18新利最新登入计算机取证是如何工作的

保罗·豪厄18新利最新登入尔/盖蒂图片社 想象有多少文件从18新利最新登入这些计算机检索安然的交易大厅。看到更多的 电脑的图片

2001年12月公司安然公司宣布破产时,数百名员工失业了而一些高管似乎受益于公司的崩溃。美国国会决定听完企业不当行为的指控进行调查。很大程度上依赖于国会调查电脑文件作为证据。专业侦探力量开始搜索数以百计的安然公司员工计算机使用计算机取证

电脑的目的取证技术是搜索、保存和分析计算机系统的信息找到潜在的证据审判。18luck手机登录许多侦探使用的技术犯罪现场调查有数字,但也有一些独特的方面的计算机调查。

广告

例如,只是打开电脑文件更改的文件,电脑记录的日期和时间访问文件本身。如果侦探抓住电脑然后开始打开文件,没有办法告诉肯定他们并没有改变任何东西。律师可以竞争的有效性证据案件进入法院。

有些人说使用数字信息作为证据是一个坏主意。18luck手机登录如果很容易改变计算机数据,可以作为可靠的证据吗?18新利最新登入许多国家允许计算机试验的证据,但这可能会改变在未来的情况下如果数字证据证明是靠不住的。

计算机越来越强大,所以计算机取证领域必须不断发展。在早期的电脑,这是一个侦探可以整理文件,因为存储容量很低。今天,随着硬盘能够持有gb甚至tb的数据,这是一个艰巨的任务。侦探必须发现新的方法来寻找证据没有投入太多的资源。

计算机取证的基础是什么?可以调查人员寻找什么,他们在哪里?在下一节中找到。

广告

计算机取证的基本知识

在这个实验室酝酿什么?计算机取证。
©iStockphoto/詹姆斯Steidl

领域的电脑取证相对年轻。在早期的计算,法院认为证据从电脑是没有不同于任何其他类型的证据。随着电脑越来越先进和复杂,意见转移——法院了解到,计算机证据很容易腐败,破坏或改变。

调查人员意识到,有必要开发特定的工具和过程计算机搜索证据而不影响本身的信息。18luck手机登录侦探与计算机科学家讨论他们需要使用适当的程序和工具来检索来自电脑的证据。渐渐地,他们开发出的程序,现在计算机取证领域的。

广告

通常,侦探必须安全保证嫌疑人的计算机搜索证据。保证必须包括侦探可以搜索和他们可以寻找什么样的证据。换句话说,一个侦探不能有保证,无论他或她喜欢寻找任何可疑。此外,保证的条款不能太一般。大多数法官请求时需要尽可能具体侦探搜查令。

出于这个原因,重要的是研究侦探嫌疑人之前尽可能要求搜查令。考虑一下这个例子:一位侦探让嫌疑人的搜索笔记本电脑电脑。侦探到达嫌疑人的家庭和服务保证。在嫌疑人的家中,侦探看到桌面个人电脑。侦探不能合法地搜索电脑,因为它没有包括在最初的搜查令。

每台电脑的调查有点独特。一些调查可能只需要一个星期才能完成,但其他人可能需要数月之久。这里有一些因素会影响调查的长度:

  • 侦探的专业知识
  • 电脑的数量被搜索
  • 的存储量侦探必须整理(硬盘驱动器,cd,dvd拇指驱动器)
  • 怀疑是否试图隐藏或删除信息18luck手机登录
  • 的存在加密受密码保护的文件或文件

从一台电脑收集证据的步骤是什么?请继续往下读。

广告

阶段的计算机取证调查

贾德·罗宾斯,电脑科学家和计算机取证的领先专家,列出以下步骤调查人员应该遵循检索计算机证据:

