Цифровая криминалистика

редактировать
Отрасль судебной экспертизы

Аэрофотоснимок FLETC, где американские стандарты цифровой криминалистики были разработаны в 1980-е и 90-е годы

Цифровая судебная экспертиза (иногда известная как цифровая криминалистика ) - это отрасль судебной медицины, охватывающая восстановление и исследование материалов, обнаруженных в цифровых устройствах, часто в отношении компьютерных преступлений. Термин «цифровая криминалистика» первоначально использовался как синоним для компьютерной криминалистики, но теперь он расширился и теперь охватывает все устройства, способные хранить цифровые данные. Укоренившись в революции персональных компьютеров в конце 1970-х - начале 1980-х, эта дисциплина развивалась бессистемно в течение 1990-х, и только в начале 21 века появилась национальная политика.

Цифровые судебные расследования имеют множество применений. Наиболее распространенным является подтверждение или опровержение гипотезы в уголовных или гражданских судах. Уголовные дела связаны с предполагаемым нарушением установленных законодательством законов, которые преследуются полицией и преследуются государством, например, убийства, кражи и нападения на человека. С другой стороны, гражданские дела касаются защиты прав и собственности физических лиц (часто связанных с семейными спорами), но также могут быть связаны с договорными спорами между коммерческими организациями, когда форма цифровой криминалистики называется электронным обнаружением (ediscovery) может быть задействовано.

Судебная экспертиза может также применяться в частном секторе; например, во время внутренних корпоративных расследований или расследования вторжений (специальное расследование характера и масштабов несанкционированного сетевого вторжения ).

Технический аспект расследования делится на несколько подразделов, связанных с типом задействованных цифровых устройств; компьютерная криминалистика, сетевая криминалистика, криминалистический анализ данных и судебная экспертиза мобильных устройств. Типичный процесс судебно-медицинской экспертизы включает в себя изъятие, визуализацию (получение) и анализ цифровых носителей, а также составление отчета о собранных доказательствах.

Помимо выявления прямых доказательств преступления, цифровая криминалистика может использоваться для приписывания улик конкретным подозреваемым, подтверждения алиби или утверждений, определения намерения, определения источников (например, в случаях авторского права) или удостоверять подлинность документов. Расследования намного шире по охвату, чем другие области судебно-медицинской экспертизы (где обычно цель состоит в том, чтобы дать ответы на ряд более простых вопросов), часто с участием сложных временных рамок или гипотез.

Содержание

  • 1 История
    • 1.1 1980–1990-е годы: рост отрасли
    • 1.2 2000-е годы: разработка стандартов
    • 1.3 Разработка инструментов судебной экспертизы
  • 2 Криминалистический процесс
  • 3 Применение
    • 3.1 Ограничения
  • 4 Юридические соображения
    • 4.1 Цифровые доказательства
    • 4.2 Следственные инструменты
  • 5 Филиалов
    • 5.1 Компьютерная экспертиза
    • 5.2 Криминалистическая экспертиза мобильных устройств
    • 5.3 Сетевая криминалистика
    • 5.4 Криминалистический анализ данных
    • 5.5 Криминалистическая экспертиза баз данных
  • 6 Искусственные Разведка и ее роль в цифровой криминалистике
  • 7 См. Также
  • 8 Ссылки
  • 9 Дополнительная литература
    • 9.1 Родственные журналы
  • 10 Внешние ссылки

История

До 1970-х годов преступления, связанные с компьютерами, рассматриваются в соответствии с действующим законодательством. Первые компьютерные преступления были признаны в Законе о компьютерных преступлениях Флориды 1978 года, который включал законодательство против несанкционированного изменения или удаления данных в компьютерной системе. В течение следующих нескольких лет количество совершаемых компьютерных преступлений увеличилось, и были приняты законы, регулирующие вопросы авторского права, конфиденциальности / домогательств (например, киберзапугивание, счастливый пощечины, кибер назойливое и Онлайновые хищники ) и детская порнография. Только в 1980-х годах федеральные законы начали включать компьютерные преступления. Канада была первой страной, принявшей закон в 1983 году. За ним последовал Федеральный Закон США о компьютерном мошенничестве и злоупотреблениях в 1986 году, поправки Австралии к своим преступлениям в 1989 году и Британский Закон о неправомерном использовании компьютеров в 1990 году.

