報告
< 數字取證簡介
報告是任何調查的關鍵最終階段。一名熟練的調查員的目標是在將技術事實與其自身分析相平衡的同時,以通俗易懂的語言進行呈現。撰寫一份好的報告通常是取證分析師難以獲得的技能,因為用簡單的語言傳達複雜的思想並不總是容易的。
您的報告結果很大程度上取決於誰在閱讀它。在大多數情況下,最簡單的方法是假設閱讀任何報告的人都沒有任何技術知識,並針對他們進行講解。
常見的取證報告可能包括
- 調查結果摘要
- 對所進行分析的描述
- 對“未分配空間”和“點對點”等術語的解釋(擴充套件詞彙表)
除了任何報告之外,通常還需要提供原始證據。在法律環境中,有一個先決條件被稱為“最佳證據”規則,它要求提供證據的原始副本。顯然,對於數字證據來說,這提出了一個問題,即“什麼是原始副本”。檢視原始磁碟可能會修改證據(如前幾章所述),並且通常無法以原始形式呈現已刪除的證據。
出於實際目的,法院通常接受包含證據副本的 CD/DVD(即一次性寫入介質)。