证据图像。对驱动器进行映像是一个取证过程,分析人员将在其中创建驱动器的一点点副本。在分析图像时,法医专家需要牢记以下几点:
- 即使已擦除的驱动器也可以保留重要且可恢复的数据以进行识别。
- 法医专家可以使用法医技术恢复所有已删除的文件。
- 切勿在原始媒体上进行取证分析。始终对重复的图像进行操作。
一种有助于促进法医图像的法律辩护的硬件或软件是“写阻止程序”,法医调查人员应使用它来创建用于分析的图像。
- 散列值:法医调查人员创建证据图像进行分析时,该过程将生成加密散列值,例如MD5,SHA1等。散列值至关重要,因为:
- 它们用于验证图像的真实性和完整性,以作为原始媒体的精确复制品。
- 当在法庭上接受证据时,哈希值至关重要,因为即使更改最小的数据位也会产生全新的哈希值。
- 当您执行任何修改(例如在计算机上创建新文件或编辑现有文件)时,将为该文件生成一个新的哈希值。
- 散列值和其他文件元数据在常规文件浏览器窗口中不可见,但分析人员可以使用特殊软件访问此信息。
如果图像的哈希值与原始证据不匹配,则可能会在法庭上引起对证据已被篡改的担忧。
- 产销监管链:法医调查员从客户那里收集媒体并进行转移时,他们应记录在媒体转移过程中进行的所有步骤以及产销监管链(CoC)表格上的证据,并捕获签名,日期和时间。媒体交接。由于以下原因,进行CoC文书工作至关重要:
- CoC证明自创建图像以来,该图像就一直为人所知。
- CoC的任何失效都会使图像的法律价值无效,从而使分析无效。
- 游行记录中的任何空白,就像任何时候在空旷的地方或没有安全的地方无人看管的证据一样,都是有问题的。
保存数字证据的问题
在本节中,我们将讨论保存证据时遇到的一些问题。
- 法律上的可接纳性:法律上的可接纳性是最大的风险,如果犯罪证据是数字媒体,应立即对其进行隔离,并将其置于CoC之下-调查人员可以在以后创建图像。
- 证据破坏:如果万一威胁参与者在服务器上安装了应用程序,则将来的取证分析将取决于该应用程序是否可用,而不是从系统中删除。
- 媒体仍在使用中:如果媒体仍在使用中,则自事件发生以来经过的时间越长,重要证据遭到破坏的风险就越大。
参考资料– https://en.wikipedia.org/wiki/Digital_evidence