18新利最新登入计算机取证是如何工作的

领域的电脑取证相对年轻。在早期的计算,法院认为证据从电脑是没有不同于任何其他类型的证据。随着电脑越来越先进和复杂,意见转移——法院了解到,计算机证据很容易腐败,破坏或改变。

调查人员意识到,有必要开发特定的工具和过程计算机搜索证据而不影响本身的信息。18luck手机登录侦探与计算机科学家讨论他们需要使用适当的程序和工具来检索来自电脑的证据。渐渐地,他们开发出的程序,现在计算机取证领域的。

通常,侦探必须安全保证嫌疑人的计算机搜索证据。保证必须包括侦探可以搜索和他们可以寻找什么样的证据。换句话说,一个侦探不能有保证,无论他或她喜欢寻找任何可疑。此外,保证的条款不能太一般。大多数法官请求时需要尽可能具体侦探搜查令。

出于这个原因,重要的是研究侦探嫌疑人之前尽可能要求搜查令。考虑一下这个例子:一位侦探让嫌疑人的搜索笔记本电脑电脑。侦探到达嫌疑人的家庭和服务保证。在嫌疑人的家中,侦探看到桌面个人电脑。侦探不能合法地搜索电脑,因为它没有包括在最初的搜查令。

每台电脑的调查有点独特。一些调查可能只需要一个星期才能完成,但其他人可能需要数月之久。这里有一些因素会影响调查的长度:

从一台电脑收集证据的步骤是什么?请继续往下读。

贾德·罗宾斯,电脑科学家和计算机取证的领先专家,列出以下步骤调查人员应该遵循检索计算机证据:

所有这些步骤都是重要,但第一步是至关重要的。如果调查人员不能证明他们安全的计算机系统,他们发现的证据可能不容许。这也是一个大的工作。在早期的计算,系统可能包括个人电脑和一些软盘。今天,它可能包括多个电脑、磁盘、拇指驱动器,外部驱动器,外设和Web服务器。

一些罪犯已经找到方法去调查人员更难以找到他们的系统的信息。18luck手机登录他们被称为使用程序和应用程序anti-forensics。侦探必须意识到这些项目以及如何禁用它们如果他们想访问计算机系统中的信息。18luck手机登录18新利最新登入

anti-forensics到底是什么,他们的目的是什么?在下一节中找到。

Anti-forensics可以是一个电脑调查员的噩梦。程序员设计anti-forensic工具很难或不可能在调查过程中检索信息。18luck手机登录从本质上讲,anti-forensics指任何技术,小工具或软件旨在阻碍计算机调查。

有很多人可以隐藏信息的方法。18luck手机登录一些程序可以欺骗计算机通过改变信息在文件的18luck手机登录头。人类的文件头通常是无形的,但它是非常重要的,它告诉计算机什么样的文件头相连。如果你要重命名一个mp3文件,它有一个gif扩展,计算机仍然知道文件是一个mp3,因为头中的信息。18luck手机登录一些程序让你改变头中的信息,以便计算机认为这是一种不同的文件。18luck手机登录侦探在寻找一个特定的文件格式可以跳过重要的证据,因为它看起来并不相关。

其他项目可以把文件分成小段和隐藏每个部分的其他文件。文件通常有未使用的空间松弛的空间。有了正确的程序,你可以利用这个松弛空间隐藏文件。是非常具有挑战性的检索和重组隐藏的信息。18luck手机登录

也有可能隐藏一个文件在另一个。可执行文件——文件,电脑识别程序——尤其成问题。项目名为封隔器可以将可执行文件插入其他类型的文件,而工具叫什么绑定可以绑定多个可执行文件。

加密是另一种隐藏数据。加密数据时,您可以使用称为一组复杂的规则算法使数据不可读。例如,该算法可能会改变一个文本文件到一个看似无意义的数字和符号的集合。一个人想要读取数据需要加密的密钥,逆转的加密过程,数字和符号将成为文本。没有钥匙,侦探必须使用计算机程序旨在破解加密算法。更复杂的算法,需要解密的时间越长它没有钥匙。

其他anti-forensic工具可以改变元数据附加到文件。元数据包括信息,如当一个文件被创建或18luck手机登录改变。通常你无法改变这一信息,但有项目,可以让一个人改变附加到文件的18luck手机登录元数据。想象检查文件的元数据和发现它说文件不存在另一个三年,一个世纪前最后一次访问。如果元数据受损,很难提供可靠证据。

一些计算机应用程序将擦除数据如果未经授权的用户试图访问系统。一些程序员检查计算机取证程序如何工作,试图创建应用程序块或攻击18新利最新登入程序本身。如果计算机取证专家碰到这样一个罪犯,他们必须使用谨慎和聪明才智来检索数据。

少数人使用anti-forensics演示脆弱和不可靠的计算机数据。18新利最新登入如果你不能确定一个文件创建时,当它最后一次访问或即使它存在,你怎么能证明利用计算机证据在法庭上?18新利最新登入虽然这可能是一个有效的问题,许多国家接受计算机证据在法庭上,尽管证据的标准是不同的从一个国家到另一个地方。

证据的标准究竟是什么?我们将在下一节中找到。

在美国,抓住和利用计算机证据的规则是广泛的。美国司法部已经手动题为“搜索和扣押电脑和获取电子证据在刑事调查。”The document explains when investigators are allowed to include computers in a search, what kind of information is admissible, how the rules of传闻适用于计算机信息和指南进行搜索。18luck手机登录

如果调查人员相信计算机系统只是作为存储设备,他们通常不允许抓住硬件本身。这限制了任何证据调查。另一方面,如果研究人员相信硬件本身就是证据,他们可以抓住硬件和把它到另一个位置。例如,如果计算机是赃物,调查者可以抓住硬件。

为了使用计算机系统的证据在法庭上,原告必须进行身份验证的证据。,控方必须能够证明作为证据提供的信息来自于嫌疑人的计算机,它依然没有改变。18luck手机登录

虽然通常承认篡改计算机数据是可能的和相对简单,美国法院完全计算机证据到目前为止还没有折扣。相反,法院要求证明或篡改的证据之前,计算机证据。

另一个考虑法院考虑计算机证据传闻。传闻是一个术语指法庭以外的陈述。在大多数情况下,法院可以不允许传闻作为证据。法院已经确定,信息在电脑上不构成传闻在大多数情况下,因此容许。18luck手机登录如果电脑记录包括人为的语句电子邮件消息,法院之前必须确定语句可以被认为是值得信赖的允许他们作为证据。法院在个案基础上确定。

计算机取证专家在调查中使用一些有趣的工具和应用程序。了解更多关于他们在下一节。

程序员已经创建了许多电脑取证程序。许多警察部门,工具的选择取决于部门预算和提供专业知识。

这里有一些计算机取证程序和设备,使计算机调查:

这些工具仅仅是有用的,只要调查人员遵循正确的程序。否则,一个好的辩护律师可以认为任何证据收集在计算机调查并不可靠。当然,几个anti-forensics专家认为,没有电脑是完全可靠的证据。

法院是否继续接受计算机证据可靠还有待观察。Anti-forensics专家认为,这只是一个时间问题,有人在法庭上证明,操纵计算机数据没有被发现是可能的和合理的。如果是这样的话,法院可能难以证明计算机证据的包含在试验或调查。

学习更多关于计算机取证和相关主题,遵循下一个页面上的链接。