通过电子数据的取证分析,可以发现事实、重建犯罪过程。因此和其他侦查过程一样,需要有相应的框架和方法论作为指导,使得整个取证过程可靠、客观和透明。不少专业组织和人士都提出了相应的取证框架,如图10-7所示,一般可以归纳为以下6个阶段:准备、识别、保存、检查、分析以及报告等。
图10-7 取证过程框架
1.准备:由于每一次的数字取证都是不一样的,为有效开展数字取证,应制定行动计划,包括所需的资源和材料,因此准备阶段是非常重要的阶段。
2.识别:在事件现场识别所有可能的数字证据源(任何载体),由于电子证据分布的广泛性,常常会涉及多个现场。(www.xing528.com)
3.保存:对识别出来的数字证据进行保存,防止数字证据被破坏。一般来说,后续的检查和分析过程都应基于镜像数据,而对原始的数字证据要进行保护。但也会遇到数据无法镜像的情况,如部分移动设备,以及大型存储系统等。
4.检查、分析:查找、搜索、过滤、筛选、定位数字证据。包括数据转换、数据恢复、数据解密等。
5.报告:对数字证据的发现和报告,应以事实、客观的方法来表达事实。
从电子数据取证的发展历史来看,最早发展起来的是计算机取证,主要涉及计算机终端的分析和取证、单机取证、内存取证等。随着移动网络的发展,电子数据的取证分析的范围扩展至移动设备取证,如手机、GPS设备、智能终端、可穿戴设备等。近几年,互联网产业的迅猛发展,又使得网络取证、云取证等成为电子数据取证分析所要解决的前沿问题,如网络流量、网络日志、网络配置、网络行为分析、网络数据解析、网络数据分析等。无论是在哪个时期,电子数据的取证分析都不仅仅是技术问题,其中还涉及人员之间的配合问题。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。