  1. 安全计算机系统,以确保设备和数据是安全的。这意味着侦探必须确保任何未经授权的个人可以访问计算机或存储设备参与了搜索。如果计算机系统连接到互联网,侦探必须切断连接。
  2. 在计算机系统,找到每个文件包括文件加密受密码保护,隐藏或删除,但没有覆盖。调查人员应系统上的所有文件的副本。这包括在计算机上的文件硬盘或其他存储设备。因为访问一个文件可以改变它,它是很重要的,调查人员只从文件的副本而寻找证据。原系统应该保持和保存完好。
  3. 尽可能多的信息删除恢复使用的应用程序可以检测和检18luck手机登录索删除数据。
  4. 显示所有隐藏文件的内容与程序设计检测隐藏数据的存在。
  5. 解密和访问受保护的文件。
  6. 分析计算机的磁盘的特殊区域,包括部分通常无法访问。(在计算机术语中,未使用的空间在计算机的驱动器未分配的空间。这个空间可以包含文件或部分文件相关情况。)
  7. 文档过程的每一步。重要的是侦探提供证明其调查保存在电脑上的所有信息系统在不改变或破坏它。18luck手机登录年之间可以通过调查和审判,和没有适当的文档,证据可能不容许。罗宾斯说文档应该不仅包括所有的文件和数据从系统中恢复过来,而且系统的物理布局和报告任何文件是否加密或隐藏。
  8. 准备作为计算机取证专家证人在法庭上作证。即使一项调查完成,不得做侦探的工作。他们可能还需要提供的证词在法庭上[来源:罗宾斯]。

所有这些步骤都是重要,但第一步是至关重要的。如果调查人员不能证明他们安全的计算机系统,他们发现的证据可能不容许。这也是一个大的工作。在早期的计算,系统可能包括个人电脑和一些软盘。今天,它可能包括多个电脑、磁盘、拇指驱动器,外部驱动器,外设和Web服务器

广告

一些罪犯已经找到方法去调查人员更难以找到他们的系统的信息。18luck手机登录他们被称为使用程序和应用程序anti-forensics。侦探必须意识到这些项目以及如何禁用它们如果他们想访问计算机系统中的信息。18luck手机登录18新利最新登入

anti-forensics到底是什么,他们的目的是什么?在下一节中找到。

广告

Anti-Forensics

如果anti-forensic措施足够严厉,调查人员可能永远不会裂到计算机系统中。
©iStockphoto/马克·迪特里希

Anti-forensics可以是一个电脑调查员的噩梦。程序员设计anti-forensic工具很难或不可能在调查过程中检索信息。18luck手机登录从本质上讲,anti-forensics指任何技术,小工具或软件旨在阻碍计算机调查。

有很多人可以隐藏信息的方法。18luck手机登录一些程序可以欺骗计算机通过改变信息在文件的18luck手机登录。人类的文件头通常是无形的,但它是非常重要的,它告诉计算机什么样的文件头相连。如果你要重命名一个mp3文件,它有一个gif扩展,计算机仍然知道文件是一个mp3,因为头中的信息。18luck手机登录一些程序让你改变头中的信息,以便计算机认为这是一种不同的文件。18luck手机登录侦探在寻找一个特定的文件格式可以跳过重要的证据,因为它看起来并不相关。

广告

其他项目可以把文件分成小段和隐藏每个部分的其他文件。文件通常有未使用的空间松弛的空间。有了正确的程序,你可以利用这个松弛空间隐藏文件。是非常具有挑战性的检索和重组隐藏的信息。18luck手机登录

也有可能隐藏一个文件在另一个。可执行文件——文件,电脑识别程序——尤其成问题。项目名为封隔器可以将可执行文件插入其他类型的文件,而工具叫什么绑定可以绑定多个可执行文件。

加密是另一种隐藏数据。加密数据时,您可以使用称为一组复杂的规则算法使数据不可读。例如,该算法可能会改变一个文本文件到一个看似无意义的数字和符号的集合。一个人想要读取数据需要加密的密钥,逆转的加密过程,数字和符号将成为文本。没有钥匙,侦探必须使用计算机程序旨在破解加密算法。更复杂的算法,需要解密的时间越长它没有钥匙。

