Введение в компьютерную криминалистику
ВСТУПЛЕНИЕ
Компьютерная криминалистика - это научный метод исследования и анализа с целью сбора доказательств с цифровых устройств или компьютерных сетей и компонентов, который подходит для представления в суде или в юридическом органе.
Он включает в себя проведение структурированного расследования с сохранением документированной цепочки доказательств, чтобы точно выяснить, что произошло на компьютере и кто за это несет ответственность.
ТИПЫ
- Disk Forensics: он занимается извлечением необработанных данных из первичного или вторичного хранилища устройства путем поиска активных, измененных или удаленных файлов.
- Сетевая криминалистика: это подраздел компьютерной криминалистики, который включает в себя мониторинг и анализ компьютерного сетевого трафика.
- Криминалистическая экспертиза баз данных: занимается изучением и проверкой баз данных и связанных с ними метаданных.
- Криминалистика вредоносных программ: занимается выявлением подозрительного кода и изучением вирусов, червей и т. Д.
- Электронная криминалистика: занимается электронной почтой, ее восстановлением и анализом, включая удаленные электронные письма, календари и контакты.
- Экспертиза памяти: занимается сбором данных из системной памяти (системные регистры, кеш, ОЗУ) в необработанном виде с последующим их анализом для дальнейшего исследования.
- Криминалистика мобильных телефонов: в основном она занимается исследованием и анализом телефонов и смартфонов и помогает извлекать контакты, журналы вызовов, входящие и исходящие SMS и т. Д., А также другие данные, содержащиеся в нем.
ХАРАКТЕРИСТИКИ
- Идентификация: определение того, какие доказательства присутствуют, где они хранятся, как они хранятся (в каком формате). Электронными устройствами могут быть персональные компьютеры, мобильные телефоны, КПК и т. Д.
- Сохранение: данные изолированы, защищены и сохраняются. Он включает запрет на использование цифрового устройства неуполномоченным персоналом во избежание подделки цифровых доказательств, ошибочно или преднамеренно, и создание копий оригинальных доказательств.
- Анализ: сотрудники лаборатории судебной экспертизы реконструируют фрагмент данных и делают выводы на основе доказательств.
- Документация: создается запись всех видимых данных. Это помогает воссоздать и осмотреть место преступления. Все результаты расследований документируются.
- Презентация: Все задокументированные результаты передаются в суд для дальнейшего расследования.
ПРОЦЕДУРА:
Процедура начинается с идентификации использованных устройств и сбора предварительных доказательств на месте преступления. Затем выдается постановление суда об изъятии доказательств, что приводит к изъятию доказательств. Затем доказательства доставляются в лабораторию судебной экспертизы для дальнейшего расследования, а процедура транспортировки улик с места преступления в лабораторию называется цепочкой хранения. Затем доказательства копируются для анализа, а исходные доказательства хранятся в безопасности, потому что анализ всегда проводится на скопированных доказательствах, а не на исходных доказательствах.
Затем выполняется анализ скопированных доказательств подозрительной деятельности, и, соответственно, результаты документируются в нетехническом тоне. Задокументированные результаты затем передаются в суд для дальнейшего расследования.
Некоторые инструменты, используемые для расследования:
Инструменты для ноутбука или ПК -
- COFEE - набор инструментов для Windows, разработанный Microsoft.
- The Coroner's Toolkit - набор программ для анализа Unix.
- The Sleuth Kit - библиотека инструментов для Unix и Windows.
Инструменты для памяти:
- Летучесть
- WindowsSCOPE
Инструменты для мобильного устройства:
- Микросистема XRY / XACT
ПРИЛОЖЕНИЯ
- Кража интеллектуальной собственности
- Промышленный шпионаж
- Трудовые споры
- Расследование мошенничества
- Неправильное использование Интернета и электронной почты на рабочем месте
- Вопросы, связанные с подделками
- Расследование банкротства
- Проблемы, связанные с соблюдением нормативных требований
Преимущества компьютерной криминалистики:
- Для предъявления в суде доказательств, которые могут привести к наказанию виновного.
- Это помогает компаниям собирать важную информацию об их компьютерных системах или сетях, которые могут быть скомпрометированы.
- Эффективно выслеживает киберпреступников из любой точки мира.
- Помогает защитить деньги и драгоценное время организации.
- Позволяет извлекать, обрабатывать и интерпретировать фактические доказательства, чтобы доказать киберпреступность в суде.
Недостатки компьютерной криминалистики:
- Прежде чем цифровое доказательство будет принято в суд, необходимо доказать, что оно не было подделано.
- Изготовление и хранение электронных записей обходятся дорого.
- Практикующие юристы должны обладать обширными компьютерными знаниями.
- Необходимо предоставить достоверные и убедительные доказательства.
- Если инструмент, используемый для цифровой криминалистики, не соответствует указанным стандартам, то в суде доказательства могут быть отклонены судом.
- Отсутствие технических знаний у следователя может не дать желаемого результата.