Цифровой криминалистический процесс
Цифровой криминалистический процесс является признанным научным и криминалистическим процессом, используемым в расследовании цифровой криминалистики . [1] [2] Судебно -медицинский эксперт Эоган Кейси определяет это как ряд шагов от первоначального предупреждения об инциденте до сообщения о результатах. [3] Этот процесс преимущественно используется в компьютерных и мобильных криминалистических расследованиях и состоит из трех этапов: сбор данных , анализ и отчетность .
Цифровые носители, изъятые для расследования, в юридической терминологии обычно называют «экспонатом». Следователи используют научный метод для восстановления цифровых доказательств в поддержку или опровержение гипотезы либо для суда, либо в рамках гражданского судопроизводства . [2]
Этапы процесса цифровой криминалистики требуют различной специальной подготовки и знаний. Есть два приблизительных уровня персонала: [3]
Было предпринято много попыток разработать модель процесса, но до сих пор ни одна из них не получила всеобщего признания. Частично это может быть связано с тем, что многие модели процессов были разработаны для конкретной среды, такой как правоохранительные органы, и поэтому их нельзя было легко применить в других средах, таких как реагирование на инциденты. [4] Это список основных моделей с 2001 года в хронологическом порядке: [4]
Перед фактической экспертизой цифровые носители будут изъяты. В уголовных делах это часто будет выполняться сотрудниками правоохранительных органов , прошедшими подготовку в качестве технических специалистов для обеспечения сохранности доказательств. В гражданских делах это обычно будет сотрудник компании, часто необученный. Различные законы охватывают конфискацию материалов. В уголовных делах применяется закон, касающийся ордеров на обыск . В гражданском процессе предполагается, что компания может исследовать свое собственное оборудование без ордера, при условии, что неприкосновенность частной жизни и права человека сотрудников защищены.
После изъятия экспонатов создается точная копия носителя на уровне сектора (или «криминалистическая копия»), обычно с помощью устройства блокировки записи . Процесс дублирования называется Imaging или Acquisition . [5] Дубликат создается с помощью дубликатора жесткого диска или программных средств обработки изображений, таких как DCFLdd , IXimager , Guymager , TrueBack, EnCase , FTK Imager или FDAS. Затем исходный диск возвращается в безопасное хранилище для предотвращения несанкционированного доступа.