1980-е – 1990-е годы: рост отрасли

Рост компьютерной преступности в 1980-е и 1990-е годы заставил правоохранительные органы начать создавать специализированные группы, обычно на национальном уровне., чтобы справиться с техническими аспектами расследования. Например, в 1984 году ФБР запустило группу компьютерного анализа и реагирования, а в следующем году в составе британской группы по борьбе с мошенничеством столичной полиции был создан отдел компьютерных преступлений. Помимо того, что многие из первых членов этих групп были профессионалами в правоохранительных органах, они также увлекались компьютерами и стали отвечать за первоначальные исследования и направление в этой области.

Один из первых практических (или, по крайней мере, опубликованных) примеров цифровая криминалистика была преследованием Клиффа Столла хакера Маркуса Хесса в 1986 году. Столл, в расследовании которого использовались компьютерные и сетевые методы судебной экспертизы, не был специализированным экспертом. Многие из самых ранних судебно-медицинских экспертиз следовали тому же профилю.

На протяжении 1990-х годов был высокий спрос на эти новые, базовые, следственные ресурсы. Нагрузка на центральные блоки приводит к созданию групп регионального и даже местного уровня, которые помогают справиться с нагрузкой. Например, в 2001 году было создано британское Национальное подразделение по борьбе с преступлениями в области высоких технологий для обеспечения национальной инфраструктуры для компьютерных преступлений; с персоналом, размещенным как в центре Лондона, так и с различными региональными полицейскими силами (в 2006 году это подразделение было преобразовано в Агентство по борьбе с серьезной организованной преступностью (SOCA) ).

В этот период наука цифровой криминалистики выросла из специальных инструментов и методов, разработанных этими любителями-практиками. Это контрастирует с другими дисциплинами судебной экспертизы, которые были разработаны научным сообществом. Только в 1992 г. термин «компьютерная криминалистика» использовался в академической литературе (хотя до этого он использовался неофициально); статья Коллиера и Спола попыталась оправдать эту новую дисциплину перед миром криминалистики. Это быстрое развитие привело к отсутствию стандартизации и обучения. В своей книге 1995 года «Преступления с использованием высоких технологий: расследование дел с участием компьютеров» К. Розенблатт писал:

Изъятие, сохранение и анализ доказательств, хранящихся на компьютере, - величайшая судебно-медицинская проблема, с которой столкнулись правоохранительные органы в 1990-е годы. Хотя большинство судебно-медицинских тестов, таких как снятие отпечатков пальцев и тестирование ДНК, выполняются специально обученными экспертами, задача сбора и анализа компьютерных доказательств часто поручается патрульным офицерам и детективам.

2000-е годы: разработка стандартов

С 2000 года В ответ на потребность в стандартизации различные органы и агентства опубликовали рекомендации по цифровой криминалистике. Научная рабочая группа по цифровым доказательствам (SWGDE) подготовила в 2002 году документ «Лучшие практики компьютерной криминалистики», за которым последовала публикация в 2005 году стандарта ISO ( ISO 17025, Общие требования к компетентности испытательных и калибровочных лабораторий). Ведущее европейское международное соглашение, Конвенция о киберпреступности, вступило в силу в 2004 году с целью согласования национальных законов о компьютерных преступлениях, методов расследования и международного сотрудничества. Договор был подписан 43 странами (включая США, Канаду, Японию, Южную Африку, Великобританию и другие европейские страны) и ратифицирован 16 странами.