其他anti-forensic工具可以改变元数据附加到文件。元数据包括信息,如当一个文件被创建或18luck手机登录改变。通常你无法改变这一信息,但有项目,可以让一个人改变附加到文件的18luck手机登录元数据。想象检查文件的元数据和发现它说文件不存在另一个三年,一个世纪前最后一次访问。如果元数据受损,很难提供可靠证据。

一些计算机应用程序将擦除数据如果未经授权的用户试图访问系统。一些程序员检查计算机取证程序如何工作,试图创建应用程序块或攻击18新利最新登入程序本身。如果计算机取证专家碰到这样一个罪犯,他们必须使用谨慎和聪明才智来检索数据。

少数人使用anti-forensics演示脆弱和不可靠的计算机数据。18新利最新登入如果你不能确定一个文件创建时,当它最后一次访问或即使它存在,你怎么能证明利用计算机证据在法庭上?18新利最新登入虽然这可能是一个有效的问题,许多国家接受计算机证据在法庭上,尽管证据的标准是不同的从一个国家到另一个地方。

证据的标准究竟是什么?我们将在下一节中找到。

广告

计算机证据标准

在美国,抓住和利用计算机证据的规则是广泛的。美国司法部已经手动题为“搜索和扣押电脑和获取电子证据在刑事调查。”The document explains when investigators are allowed to include computers in a search, what kind of information is admissible, how the rules of传闻适用于计算机信息和指南进行搜索。18luck手机登录

如果调查人员相信计算机系统只是作为存储设备,他们通常不允许抓住硬件本身。这限制了任何证据调查。另一方面,如果研究人员相信硬件本身就是证据,他们可以抓住硬件和把它到另一个位置。例如,如果计算机是赃物,调查者可以抓住硬件。

广告

为了使用计算机系统的证据在法庭上,原告必须进行身份验证的证据。,控方必须能够证明作为证据提供的信息来自于嫌疑人的计算机,它依然没有改变。18luck手机登录

虽然通常承认篡改计算机数据是可能的和相对简单,美国法院完全计算机证据到目前为止还没有折扣。相反,法院要求证明或篡改的证据之前,计算机证据。

另一个考虑法院考虑计算机证据传闻。传闻是一个术语指法庭以外的陈述。在大多数情况下,法院可以不允许传闻作为证据。法院已经确定,信息在电脑上不构成传闻在大多数情况下,因此容许。18luck手机登录如果电脑记录包括人为的语句电子邮件消息,法院之前必须确定语句可以被认为是值得信赖的允许他们作为证据。法院在个案基础上确定。

计算机取证专家在调查中使用一些有趣的工具和应用程序。了解更多关于他们在下一节。

广告

计算机取证工具

无论多么一个部门的预18新利最新登入算有限,没有可靠的调查员会屈尊痛苦打开电脑找到线索。
©iStockphoto/主任Muharrem猛烈的一击

程序员已经创建了许多电脑取证程序。许多警察部门,工具的选择取决于部门预算和提供专业知识。

这里有一些计算机取证程序和设备,使计算机调查:

广告

  • 磁盘成像软件记录的结构和内容硬盘。这样的软件,不仅可以将信息复制驱动,但也保存文件的组织方式及其相互关系。18luck手机登录
  • 软件硬件编写工具复制和修复硬盘。软件和硬件工具避免更改任何信息。18luck手机登录一些工具要求调查人员把硬盘从嫌疑人的电脑先复制。
  • 哈希的工具比较原始硬盘拷贝。工具分析数据并为其分配一个惟一的编号。如果散列数字一个正本和副本匹配,原始的复制是一个完美的复制品。
  • 研究人员使用文件恢复程序搜索和恢复删除的数据。这些项目定位数据,计算机已标记为删除但尚未覆盖。有时,这会导致一个不完整的文件,它可以分析更加困难。
  • 有几个项目旨在保护计算机中的信息18luck手机登录随机存取存储器(RAM)。与硬盘的信息,18luck手机登录数据在RAM中不再存在一旦有人关闭了电脑。没有合适的软件,这些信息可能会丢失。18luck手机登录
  • 分析软件筛选硬盘上的所有信息,寻找特定的内容。18luck手机登录因为现代计算机可以保存字节的信息,这是非常困难和耗时的手工搜索计算机文件。18luck手机登录例如,一些搜索和评估分析程序互联网饼干,它可以帮助告诉调查人员怀疑的网络活动。其他程序让调查人员寻找特定的内容,可能在怀疑的计算机系统。
  • 加密解码软件和密码破解软件可用于访问受保护的数据。

