電腦鑑識
| 司法科学 |
|---|
 |
| 生理科学 |
| 法医学 法医口腔学 法医人类学 法医昆虫学 法医考古学 |
| 社会科学 |
| 法医心理学 法医精神病学 |
| 其他侧重点 |
| 指纹分析 法庭会计 弹道学 尸体鉴定 基因鉴定 法庭艺术 司法毒物学 可疑文证审查 |
| 网络技术 |
| 资讯鉴识 电脑鉴识 |
| 相关概念 |
| 司法工程学 司法语言学 司法材料工程学 司法聚合工程学 火灾调查 车辆事故再现 |
| 人物 |
| 奥古斯特·塔迪欧 埃德蒙·罗卡 威廉·巴斯 |
| 相关条目 |
| 犯罪现场 CSI效应 花粉日历 痕迹鉴定 刹车痕迹 |
電腦鑑識簡單來說,係一利用科技與嚴謹的檢查程序,自電腦系統或其它類似的儲存媒體中,查找罪行相關物證或間接物證。
目录 |
瞭解犯罪者 [编辑]
對於電腦鑑識專家來說,必需要能夠瞭解嫌疑犯世故的程度,懂得對方在資訊專業方面的認知多寡,如果我們不清楚嫌疑犯的程度時,先將對方視為專家,並假設對方已經為有電腦鑑識之可能,做好事前準備。
待鑑識的已開機設備是否要關機以方便運送,或是保持開機狀態以避免變更原始資料,如同一把兩面刃的刀一樣,各有優劣。沒有關機的電腦,是不方便運送的,此外還有嫌疑犯啟動程式以銷毀重要資料的問題;相反的,將電腦進行關機後,易揮發的資料如記憶體內部若存有重要的密碼,隨著關機便煙消雲散,其中的取決是一門臨場判斷的學問。
數位證據的紀錄 [编辑]
軟硬體的蒐集 [编辑]
網路資訊解析 [编辑]
網際網路監聽(通信監察)技術介紹 1. 封包補捉 ( Sniffer 有線, 無線, 加密). 2. 封包分類 3. 封包重組 4. 資料儲存
電腦鑑識與傳統鑑識 [编辑]
電腦鑑識與傳統鑑識間,存在有許多差異點。巨觀來看,傳統鑑識著眼於鑑定與個化。兩者的鑑識過程中,均在於將犯罪現場的各個項目與物質,分析後再予以分類,甚至鑑識出其原由。(如紅色的汁液,可能被分類為血或果汁等,甚至找出所有人。)相對於傳統鑑識,電腦鑑識會著重於找出物證,並予以分析,這樣的過程是相較於傳統鑑識來說,是類似犯罪現場調查的。
封包擷取方法 – Sniffer
乙太網路中是基於廣播方式傳送資料的,也就是說,所有的實體信號都要經過我的機器,網卡可以置於一種模式叫混雜模式 (promiscuous),在這種模式下工作的網卡能夠接收到一切通過它的資料,而不管實際上資料的目的地址是不是他。這實際上就是我們 Sniffer 工作的基本原理讓網卡接收一切他所能接收的資料。
資訊鑑識v.s電腦鑑識 [编辑]
很多人會把「資訊鑑識」與「電腦鑑識」混為一談,其實是兩種不同的東西。電腦鑑識的概念源自電腦 / 網絡保安與及刑事偵查,主要是用作調查電腦犯罪時,尋找相關證據或是用來證明損害的證據。由於資訊科技發達,虛擬世界裡的電子紀錄很容易便可遭修改。電腦鑑識也用來建立證物保護方式,確保鑑識前後的電子證據沒有遭竄改,令經鑑識分析後的證據更可信及具有法律地位。
參考資料 [编辑]
4. Xiaoyun Wang and Hongbo Yu. How to Break MD5 and Other Hash Functions. EUROCRYPT 2005.
外部連結 [编辑]
- Digital Data Acquisition Tool Specification (PDF)
- Computer Forensics World Forum
- IT Crime Investigation: An overview of techniques
- Original Computer Forensics Wiki
- Electronic Evidence Information Center
- Forensic Focus
- Digital Forensic Research Workshop (DFRWS)
- Challenges of Computer Forensics and Network Forensics