Вопрос обучения также привлек внимание. Коммерческие компании (часто разработчики программного обеспечения для судебной экспертизы) начали предлагать программы сертификации, и цифровой криминалистический анализ был включен в качестве темы в учебный центр для специалистов-следователей в Великобритании Centrex.

С конца 1990-х годов мобильные устройства стали более доступными, продвигаясь вперед. Помимо простых устройств связи, было обнаружено, что они представляют собой богатые формы информации даже для преступлений, традиционно не связанных с цифровой криминалистикой. Несмотря на это, цифровой анализ телефонов отстал от традиционных компьютерных носителей, в основном из-за проблем, связанных с проприетарным характером устройств.

Акцент также сместился на преступность в Интернете, особенно на риск кибервойны и кибертерроризм. В отчете Объединенного командования вооруженных сил США за февраль 2010 г. делается вывод:

Через киберпространство враги будут атаковать промышленность, научные круги, правительство, а также вооруженные силы в воздухе, на суше, на море и в космосе.. Во многом так же, как авиация изменила поле битвы Второй мировой войны, киберпространство разрушило физические барьеры, защищающие страну от атак на ее торговлю и коммуникации.

В области цифровой криминалистики все еще существуют нерешенные проблемы. В докладе Петерсона и Шеноя «Цифровые криминалистические исследования: хорошее, плохое и безрезультатное» 2009 года было выявлено предвзятое отношение к операционным системам Windows в исследованиях цифровой криминалистики. В 2010 году Симсон Гарфинкель выявил проблемы, с которыми предстоит столкнуться цифровым расследованиям в будущем, в том числе увеличение размера цифровых носителей, широкая доступность шифрования для потребителей, растущее разнообразие операционных систем и форматов файлов, увеличение числа людей. владение несколькими устройствами и юридические ограничения для следователей. В документе также указаны проблемы постоянного обучения, а также непомерно высокая стоимость выхода на поле.

Разработка инструментов судебной экспертизы

В 1980-х годах существовало очень мало специализированных цифровых инструментов судебной экспертизы, и, следовательно, следователи часто выполняет анализ в реальном времени на носителях, исследуя компьютеры изнутри операционной системы, используя существующие инструменты sysadmin для извлечения улик. Такая практика сопряжена с риском случайного или иного изменения данных на диске, что приводит к заявлениям о подделке улик. В начале 1990-х годов был создан ряд инструментов для решения этой проблемы.

Потребность в таком программном обеспечении была впервые признана в 1989 г. в Федеральном учебном центре правоохранительных органов, в результате чего были созданы IMDUMP (Майкл Уайт), а в 1990 г. - SafeBack (разработанный Sydex). Аналогичное программное обеспечение было разработано в других странах; DIBS (аппаратное и программное решение) был коммерчески выпущен в Великобритании в 1991 году, а Роб МакКеммиш бесплатно выпустил фиксированный образ диска для австралийских правоохранительных органов. Эти инструменты позволили экспертам создать точную копию цифрового носителя для работы, оставив оригинальный диск нетронутым для проверки. К концу 1990-х, по мере роста спроса на цифровые доказательства, были разработаны более совершенные коммерческие инструменты, такие как EnCase и FTK, которые позволили аналитикам исследовать копии носителей без использования какой-либо оперативной криминалистики. В последнее время усилилась тенденция к «криминалистике оперативной памяти», что привело к появлению таких инструментов, как WindowsSCOPE.

. Совсем недавно такой же прогресс в разработке инструментов произошел для мобильных устройств ; Первоначально следователи получали доступ к данным непосредственно на устройстве, но вскоре появились специальные инструменты, такие как XRY или Radio Tactics Aceso.

