数字或电子证据是用于调查存储在电子设备上或由电子设备传输的价值的任何信息和数据。需要设备和软件才能使证据可见,可能需要证词来解释检查过程和任何过程限制。电子证据被接受为物证,并且本质上是脆弱的。它可能因处理不当或检查不当而被更改、损坏或毁坏。因此,必须采取特殊的预防措施来记录、收集、保存和检查此类证据。收集证据的方法必须保持证据的完整性。
The Scientific Working Group on Digital Evidence SWGDE (www.swdge.org) and The International Organisation on Computer Evidence IOCE (www.ioce.org) has set standards for recovering, preserving and examining digital evidence.
调查员在处理数字证据时必须执行的一般任务如下:
- 识别可用作证据的数字信息或人工制品。
- 收集、保存和记录证据。
- 分析、识别和组织证据。
- 重建证据或重复情况以验证结果可以可靠地报告。
- 正确执行电子证据的包装、运输、保管程序。
计算机记录还必须证明是真实可信的,才能被采纳为证据。如果创建输出的程序运行正常,则计算机生成的记录被认为是真实的。为了证明计算机存储的记录是真实的,提供记录的人必须证明数据是一个人创建的,并且数据是可靠的,并且在获取时或之后没有更改。
根据证据控制的适当步骤收集证据有助于确保计算机证据的真实性,就像使用已建立的计算机取证软件工具一样。法院一直裁定计算机取证调查员不必是他们使用的工具的主题专家。只需要了解与案件相关的事实。为了证明调查员在获取、保存和分析证据方面的作用,调查员不需要了解所用软件的内部工作原理,但应该了解其目的和操作。
例如 –
消息摘要 5 (MD5) 和安全散列算法 (SHA-1) 工具使用复杂的算法。在盘问期间,对方律师可能会要求您描述这些取证工具的工作原理。例如,您可以放心地证明您不知道 MD5 哈希算法的工作原理,但您应该知道如何描述在 AccessData Forensic Toolkit 中使用 MD5函数的步骤。