什么是数字取证？

据联邦调查局称，2021 年发生了 80 多万起网络犯罪。由于其隐秘性，此类犯罪很容易发生。

当你坐在咖啡店里使用他们的 Wi-Fi 时，你怎么知道你不是同一网络上某人犯罪的受害者呢？

律师和检察官在数字取证专家的帮助下打击此类犯罪。数字取证调查将揭示定罪网络罪犯所需的必要数据和数字证据。

但数字取证到底是什么，过程又是什么？

当您读完本文时，您将对现有的数字取证类型以及数字取证过程有一个深入的了解。

什么是数字取证？

数字取证包括识别、保存、提取和记录律师在法庭上使用的计算机证据的过程。

取证是一门以数字格式查找和提取证据的科学。取证专家将从手机、服务器、计算机或网络中提取证据。

通常，数字取证专家团队会使用有针对性的技术和工具共同解决复杂案件。这类专家  也能够管理安全漏洞。

数字取证的历史

对数字取证的需求始于 1971 年发生的首起计算机犯罪，当时 Bob Thomas 编写了名为“The Creeper”的病毒。这种病毒只是一种普通的滋扰，并没有危害。

然而，它确实表明了对计算机犯罪专家的需求日益增长。

到了 20 世纪 90 年代，“计算机犯罪”一词在调查界已变得十分常见。

21 世纪初，联邦政府开始制定数字取证政策。

如今，得益于数字取证专家，律师拥有大量证据。

他们可以找到证明网络罪犯有罪或证明民事诉讼案件中重要事实所需的数据。

数字取证调查的目标

数字取证调查员除了查找、恢复、分析和保存数字、计算机和相关材料外，还有几个主要目标。

这些材料必须采用检察官可以在法庭上用作证据的形式。

以下是数字取证调查员的其他一些目标：

👉帮助推测犯罪或渎职行为的原因
👉帮助发现主犯的身份
👉设计程序确保调查人员不会破坏数字证据
👉获取并复制已删除文件等数据
👉快速识别证据
👉制作律师可以在法庭上使用的计算机取证报告
👉遵循保管链妥善保存数字证据

数字取证调查流程

数字取证包括一系列精确的步骤。

任何一步失误都可能损害案件的调查结果。

以下是数字取证调查过程的基本步骤：

1. 识别

法医鉴定过程从身份辨认开始。调查人员将确定存在哪些证据、罪犯将证据存放在何处以及罪犯如何存放证据。

手机、PDA、个人电脑和各种其他电子设备都可以存储媒体。法医调查人员必须准确确定哪个设备拥有他们所需的证据数据。

2. 保存

一旦调查人员知道他们要寻找什么以及在哪里查看，他们就可以开始隔离、保护和保存数据。调查人员将没收数字设备，从而防止个人篡改数字证据。

3. 分析

在保存数字证据后，调查人员将重建数据片段并根据他们找到的证据得出一些结论。这样的分析可能需要多次尝试才能获得支持犯罪理论所需的证据。

4. 文档

然后，调查人员会记录所有可见数据。他们将重现犯罪现场并进行审查。他们将根据可用数据创建事件时间表。

5. 演示

此时，调查员将总结并解释调查结果。调查员在谈论证据和方法时应使用常用术语，但要使其更适合法庭。调查员越能清晰地说明过程，陪审团和法庭其他成员就越有可能理解它们。

数字取证的类型

并非所有类型的数字取证都相同。

以下是最常见的数字取证类型：

网络

数字取证的这一分支专注于分析和监控计算机网络上的流量。

调查人员将收集法律证据和重要信息。

磁盘

磁盘取证领域的数字取证专家知道如何从存储介质中提取数据。

他们会花时间搜索已修改、活动或已删除的文件来寻找证据。

数据库

专注于数据库取证的取证专家会花时间研究数据库。

他们每天检查大量元数据以寻找犯罪证据。

无线的

无线取证专家将提供调查人员收集和分析无线网络流量数据所需的工具。

恶意软件

恶意软件专家识别并修复恶意代码。

他们研究病毒、蠕虫、有效载荷以及与恶意代码相关的所有其他事物。

电子邮件

电子邮件取证专家知道如何恢复和分析电子邮件。

他们甚至可以在已删除的电子邮件、联系人和日历中找到证据。

记忆

内存取证专家从系统内存中收集数据。

他们了解如何以原始形式从缓存、RAM 和寄存器中提取证据。然后他们可以从原始转储中提取数据。

手机

由于手机是移动计算机，一些取证专家将手机作为主要研究对象。

他们检查和分析移动设备，以检索 SIM 卡和电话联系人、传入数据、通话记录、传出数据、视频、音频以及手机中保存的任何其他信息。