Компьютерная криминалистика (также известная как компьютерная криминалистика наука ) - это отрасль цифровой криминалистики, имеющая отношение к доказательствам, обнаруженным в компьютерах и цифровых носителях информации. Целью компьютерной криминалистики является исследование цифровых носителей с точки зрения судебной экспертизы с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.
Хотя чаще всего это связано с расследованием самых разнообразных компьютерных преступлений, компьютерная криминалистика также может использоваться в гражданском судопроизводстве. Дисциплина включает в себя методы и принципы, аналогичные восстановлению данных, но с дополнительными инструкциями и практиками, разработанными для создания юридического контрольного журнала.
Доказательства компьютерных криминалистических расследований обычно подчиняются тем же рекомендациям и методам. других цифровых доказательств. Он использовался в ряде громких дел и получил широкое признание как надежный в судебных системах США и Европы.
В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например,, чтобы помочь совершить мошенничество ). В то же время было обнаружено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и компьютерной связанных с этим преступлений выросло, и подскочил на 67% в период между 2002 и 2003 годами Сегодня она используется для исследования широкого спектра преступлений, в том числе детской порнографии, мошенничество, шпионаж, киберпреследование, убийства и изнасилования. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное обнаружение )
Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта, такого как компьютерная система, носитель данных. (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение в формате JPEG). Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий.В книге 2002 года «Компьютерная криминалистика» авторы Круз и Хайзер определяют компьютерную криминалистику как включающую «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». Далее они описывают эту дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания в предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительные органы являются довольно жесткими и им не хватает гибкости, характерной для гражданского мира.
В суде компьютерные судебные доказательства подчиняются обычным требованиям для цифровых доказательств. Это требует, чтобы информация была достоверной, надежно полученной и допустимой. В разных странах есть определенные правила и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют инструкциям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти принципы являются добровольными, они широко применяются в британских судах.
Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х, некоторые известные примеры включают:
. Компьютерные судебно-медицинские расследования обычно проходят в соответствии со стандартным процессом или этапами цифровой судебной экспертизы, которые это приобретение, экспертиза, анализ и отчетность. Исследования проводятся на статических данных (т.е. полученных изображений ), а не на «живых» системах. Это отличие от ранней судебной практики, когда из-за отсутствия специальных инструментов следователи обычно работали с оперативными данными.
В ходе компьютерных криминалистических расследований используется ряд методов, и много написано о многих методах, используемых, в частности, правоохранительными органами.
Энергозависимые данные - это любые данные, которые хранятся в памяти или существуют в пути, которые будут потеряны при отключении питания или выключении компьютера. Энергозависимые данные находятся в реестрах, кэше и оперативной памяти (RAM). Исследование этих непостоянных данных называется «судебной экспертизой в реальном времени».
При изъятии улик, если машина все еще активна, любая информация, хранящаяся исключительно в RAM, которая не восстанавливается до отключения питания, может быть потеряна. Одним из применений «анализа в реальном времени» является восстановление данных RAM (например, с помощью инструмента Microsoft COFEE, WinDD, WindowsSCOPE ) до удаления экспоната. CaptureGUARD Gateway обходит вход в Windows для заблокированных компьютеров, позволяя анализировать и получать физическую память заблокированного компьютера.
RAM может быть проанализировано на предмет предшествующего содержимого после потери питания, потому что электрическому заряду, хранящемуся в ячейках памяти, требуется время, чтобы рассеяться, эффект, используемый атакой с холодной перезагрузкой. Период времени, в течение которого данные могут быть восстановлены, увеличивается из-за низких температур и более высоких напряжений ячеек. Хранение ОЗУ без питания при температуре ниже −60 ° C помогает на порядок сохранить остаточные данные, повышая шансы на успешное восстановление. Однако делать это во время полевой экспертизы может быть непрактично.
Однако некоторые инструменты, необходимые для извлечения изменчивых данных, требуют наличия компьютера в судебно-экспертной лаборатории, чтобы поддерживать законную цепочку доказательств., и для облегчения работы на машине. При необходимости правоохранительные органы применяют методы для перемещения работающего настольного компьютера. К ним относится, который быстро перемещает мышь небольшими движениями и предотвращает случайное переключение компьютера в спящий режим. Обычно источник бесперебойного питания (ИБП) обеспечивает питание во время транспортировки.
Однако один из самых простых способов сбора данных - это фактическое сохранение данных RAM на диск. Различные файловые системы, которые имеют функции ведения журнала, такие как NTFS и ReiserFS, сохраняют большую часть данных RAM на основном носителе во время работы, и эти файлы подкачки могут быть повторно собраны для восстановления того, что в то время находился в оперативной памяти.
Для компьютерных криминалистических исследований существует ряд коммерческих и открытых инструментов. Типичный судебно-медицинский анализ включает в себя ручную проверку материалов на носителе, проверку реестра Windows на предмет подозрительной информации, обнаружение и взлом паролей, поиск по ключевым словам для тем, связанных с преступлением, и извлечение сообщений электронной почты и изображений для проверки. Вскрытие ( программное обеспечение), COFEE, EnCase - вот некоторые из инструментов, используемых в цифровой криминалистике.
Доступно несколько сертификатов компьютерной криминалистики, таких как Сертифицированный компьютерный экзаменатор ISFCE, Сертифицированный эксперт по компьютерной криминалистике (DFIP) и IACRB Certified Computer Forensics Examiner.
Высшей независимой сертификацией поставщика (особенно в ЕС) считается [CCFP - Certified Cyber Forensics Professional [1] ].
Others, заслуживающий упоминания для США или APAC are: Международная ассоциация специалистов по компьютерным расследованиям) предлагает программу Certified Computer Examiner.
Международное общество судебных компьютерных экспертов предлагает программу Certified Computer Examiner.
Азиатская школа киберправов предлагает сертификаты международного уровня в области анализа цифровых доказательств и цифровой криминалистической экспертизы. Эти курсы доступны в режиме онлайн и в классе.
Многие компании, занимающиеся коммерческой криминалистической экспертизой, теперь также предлагают проприетарные сертификаты на свои продукты. Например, Guidance Software предлагает сертификацию (EnCE) для своего инструмента EnCase, сертификацию предложения AccessData (ACE) для своего инструмента FTK, PassMark Software, предлагающую сертификацию своего инструмента OSForensics, и сертификацию X-Ways Software Technology (X-PERT) для их программное обеспечение, X-Ways Forensics.