数字鉴识

電腦法證

数字鉴识(有时又被称作数字鉴识科学数字取证)乃是鉴识科学的其中一个分支,主要在针对数字设备中的内容进行调查与撤销,这常常是与电脑犯罪有所相关[1][2]。数字鉴识一词原本是与电脑鉴识为同义词,但现在已经扩展到调查所有能够存储数字资料的设备[1]。随着1970年代末期到1980年代初期的家用电脑革命从美国兴起,数字鉴识科学也逐渐在1990年代开始自然的发展,而直到二十一世纪初国家才逐渐形成对此学科的政策。

联邦执法训练中心(FLETC)英语Federal Law Enforcement Training Center的空照图,于1980到1990年代间,美国的数字鉴识标准在这里逐渐成形。

数字鉴识的调查结果有非常多元的应用,最常见的用途是当作电子侦查英语Electronic discovery的部分程序,在刑事民事法庭之上,支持或排除犯罪假设。鉴识也能在企业部门应用,例如公司内部调查或侵入调查(intrusion investigation)(专家们探究某次未授权的网络入侵行动的本质以及影响程度)。

调查的技术层面依照数字设备的类型可区分为以下几个分支:电脑鉴识网络鉴识鉴识资料分析以及移动设备鉴识。一般典型的鉴识程序包含数字设备的收押、鉴识成像(forensic imaging)获取、数字媒体分析、以及制作报告列为证物。

除了用来确认犯罪的直接证据以外,数字鉴识也能够用来确认特定嫌疑犯与案件的关系、确认不在场证明或其证词、理解其意图、追查来源(例如在著作权争议案件)、或是判定文件的真伪[3]。数字鉴识调查的范围,比起其他的鉴识领域来说更为广泛(大部分其他鉴识科学是为解答相对较单纯的问题),常常会包含复杂的时间线或是多重的假设[4]

历史

在1980年代之前,美国与电脑相关的犯罪行为皆没有特别设立处置法条,而都是以既有的法律条文进行规范。有史以来最早设立防治电脑犯罪的法条是1978年的佛罗里达电脑犯罪防治法(the 1978 Florida Computer Crimes Act),此次立法禁止电脑系统中在没有授权的情况下对资料进行删修动作[5][6]。下来的几年,电脑犯罪的范畴开始逐渐扩张,诸如著作权、隐私权/骚扰(例如网络欺凌网络跟踪狂英语cyberstalking在线猎手)、以及儿童色情这类议题的相关法律也逐渐通过[7][8]。直到1980年代联邦法才开始纳入电脑犯罪。加拿大在1983年成了全世界第一个通过电脑犯罪相关法条的国家[6]。之后美国联邦也于1986年通过了电脑诈欺与滥用防治法英语Computer Fraud and Abuse Act,澳洲则于1989年修改了其刑法,而英国则是在1990年设立了电脑滥用防治法(Computer Abuse Act)[6][8]

1980–1990年代:相关领域的崛起

1980到90年代之间的电脑犯罪成长迅速,导致执法单位英语law enforcement agency开始成立专门小组,通常是以中央政府的层级来处理相关调查的技术议题。比方说,1984年美国联邦调查局(FBI)建立了电脑分析与犯罪应对小组(Computer Analysis and Response Team),隔年英国大都会警察的反诈骗小组中也成立了电脑犯罪部。除了专业执法人员以外,许多此类团队的早期成员也有是电脑爱好者,但为数字鉴识领域初期研究与未来方向定调[9][10]

最早的数字鉴识案例(或至少是公开的个案中最早者)是1986年克里夫·史陀英语Cliffford Stoll追踪黑客马可仕·何斯英语Markus Hess案。克里夫虽然他并非鉴识科班出身,但其调查使用了电脑以及网络鉴识技术,成功的破获黑客[11]。许多早期的数字鉴识的鉴定案例都是类似的情形[12]

2000年代:建立标准规范

鉴识工具的开发

鉴识流程

应用

限制

法务上的考量

数字证据

调查工具

学科分支

电脑鉴识

电脑鉴识是以周延的方法及程序保存、识别、抽取、记载及解读电脑媒体证据与分析其成因的科学。目的是专门负责搜集、检验及分析。借由保存电脑犯罪证据,并透过电脑采集有意义的证据信息或从片断资料描绘事件的大略情形以进行现场重建。主要在针对数字设备中的内容进行调查与撤销,这常常是与电脑犯罪有所相关。除了用来确认犯罪的直接证据以外,数字鉴识也能够用来确认特定嫌疑犯与案件的关系、确认不在场证明或其证词、理解其意图、追查来源、或是判定文件的真伪。

移动设备鉴识

网络鉴识

鉴识资料分析

数据库鉴识

参见

相关期刊

参考文献

  1. ^ 1.0 1.1 M Reith, C Carr, G Gunsch. An examination of digital forensic models. International Journal of Digital Evidence. 2002 [2 August 2010]. (原始内容存档于2012-10-15). 
  2. ^ Carrier, B. Defining digital forensic examination and analysis tools. Digital Research Workshop II. 2001 [2 August 2010]. (原始内容存档于2012-10-15). 
  3. ^ Various. Eoghan Casey , 编. Handbook of Digital Forensics and Investigation. Academic Press. 2009: 567 [27 August 2010]. ISBN 0-12-374267-6. (原始内容存档于2015-02-04). 
  4. ^ Carrier, Brian D. Basic Digital Forensic Investigation Concepts. 7 June 2006 [2014-06-15]. (原始内容存档于2010-02-26). 
  5. ^ Florida Computer Crimes Act. [31 August 2010]. (原始内容存档于2010-06-12). 
  6. ^ 6.0 6.1 6.2 Casey, Eoghan. Digital Evidence and Computer Crime, Second Edition. Elsevier. 2004 [2014-06-15]. ISBN 0-12-163104-4. (原始内容存档于2012-11-12). 
  7. ^ Aaron Phillip; David Cowen; Chris Davis. Hacking Exposed: Computer Forensics. McGraw Hill Professional. 2009: 544 [27 August 2010]. ISBN 0-07-162677-8. (原始内容存档于2014-02-13). 
  8. ^ 8.0 8.1 M, M. E. A Brief History of Computer Crime: A (PDF). Norwich University. [30 August 2010]. (原始内容存档 (PDF)于2010-08-21). 
  9. ^ Mohay, George M. Computer and intrusion forensics. Artechhouse. 2003: 395. ISBN 1-58053-369-8. 
  10. ^ Peter Sommer. The future for the policing of cybercrime. Computer Fraud & Security. January 2004, 2004 (1): 8–12. ISSN 1361-3723. doi:10.1016/S1361-3723(04)00017-X. 
  11. ^ Simson L. Garfinkel. Digital forensics research: The next 10 years. Digital Investigation. August 2010, 7: S64-S73. ISSN 1742-2876. doi:10.1016/j.diin.2010.05.009. 
  12. ^ Linda Volonino, Reynaldo Anzaldua. Computer forensics for dummies. For Dummies. 2008: 384. ISBN 0-470-37191-9. 

延伸阅读