2021-03-18

计算机犯罪的概述
执法人员在调查犯罪、收集其他证据或进行逮捕时，经常会发现电脑、智能手机和其他设
备。这些设备可以包含帮助执法人员确定导致犯罪的事件链或提供更有可能导致定罪的证 据的信息。在一起涉及电脑的犯罪案件中，警方突袭了一名嫌疑毒贩的住所，在一间卧室
里发现了一台台式电脑、几个 USB驱动器(也称为"闪存驱动器"或"u盘")、一台平板电 脑和一款手机(见图 1-9)。这台电脑被"装袋并贴上标签"，意思是它和存储介质一起被放
在证据袋里，然后贴上标签，作为搜查和扣押的一部分。
负责此案的首席侦探希望您检查电脑和手机，以找到并组织可能成为犯罪证据的数据，例 如包含毒贩联系人姓名、短信和照片的文件。负责收集资料的人员会向你提供调查人员用 电脑收集的物品的文件，包括其他存储介质的清单，例如可移动磁盘和闪存盘。负责采购 的官员还指出，这台电脑使用的是 Windows 8系统，被发现时这台机器正在运行。在关闭 电脑之前，负责收购的官员会把 windows 桌面上所有打开的窗口都拍下来，包括一个显示
“文件资源管理器"的窗口，然后把照片给你。(在关闭计算机之前，应该进行实时采集来 捕获 RAM。这个过程将在第十章讨论。)
作为一名数字取证调查员，你应该感谢警官们在获取证据时遵循了正确的程序。对于数字 证据，重要的是要意识到关键数据，比如最后访问日期，是多么容易被第一个到达现场的
过于急切的调查人员篡改。美国司法部(DOJ)有一份文件，你可以下载，它审查了电子证 据的正确获取，名为"起诉计算机犯罪”(www.justice.gov/criminal/
cybercrime/docs/ssmanual2009)。pdf，2009)。如果此链接因网站更新而改变，请使用搜索功 能。
在您的初步评估中，您假设硬盘和存储介质包括完整的文件，如电子邮件消息、删除的文件和 隐藏的文件。你可以在调查中使用一系列软 件;你的办公室使用的工具技术途径 ProDiscover。在初步评估之后，您可以确定这种情况下的潜在挑战。稍后，您将执行调查案例所需的步 骤，包括如何处理风险和障碍。然后就可以开始实际的调查和数据检索了。