加拿大刑法/附录/模拟考试/计算机取证分析师
- <务必向法官确认他对计算机基本知识的了解程度,可能需要详细说明什么是文件和目录>
- 姓名/雇主/任职时间/现任职位
- 犯罪发生之时的雇佣关系/犯罪发生当天是否在岗
- 计算机和计算机分析方面的教育和培训/课程名称/教育时间
- 是否有关于计算机取证的专门培训/什么是计算机取证?
- 详细介绍培训内容
- 课程名称/在哪里可以获得/谁开发的/标准化课程
- 从第一个课程开始,列出所有完成的教育课程,包括时长(小时/天)
- 培训是否包含实践操作/实践操作的具体情况/是否能够确认结果/是否有监督
- 详细介绍分析流程
- 课程成绩/是否有认证/由什么组织认证/认证时间和时长/认证要求/保持认证要求
- 其他相关培训
- 是否提供过培训/关于此主题的演讲
- 提交简历
- 经验
- 分析过的案件数量/被要求提供意见的次数/在法庭上作证的次数/被认定为专家的次数(何时何地)
- 记录所有之前的评估/记录方法/在法庭上是否已复核
- 申请将计算机分析师认定为______方面的专家
- 首次收到计算机时的状态
- 使用的软件工具(FTK、EnCase 等)/工具用途/数据保存
- 硬盘驱动器上可以检查的文件类型
- 可访问的文档、图像、视频
- 不可访问的文档、图像、视频(全部或部分)
- 恢复不可访问或已删除文件需要什么
- 文件被删除的不同方式/保存了什么
- 有许多程序和服务可以恢复数据(估计认为已删除的文件永远消失是鲁莽的)
- 使文件不可恢复的方法/存在的软件程序
- 如何访问计算机/在哪里/从谁那里
- 计算机类型/序列号/外围设备/计算机的可能使用年限
- 开始时的机器状态/使用 EnCase 或类似软件访问硬盘驱动器/使用 EnCase 或类似软件的原因
- 识别正在使用的操作系统
计算机的内容
- 是否找到任何与案件相关的文件
- 文件类型(图片、视频、文档)
- 文档内容
- 是否检查了文件内容/文件名是否反映内容
- 文件的元数据和特征
- 文件的哈希值和名称/找到的文件数量/所有文件的总大小/视频长度
- 找到的文件位置/目录/未分配空间
- 创建、修改和访问日期/评论时间和日期的准确性/确定文件下载、打开或删除日期的其他方法
用户身份的迹象
- 检查文件以寻找使用帐户的人的迹象
- 检查操作系统注册表/注册所有者的姓名
- 操作系统上启用的用户帐户/一个用户是否可以将文件放在另一个用户的目录中
- 人员或家庭成员的图像
- 互联网浏览历史记录(包括登录信息)
- 带有姓名的文档
- 与某个名称的网络登录帐户的联系
用户对计算机熟悉程度的迹象
- 考虑是否修改了 P2P 软件的设置
- 机器上安装的其他软件,通常针对高级用户的软件
- 定制操作系统、桌面等的迹象/设置与开箱即用的默认安装相比有多大不同
其他可能相关的资料
- 有关机器上安装的软件包的详细信息
- 有关操作系统安装的详细信息(时间和日期,由谁安装)
- 计算机时钟的同步
- 安装的其他软件(文件删除软件、聊天程序、病毒、间谍软件或其他文件共享程序)