报告
< 数字取证简介
报告是任何调查的关键最终阶段。一名熟练的调查员的目标是在将技术事实与其自身分析相平衡的同时,以通俗易懂的语言进行呈现。撰写一份好的报告通常是取证分析师难以获得的技能,因为用简单的语言传达复杂的思想并不总是容易的。
您的报告结果很大程度上取决于谁在阅读它。在大多数情况下,最简单的方法是假设阅读任何报告的人都没有任何技术知识,并针对他们进行讲解。
常见的取证报告可能包括
- 调查结果摘要
- 对所进行分析的描述
- 对“未分配空间”和“点对点”等术语的解释(扩展词汇表)
除了任何报告之外,通常还需要提供原始证据。在法律环境中,有一个先决条件被称为“最佳证据”规则,它要求提供证据的原始副本。显然,对于数字证据来说,这提出了一个问题,即“什么是原始副本”。查看原始磁盘可能会修改证据(如前几章所述),并且通常无法以原始形式呈现已删除的证据。
出于实际目的,法院通常接受包含证据副本的 CD/DVD(即一次性写入介质)。