电子证据可以分为“死”证据和“活”证据:前者包括收集来的硬盘,U盘,储存卡等等。是“死”的;后者顾名思义,就是活着的证据,比如内存,电脑在运行的状态下内存的内容随时都在变化,但是内存中可能有极为重要的证据,比如剪贴板的内容,输入的密码等等。无论证据是“死”是“活”,都是取证人员所要刨根问底的。
对于“死”的证据,取证人员需要100%跟随监督链的原则,进行取证分析。拿硬盘或U盘来说,收集到物理证据后,取证人员会制作一个完全一样的副本(Bit-stream Copy)。这一步一般都需要一个叫做写保护器(Write Blocker)的物理元件,以防制作副本的过程中系统对原证据写入数据。在制作副本的同时,取证人员会在原证据上运算MD5或SHA1值,待副本完成后再在副本上运算。MD5或SHA1值就像是指纹一样,可以用来分辨作出来的副本是否与原证据一样。而且每次进行取证分析后,取证人员都会进行相同的运算,以确保证据没有改变,从而确保证据的可靠性。
“活”证据的重要性直到近期才被关注,却极其重要,可想而知毕竟计算机取证还是一门新兴的事物有待发展完善。在犯罪的第一现场,或是嫌疑犯的家中,当有电脑卷入时,美国的司法部门规定如果是开启的,不要关闭或收集,联系计算机取证人员来对应。这样做的一个原因是越来越多的罪犯开始隐藏自己的罪行,并且对其加密。解密的难度很大,而且费时,但是如果罪犯输入密码,密码就一定会藏在内存某处。通过内存的取证分析,就可以找到密码并轻易解密。此外,国外的即时通讯软件(Yahoo、Facebook等)越来越多地在网页上运行,这样使得聊天的内容不会被存在硬盘中而存入内存,这也是为什么“活”证据变得越来越重要的一个原因。因为内存的易变性,导致取证前后的内存不可能相同,这有可能造成法庭上辩护律师对这些证据可靠性的攻击,有待相关的法律来完善“活”证据的取证。
计算机调查取证和计算机安全与法律密不可分,取证员需要接受法律和计算机安全甚至网络安全的多方面培训。在美国,SANS Institute的GIAC Certified Forensics Analyst(GCFA)认证就是针对计算机调查取证员的认证。
|