Криминалистический процесс

Портативный блокировщик записи Tableau, подключенный к жесткий диск

Цифровая судебная экспертиза обычно состоит из 3 этапов: сбор или визуализация вещественных доказательств, анализ и составление отчетов. В идеале получение включает в себя создание образа энергозависимой памяти (RAM) компьютера и создание точной копии уровня сектора (или «судебной копии») носителя, часто с использованием устройства блокировки записи. чтобы предотвратить изменение оригинала. Однако рост размера носителей информации и такие разработки, как облачные вычисления, привели к более широкому использованию «живых» захватов, посредством которых получается «логическая» копия данных, а не полный образ физического устройства хранения. И полученное изображение (или логическая копия), и исходный носитель / данные хэшируются (с использованием такого алгоритма, как SHA-1 или MD5 ), а значения сравниваются с проверить точность копии.

Альтернативный (запатентованный) подход (получивший название «гибридная судебная экспертиза» или «распределенная судебная экспертиза») сочетает в себе процессы цифровой криминалистики и электронного обнаружения. Этот подход был воплощен в коммерческом инструменте под названием ISEEK, который был представлен вместе с результатами тестирования на конференции в 2017 году.

На этапе анализа исследователь извлекает вещественные доказательства, используя ряд различных методологий и инструментов. В 2002 году в статье в Международном журнале цифровых доказательств этот шаг был назван «углубленным систематическим поиском улик, связанных с предполагаемым преступлением». В 2006 году судебно-медицинский исследователь описал «интуитивно понятную процедуру», при которой сначала выявляются очевидные доказательства, а затем «проводятся исчерпывающие поиски, чтобы начать заполнение дыр».

Фактический процесс анализа может варьироваться в зависимости от расследования, но Общие методологии включают поиск по ключевым словам на цифровых носителях (в файлах, а также в нераспределенном и свободном пространстве ), восстановление удаленных файлов и извлечение информации реестра (например, для вывода списка учетных записей пользователей или подключенных USB-устройств).

Извлеченные доказательства анализируются для реконструкции событий или действий и для достижения выводов - работы, которую часто может выполнить менее специализированный персонал. После завершения расследования данные представляются, обычно в форме письменного отчета, в терминах непрофессионалов.

Приложение

Пример изображения Exif метаданные, которые могут быть использованы для доказательства их происхождения

Цифровая криминалистика широко используется как в уголовном праве, так и в частных расследованиях. Традиционно это было связано с уголовным правом, когда доказательства собираются для поддержки или опровержения гипотезы в суде. Как и в других областях судебной экспертизы, это часто является частью более широкого расследования, охватывающего ряд дисциплин. В некоторых случаях собранные доказательства используются как форма сбора оперативной информации, используемой для других целей, кроме судебного разбирательства (например, для обнаружения, выявления или пресечения других преступлений). В результате сбор разведданных иногда проводится в соответствии с менее строгими стандартами судебной экспертизы.

В гражданских судебных процессах или корпоративных вопросах цифровая судебная экспертиза является частью процесса электронного обнаружения (или eDiscovery). Судебные процедуры аналогичны процедурам, используемым в уголовных расследованиях, часто с другими юридическими требованиями и ограничениями. За пределами суда цифровая криминалистика может быть частью внутренних корпоративных расследований.

Типичным примером может быть несанкционированное вторжение в сеть. Специализированная судебно-медицинская экспертиза характера и масштабов нападения проводится как упражнение по ограничению ущерба, как для определения степени любого вторжения, так и для попытки идентифицировать злоумышленника. Такие атаки обычно проводились по телефонным линиям в 1980-х годах, но в современную эпоху они обычно распространяются через Интернет.

Основное внимание в расследованиях цифровой криминалистики уделяется обнаружению объективных доказательств преступной деятельности (так называемых actus reus на юридическом языке). Однако разнообразный диапазон данных, хранящихся в цифровых устройствах, может помочь в других областях исследования.

