数字鉴识

法庭科学
生理学 法医学 病理学 人类学 口腔学 足病学 生物学 昆虫学 孢粉学 湖沼生物学 流行病学 毒理学 血溅形态分析 DNA表型 DNA分型
社会科学 精神病学 心理学
刑事侦查学 法务会计 尸体鉴定 法证化学 人脸重建 指纹识别 枪支鉴定 罪犯侧写 文件鉴辨 笔迹鉴定 静脉识别（英语：Vein_matching）
数字取证 计算机取证 信息取证 物证摄影
相关学科 鉴识工程 火灾调查 司法语言学
相关条目 罪案现场 CSI效应 花粉日历（英语：Pollen calendar） 刹车痕 痕迹鉴定（英语：Trace evidence）
分类
查 论 编

数字鉴识（有时又被称作数字鉴识科学、数字取证）乃是鉴识科学的其中一个分支，主要在针对数字装置中的内容进行调查与撤销，这常常是与电脑犯罪有所相关^[1][2]。数字鉴识一词原本是与电脑鉴识为同义词，但现在已经扩展到调查所有能够存储数字资料的装置^[1]。随着1970年代末期到1980年代初期的家用电脑革命从美国兴起，数字鉴识科学也逐渐在1990年代开始自然的发展，而直到二十一世纪初国家才逐渐形成对此学科的政策。

数字鉴识的调查结果有非常多元的应用，最常见的用途是当作电子侦查（英语：Electronic discovery）的部分程序，在刑事或民事法庭之上，支持或排除犯罪假设。鉴识也能在企业部门应用，例如公司内部调查或侵入调查(intrusion investigation)（专家们探究某次未授权的网络入侵行动的本质以及影响程度）。

调查的技术层面依照数字装置的类型可区分为以下几个分支：电脑鉴识、网络鉴识、鉴识资料分析以及移动设备鉴识。一般典型的鉴识程序包含数字装置的收押、鉴识成像(forensic imaging)获取、数码媒体分析、以及制作报告列为证物。

除了用来确认犯罪的直接证据以外，数字鉴识也能够用来确认特定嫌疑犯与案件的关系、确认不在场证明或其证词、理解其意图、追查来源（例如在著作权争议案件）、或是判定文件的真伪^[3]。数字鉴识调查的范围，比起其他的鉴识领域来说更为广泛（大部分其他鉴识科学是为解答相对较单纯的问题），常常会包含复杂的时间线或是多重的假设^[4]。

历史[编辑]

在1980年代之前，美国与电脑相关的犯罪行为皆没有特别设立处置法条，而都是以既有的法律条文进行规范。有史以来最早设立防治电脑犯罪的法条是1978年的佛罗里达电脑犯罪防治法(the 1978 Florida Computer Crimes Act)，此次立法禁止电脑系统中在没有授权的情况下对资料进行删修动作^[5][6]。下来的几年，电脑犯罪的范畴开始逐渐扩张，诸如著作权、隐私权/骚扰（例如网络欺凌、网络跟踪狂（英语：cyberstalking）、在线猎手）、以及儿童色情这类议题的相关法律也逐渐通过^[7][8]。直到1980年代联邦法才开始纳入电脑犯罪。加拿大在1983年成了全世界第一个通过电脑犯罪相关法条的国家^[6]。之后美国联邦也于1986年通过了电脑诈欺与滥用防治法（英语：Computer Fraud and Abuse Act），澳洲则于1989年修改了其刑法，而英国则是在1990年设立了电脑滥用防治法(Computer Abuse Act)^[6][8]。

1980–1990年代：相关领域的崛起[编辑]

1980到90年代之间的电脑犯罪成长迅速，导致执法单位（英语：law enforcement agency）开始成立专门小组，通常是以中央政府的层级来处理相关调查的技术议题。比方说，1984年美国联邦调查局(FBI)建立了电脑分析与犯罪应对小组(Computer Analysis and Response Team)，隔年英国大都会警察的反诈骗小组中也成立了电脑犯罪部。除了专业执法人员以外，许多此类团队的早期成员也有是电脑爱好者，但为数字鉴识领域初期研究与未来方向定调^[9][10]。

