加拿大刑法/附錄/模擬考試/計算機取證分析師
- <務必向法官確認他對計算機基本知識的瞭解程度,可能需要詳細說明什麼是檔案和目錄>
- 姓名/僱主/任職時間/現任職位
- 犯罪發生之時的僱傭關係/犯罪發生當天是否在崗
- 計算機和計算機分析方面的教育和培訓/課程名稱/教育時間
- 是否有關於計算機取證的專門培訓/什麼是計算機取證?
- 詳細介紹培訓內容
- 課程名稱/在哪裡可以獲得/誰開發的/標準化課程
- 從第一個課程開始,列出所有完成的教育課程,包括時長(小時/天)
- 培訓是否包含實踐操作/實踐操作的具體情況/是否能夠確認結果/是否有監督
- 詳細介紹分析流程
- 課程成績/是否有認證/由什麼組織認證/認證時間和時長/認證要求/保持認證要求
- 其他相關培訓
- 是否提供過培訓/關於此主題的演講
- 提交簡歷
- 經驗
- 分析過的案件數量/被要求提供意見的次數/在法庭上作證的次數/被認定為專家的次數(何時何地)
- 記錄所有之前的評估/記錄方法/在法庭上是否已複核
- 申請將計算機分析師認定為______方面的專家
- 首次收到計算機時的狀態
- 使用的軟體工具(FTK、EnCase 等)/工具用途/資料儲存
- 硬碟驅動器上可以檢查的檔案型別
- 可訪問的文件、影像、影片
- 不可訪問的文件、影像、影片(全部或部分)
- 恢復不可訪問或已刪除檔案需要什麼
- 檔案被刪除的不同方式/儲存了什麼
- 有許多程式和服務可以恢復資料(估計認為已刪除的檔案永遠消失是魯莽的)
- 使檔案不可恢復的方法/存在的軟體程式
- 如何訪問計算機/在哪裡/從誰那裡
- 計算機型別/序列號/外圍裝置/計算機的可能使用年限
- 開始時的機器狀態/使用 EnCase 或類似軟體訪問硬碟驅動器/使用 EnCase 或類似軟體的原因
- 識別正在使用的作業系統
計算機的內容
- 是否找到任何與案件相關的檔案
- 檔案型別(圖片、影片、文件)
- 文件內容
- 是否檢查了檔案內容/檔名是否反映內容
- 檔案的元資料和特徵
- 檔案的雜湊值和名稱/找到的檔案數量/所有檔案的總大小/影片長度
- 找到的檔案位置/目錄/未分配空間
- 建立、修改和訪問日期/評論時間和日期的準確性/確定檔案下載、開啟或刪除日期的其他方法
使用者身份的跡象
- 檢查檔案以尋找使用帳戶的人的跡象
- 檢查作業系統登錄檔/註冊所有者的姓名
- 作業系統上啟用的使用者帳戶/一個使用者是否可以將檔案放在另一個使用者的目錄中
- 人員或家庭成員的影像
- 網際網路瀏覽歷史記錄(包括登入資訊)
- 帶有姓名的文件
- 與某個名稱的網路登入帳戶的聯絡
使用者對計算機熟悉程度的跡象
- 考慮是否修改了 P2P 軟體的設定
- 機器上安裝的其他軟體,通常針對高階使用者的軟體
- 定製作業系統、桌面等的跡象/設定與開箱即用的預設安裝相比有多大不同
其他可能相關的資料
- 有關機器上安裝的軟體包的詳細資訊
- 有關作業系統安裝的詳細資訊(時間和日期,由誰安裝)
- 計算機時鐘的同步
- 安裝的其他軟體(檔案刪除軟體、聊天程式、病毒、間諜軟體或其他檔案共享程式)