调查类型
< 数字取证入门
| 实用提示! | |
|---|---|
| 您可能想阅读维基百科关于计算机犯罪的文章,其中包含更多关于该主题的详细信息 |
数字取证传统上与刑事调查相关联,正如您所料,大多数类型的调查都集中在某种形式的计算机犯罪上。这种犯罪可以采取两种形式;计算机犯罪和计算机辅助犯罪。
- 计算机犯罪
- 这是纯粹在计算机上进行的犯罪活动,例如网络欺凌或垃圾邮件。除了计算机时代新定义的犯罪外,还包括纯粹在计算机上进行的传统犯罪(例如,儿童色情制品)。
- 计算机辅助犯罪
- 在“现实世界”中进行的犯罪,但通过使用计算机来促进。这种犯罪的一个典型例子是欺诈:计算机通常用于与其他欺诈者进行交流,记录/计划活动或创建欺诈性文件。
并非所有数字取证调查都集中在犯罪行为上;有时,这些技术在企业(或私人)环境中用于恢复丢失的信息或重建员工的活动。
示例:
数字取证用于补充调查,就像任何其他法医学科一样。2007年,检察官从约瑟夫·E·邓肯三世的计算机中恢复的电子表格,以显示预谋并确保死刑。2006年,在莎伦·洛帕特卡的电脑中发现了他的电子邮件,详细描述了折磨和死亡幻想,她的凶手身份被确定。
| 实用提示! | |
|---|---|
| 维基百科有关于电子取证和数字证据的资料,您可能对此感兴趣。 |
数字取证专家进行四种主要的调查类型。前三种在所涉及的活动方面大体相似,但在法律限制和指南以及数字证据类型和报告形式方面有所不同。
- 刑事取证
- 数字取证的最大形式,属于执法部门(或为其工作的私人承包商)的管辖范围。刑事取证通常是执法部门和其他专家进行的更广泛调查的一部分,报告旨在促进该调查,并最终作为专家证据在法庭上提交。重点是在法医上健全的数据提取和以普通人能够理解的简单术语生成报告/证据。
- 情报收集
- 这种类型的调查通常与犯罪有关,但与提供情报以帮助追踪、阻止或识别犯罪活动有关。除非证据后来将在法庭上使用,否则法医健全性在这类调查中不是那么重要,相反,速度可能是一个普遍的要求。
- 电子取证 (eDiscovery)
- 类似于“刑事取证”,但与民事法有关。虽然在功能上与刑事取证相同,但电子取证具有特定的法律限制和约束,通常与任何调查的范围有关。隐私法(例如,员工有权不受到个人对话的拦截)和人权法往往会影响电子取证。
- 入侵调查
- 最后一种调查形式不同于前三种。入侵调查是作为对网络入侵的回应而发起的,例如黑客试图窃取公司机密。调查的重点是识别此类攻击的入口点、访问范围以及减轻黑客的活动。入侵调查通常“实时”(即实时)进行,并且严重依赖于网络取证学科。
显然,任何调查的主要目标都是恢复某种形式的数字证据,即与审查相关的客观数据。除此之外,调查员可能会被要求对这些证据进行某种形式的分析;无论是形成专家结论,还是解释证据的含义。
以下是一些示例,说明审查员可能会被要求进行的分析类型
- 归因
- 元数据和其他日志可用于将行为归因于个人。例如,计算机驱动器上的个人文档可能会识别其所有者。
- 不在场证明和陈述
- 可以将相关人员提供的信息与数字证据进行交叉核对。例如,在调查索汉谋杀案期间,犯罪者的不在场证明被证伪,因为他声称与他在一起的人的手机记录显示她在案发时不在城里。
- 意图
| 实用提示! | |
|---|---|
| 犯罪意图,或意图,是证明犯罪行为的两方面之一。还必须有犯罪行为,即实际的犯罪行为,这就是数字证据发挥作用的地方! |
- 除了找到犯罪行为的客观证据外,调查还可以用于证明意图(在法律术语中称为犯罪意图)。例如,被定罪的杀手尼尔·恩特维斯特尔的互联网历史记录包括对讨论“如何杀人”的网站的引用。
- 来源评估
- 文件伪像和元数据可用于识别特定数据片段的来源;例如,旧版本的 Microsoft Word 将全局唯一标识符嵌入到文件中,以识别其创建的计算机。证明文件是在正在检查的数字设备上生成还是从其他地方(例如互联网)获取可能非常重要。
- 文件验证
- 与“来源评估”相关,与数字文档相关的元数据可以轻松修改(例如,通过更改计算机时钟,您可以影响文件的创建日期)。文件验证涉及检测和识别此类详细信息的伪造。
这是一个针对此页面的快速测试,尝试在不作弊的情况下填写答案。