最早的数字鉴识案例（或至少是公开的个案中最早者）是1986年克里夫·史陀（英语：Cliffford Stoll）追踪骇客马可仕·何斯（英语：Markus Hess）案。克里夫虽然他并非鉴识科班出身，但其调查使用了电脑以及网络鉴识技术，成功的破获骇客^[11]。许多早期的数字鉴识的鉴定案例都是类似的情形^[12]。

2000年代：建立标准规范[编辑]

鉴识工具的开发[编辑]

鉴识流程[编辑]

应用[编辑]

限制[编辑]

法务上的考量[编辑]

数字证据[编辑]

调查工具[编辑]

学科分支[编辑]

电脑鉴识[编辑]

电脑鉴识是以周延的方法及程序保存、识别、抽取、记载及解读电脑媒体证据与分析其成因的科学。目的是专门负责搜集、检验及分析。借由保存电脑犯罪证据，并透过电脑采集有意义的证据资讯或从片断资料描绘事件的大略情形以进行现场重建。主要在针对数字装置中的内容进行调查与撤销，这常常是与电脑犯罪有所相关。除了用来确认犯罪的直接证据以外，数字鉴识也能够用来确认特定嫌疑犯与案件的关系、确认不在场证明或其证词、理解其意图、追查来源、或是判定文件的真伪。

移动设备鉴识[编辑]

网络鉴识[编辑]

鉴识资料分析[编辑]

数据库鉴识[编辑]

参见[编辑]

• Cyberspace
• 数字鉴识术语列表
• BackTrack
• 反电脑鉴证

相关期刊[编辑]

• Journal of Digital Forensics, Security and Law （页面存档备份，存于互联网档案馆）
• International Journal of Digital Crime and Forensics （页面存档备份，存于互联网档案馆）
• Journal of Digital Investigation （页面存档备份，存于互联网档案馆）
• International Journal of Digital Evidence
• International Journal of Forensic Computer Science （页面存档备份，存于互联网档案馆）
• Journal of Digital Forensic Practice （页面存档备份，存于互联网档案馆）
• Small Scale Digital Device Forensic Journal

参考文献[编辑]

延伸阅读[编辑]

查看维基词典中的词条“數位鑑識”。

维基教科书中的相关电子教程：数字鉴识

• Carrier, Brian D. Risks of live digital forensic analysis. Communications of the ACM. February 2006, 49 (2): 56–61 [31 August 2010]. ISSN 0001-0782. doi:10.1145/1113034.1113069 （英语）. 
• Kanellis, Panagiotis. Digital crime and forensic science in cyberspace. IGI Publishing. : 357 [2014-06-15]. ISBN 1-59140-873-3. （原始内容存档于2012-11-12） （英语）. 
• Jones, Andrew. Building a Digital Forensic Laboratory. Butterworth-Heinemann. 2008: 312 [2014-06-15]. ISBN 1-85617-510-3. （原始内容存档于2012-11-12） （英语）. 
• Marshell, Angus M. Digital forensics: digital evidence in criminal investigation. Wiley-Blackwell. 2008: 148 [2014-06-15]. ISBN 0-470-51775-1. （原始内容存档于2012-11-12） （英语）. 
• Sammons, John. The basics of digital forensics: the primer for getting started in digital forensics. Syngress. 2012. ISBN 1597496618 （英语）. 
• Timeline of computer forensics. [2014-06-15]. （原始内容存档于2020-10-06）. 
• Crowley, Paul. CD and DVD Forensics. Rockland, MA: Syngress. ISBN 1597491284 （英语）. 
• 22款受欢迎的计算机取证工具. [2017-06-15]. （原始内容存档于2019-06-18）.