这些工具仅仅是有用的,只要调查人员遵循正确的程序。否则,一个好的辩护律师可以认为任何证据收集在计算机调查并不可靠。当然,几个anti-forensics专家认为,没有电脑是完全可靠的证据。

法院是否继续接受计算机证据可靠还有待观察。Anti-forensics专家认为,这只是一个时间问题,有人在法庭上证明,操纵计算机数据没有被发现是可能的和合理的。如果是这样的话,法院可能难以证明计算机证据的包含在试验或调查。

学习更多关于计算机取证和相关主题,遵循下一个页面上的链接。

广告

经常回答问题

计算机取证是一个很好的职业吗?
计算机取证是一个很好的职业人对电脑有兴趣,渴望帮助破案。这个领域非常具有挑战性和令人兴奋的,有一个伟大的对合格的计算机取证专家的需求。
计算机法医做什么?
计算机取证是调查和分析技术的应用从一个特定的计算设备收集和保存证据的方式适用于表示在法庭上。计算机取证的目的是执行一个结构化的调查找到所有可能与案件有关的证据,然后解释证据的方式在法律上容许。
你需要什么学位计算机法医?
具体的教育成为计算机取证专家要求将取决于您希望的特定领域或行业的工作。18新利最新登入然而,大多数计算机取证专家至少需要学士学位在计算机取证,计算机科学或相关专业。

更多的信息18luck手机登录

HowStuff18新利最新登入Works相关文章

更大的链接

  • Berinato,斯科特。“Antiforensics的崛起。”方案Online. June, 2007. http://www.csoonline.com/read/060107/fea_antiforensics.html
  • 计算机取证工具测试项目http://www.cftt.nist.gov/index.html
  • “联邦证据规则”。Cornell Law School. http://www.law.cornell.edu/rules/fre/rules.htm#Rule1001
  • 菲茨杰拉德,托马斯J。“删除但不走了。”The New York Times. November 3, 2005. http://www.nytimes.com/2005/11/03/technology/circuits/03basics.htmlex=1288674000&en=52520fd64c31403f&ei=5090&partner=rssuserland&emc=rss
  • 克尔,欧林。“电脑记录和联邦证据规则。”U.S. Department of Justice. March, 2001. http://www.usdoj.gov/criminal/cybercrime/usamarch2001_4.htm
  • 哈里斯,瑞安。“到达一个anti-forensics共识。”Digital Investigation. 2006. http://dfrws.org/2006/proceedings/6-Harris.pdf
  • “18新利最新登入联邦调查局调查计算机犯罪。”CERT. http://www.cert.org/tech_tips/FBI_investigates_crime.html
  • Oseles,丽莎。“计算机取证:解决犯罪的关键。”
  • 基督教s . j .和Legary·庇隆,迈克尔。“数字Anti-Forensics:新兴趋势数据转换技术。”Seccuris Labs. http://www.seccuris.com/documents/papers/Seccuris-Antiforensics.pdf
  • 罗宾斯,贾德。“计算机取证的一个解释。”http://computerforensics.net/forensics.htm
  • “搜索和抓住计算机和获取电子证据在刑事调查。”美国司法部(Department of Justice)。2002年7月。http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm _V_
  • “安然。”Chron.com. http://www.chron.com/news/specials/enron/
  • 沃克,康奈尔大学。“计算机取证:把证据告上法庭。”InfosecWriters. http://www.infosecwriters.com/text_resources/pdf/Computer_Forensics_to_Court.pdf
  • 喋喋不休,富兰克林。“法律方面的收集和保存计算机法医证据。”Global Information Assurance Certification. April 20, 2001. http://www.giac.org/certified_professionals/practicals/gsec/0636.php

广告

加载……
Baidu