Цифровые доказательства – это любая информация в цифровой форме, которая может быть полезна при проведении расследования. В этом блоге представлен обзор различных типов цифровых доказательств.
Принцип обмена Локарда
Принцип обмена Локарда для расследования – это убеждение, что если кто-то входит на место преступления, берет что-то с места преступления, а также что-то оставляет после себя.
Применительно к цифровой криминалистике это просто означает, что цифровые доказательства могут дать много информации, если их правильно собрать.
Правило наилучших доказательств
Запомните, что суд всегда принимает оригинальные цифровые доказательства в виде документов и медиафайлов, таких как видео, аудио, изображения и т.д.
Как правило, суды не принимают копии цифровых доказательств, если это не оправдано в суде.
Целостность – важнейший аспект любого цифрового доказательства.
Для проверки целостности цифровых доказательств можно использовать криптографические хэши.
- 🐧 Как контролировать целостность файлов в Linux с помощью Osquery
- 📦 Как проверить целостность rpm-пакета на Linux
- 📎 Как проверить подлинность и целостность загруженного файла в Linux
Типы цифровых доказательств
(1) Нестабильные данные
Нестабильные данные – это данные, которые теряются после выключения ИТ-устройств.
Примеры таких данных:
- Информация о запущенных процессах
- открытые файлы на рабочем столе/ноутбуке
- содержимое буфера обмена
- Открытые браузеры
- Системное время
- Информация о частном динамическом IP-адресе
- Зарегистрированные пользователи
- Содержимое оперативной памяти
(2) Энергонезависимые данные
Энергонезависимые данные – это данные, которые хранятся на жестких дисках и обычно не теряются после выключения ИТ-устройств.
Примеры таких данных:
- Скрытые файлы
- Журналы событий
- Параметры реестра
- Файлы, хранящиеся на дисках памяти
Как создаются цифровые доказательства?
При изъятии цифровых доказательств следователи пытаются выявить из них потенциальную информацию, которая может помочь в раскрытии дела.
Если преступники используют ИТ-устройства, то, изымая их, следователи получают много информации.
Цифровые доказательства создаются в основном из двух источников.
(1) Пользователем
Пользователи сами создают множество файлов на настольных компьютерах/ноутбуках.
Некоторые из примеров файлов, созданных пользователем, приведены ниже:
- Документы в форматах Word, PowerPoint, Excel и т.д.
- Сохраненные видео, аудио, изображения и т.д.
- Сохраненные пароли в браузере
- Файлы, защищенные паролем
(2) Системой
При использовании любых ИТ-устройств создаются различные журналы, а также множество временных файлов.
Ниже приведены некоторые из примеров файлов, создаваемых системой
- Файлы журналов
- Файлы резервного копирования
- Системные файлы
- Файлы cookie в браузере
- Файлы конфигурации
Правила, которые необходимо соблюдать при сборе цифровых доказательств
В этом разделе приведены основные правила, которые необходимо соблюдать при сборе цифровых доказательств.
Поскольку цифровые доказательства должны быть представлены в суде, необходимо обратить внимание на следующие моменты:
- Собранные доказательства представляются таким образом, чтобы они были понятны судебным органам.
- Собранные доказательства должны быть достоверными и доказуемыми перед судебными органами.
- Целостность собранных доказательств должна быть проверяема перед судебными органами.
- Собранные доказательства должны быть полными во всех отношениях.
Подпишитесь на нас, чтобы получать обновления подобных статей в Телеграмме
Если у вас есть вопросы, не стесняйтесь задавать их в разделе комментариев ниже.
Ничто не доставляет нам большей радости, чем помощь моим читателям!
см. также:
- 🤖 Andriller – форензика телефона Android на Kali Linux
- 🕵️ Форензика оперативной памяти
- ext3grep – восстанавливает удаленные файлы в Debian и Ubuntu | Форензика в Linux
- 🐧 Основные примеры использования команды Grep в системах Linux
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.