調查型別
< 數字取證入門
| 實用提示! | |
|---|---|
| 您可能想閱讀維基百科關於計算機犯罪的文章,其中包含更多關於該主題的詳細資訊 |
數字取證傳統上與刑事調查相關聯,正如您所料,大多數型別的調查都集中在某種形式的計算機犯罪上。這種犯罪可以採取兩種形式;計算機犯罪和計算機輔助犯罪。
- 計算機犯罪
- 這是純粹在計算機上進行的犯罪活動,例如網路欺凌或垃圾郵件。除了計算機時代新定義的犯罪外,還包括純粹在計算機上進行的傳統犯罪(例如,兒童色情製品)。
- 計算機輔助犯罪
- 在“現實世界”中進行的犯罪,但透過使用計算機來促進。這種犯罪的一個典型例子是欺詐:計算機通常用於與其他欺詐者進行交流,記錄/計劃活動或建立欺詐性檔案。
並非所有數字取證調查都集中在犯罪行為上;有時,這些技術在企業(或私人)環境中用於恢復丟失的資訊或重建員工的活動。
示例:
數字取證用於補充調查,就像任何其他法醫學科一樣。2007年,檢察官從約瑟夫·E·鄧肯三世的計算機中恢復的電子表格,以顯示預謀並確保死刑。2006年,在莎倫·洛帕特卡的電腦中發現了他的電子郵件,詳細描述了折磨和死亡幻想,她的兇手身份被確定。
| 實用提示! | |
|---|---|
| 維基百科有關於電子取證和數字證據的資料,您可能對此感興趣。 |
數字取證專家進行四種主要的調查型別。前三種在所涉及的活動方面大體相似,但在法律限制和指南以及數字證據型別和報告形式方面有所不同。
- 刑事取證
- 數字取證的最大形式,屬於執法部門(或為其工作的私人承包商)的管轄範圍。刑事取證通常是執法部門和其他專家進行的更廣泛調查的一部分,報告旨在促進該調查,並最終作為專家證據在法庭上提交。重點是在法醫上健全的資料提取和以普通人能夠理解的簡單術語生成報告/證據。
- 情報收集
- 這種型別的調查通常與犯罪有關,但與提供情報以幫助追蹤、阻止或識別犯罪活動有關。除非證據後來將在法庭上使用,否則法醫健全性在這類調查中不是那麼重要,相反,速度可能是一個普遍的要求。
- 電子取證 (eDiscovery)
- 類似於“刑事取證”,但與民事法有關。雖然在功能上與刑事取證相同,但電子取證具有特定的法律限制和約束,通常與任何調查的範圍有關。隱私法(例如,員工有權不受到個人對話的攔截)和人權法往往會影響電子取證。
- 入侵調查
- 最後一種調查形式不同於前三種。入侵調查是作為對網路入侵的回應而發起的,例如駭客試圖竊取公司機密。調查的重點是識別此類攻擊的入口點、訪問範圍以及減輕駭客的活動。入侵調查通常“即時”(即即時)進行,並且嚴重依賴於網路取證學科。
顯然,任何調查的主要目標都是恢復某種形式的數字證據,即與審查相關的客觀資料。除此之外,調查員可能會被要求對這些證據進行某種形式的分析;無論是形成專家結論,還是解釋證據的含義。
以下是一些示例,說明審查員可能會被要求進行的分析型別
- 歸因
- 元資料和其他日誌可用於將行為歸因於個人。例如,計算機驅動器上的個人文件可能會識別其所有者。
- 不在場證明和陳述
- 可以將相關人員提供的資訊與數字證據進行交叉核對。例如,在調查索漢謀殺案期間,犯罪者的不在場證明被證偽,因為他聲稱與他在一起的人的手機記錄顯示她在案發時不在城裡。
- 意圖
| 實用提示! | |
|---|---|
| 犯罪意圖,或意圖,是證明犯罪行為的兩方面之一。還必須有犯罪行為,即實際的犯罪行為,這就是數字證據發揮作用的地方! |
- 除了找到犯罪行為的客觀證據外,調查還可以用於證明意圖(在法律術語中稱為犯罪意圖)。例如,被定罪的殺手尼爾·恩特維斯特爾的網際網路歷史記錄包括對討論“如何殺人”的網站的引用。
- 來源評估
- 檔案偽像和元資料可用於識別特定資料片段的來源;例如,舊版本的 Microsoft Word 將全域性唯一識別符號嵌入到檔案中,以識別其建立的計算機。證明檔案是在正在檢查的數字裝置上生成還是從其他地方(例如網際網路)獲取可能非常重要。
- 檔案驗證
- 與“來源評估”相關,與數字文件相關的元資料可以輕鬆修改(例如,透過更改計算機時鐘,您可以影響檔案的建立日期)。檔案驗證涉及檢測和識別此類詳細資訊的偽造。
這是一個針對此頁面的快速測試,嘗試在不作弊的情況下填寫答案。