Атрибуция
Мета-данные и другие журналы могут использоваться для приписывания действий конкретному человеку. Например, личные документы на диске компьютера могут идентифицировать его владельца.
Алиби и заявления
Информация, предоставленная участниками, может быть перепроверена с цифровыми доказательствами. Например, в ходе расследования убийств Сохэма алиби преступника было опровергнуто, когда записи мобильного телефона человека, с которым он утверждал, что находился с ним, показали, что в это время ее не было в городе.
Намерение
Помимо поиска объективных доказательств совершения преступления, расследования также могут использоваться для доказательства умысла (известного под юридическим термином mens rea ). Например, Интернет-история осужденного убийцы Нила Энтвистла содержала ссылки на сайт, посвященный теме «Как убивать людей».
Оценка источника
Файловые артефакты и метаданные могут использоваться для определения происхождения определенного фрагмента данных; например, более старые версии Microsoft Word встраивали глобальный уникальный идентификатор в файлы, идентифицирующие компьютер, на котором он был создан. Очень важно подтвердить, был ли файл создан на исследуемом цифровом устройстве или получен из другого источника (например, из Интернета).
Аутентификация документа
Относится к «Оценка источника», мета данные, связанные с цифровыми документами, можно легко изменить (например, изменив часы компьютера, вы можете повлиять на дату создания файла). Аутентификация документов связана с обнаружением и выявлением фальсификации таких сведений.

Ограничения

Одним из основных ограничений судебно-медицинской экспертизы является использование шифрования; это нарушает первоначальную экспертизу, где можно найти соответствующие доказательства с помощью ключевых слов. Законы, обязывающие людей раскрывать ключи шифрования, все еще относительно новы и вызывают споры.

Правовые соображения

Проверка цифровых носителей регулируется национальным и международным законодательством. В частности, в отношении гражданских расследований законы могут ограничивать возможности аналитиков проводить экспертизы. Часто существуют ограничения на мониторинг сети или чтение личных сообщений. Во время уголовного расследования национальное законодательство ограничивает объем информации, которая может быть изъята. Например, в Соединенном Королевстве изъятие доказательств правоохранительными органами регулируется законом ПАСЕ. В начале своего существования Международная организация компьютерных доказательств (IOCE) была одним из агентств, которые работали над установлением совместимых международных стандартов для изъятия улик.

В Великобритании те же законы, касающиеся компьютерных преступлений. может также повлиять на судебных следователей. Закон 1990 года о неправомерном использовании компьютеров запрещает несанкционированный доступ к компьютерным материалам; это особенно важно для гражданских следователей, у которых больше ограничений, чем у правоохранительных органов.

Право человека на неприкосновенность частной жизни - это одна из областей цифровой криминалистики, по которой суды по-прежнему не принимают решения. Закон США о конфиденциальности электронных коммуникаций налагает ограничения на способность правоохранительных органов или гражданских следователей перехватывать доказательства и получать доступ к ним. В законе проводится различие между хранимой информацией (например, архивы электронной почты) и передаваемой информацией (например, VOIP ). Последнее, поскольку считается вторжением в частную жизнь, труднее получить ордер. ECPA также влияет на способность компаний исследовать компьютеры и связь своих сотрудников, и этот аспект все еще обсуждается относительно того, в какой степени компания может проводить такой мониторинг.

Статья 5 Европейской конвенции о правах человека утверждает ограничения конфиденциальности, аналогичные ECPA, и ограничивает обработку и обмен личными данными как внутри ЕС, так и с другими странами. Возможность правоохранительных органов Великобритании проводить расследования в области цифровой криминалистики законодательно закреплена Законом о регулировании полномочий следственных органов.

Цифровые доказательства

Цифровые доказательства могут иметь несколько форм

При использовании в суд цифровых доказательств подпадает под те же правовые нормы, что и другие формы доказательств; суды обычно не требуют более строгих правил. В Соединенных Штатах Федеральные правила доказывания используются для оценки допустимости цифровых доказательств, PACE Соединенного Королевства и Законы о гражданских доказательствах содержат аналогичные руководящие принципы и многие в других странах есть свои законы. Федеральные законы США ограничивают изъятие предметов, имеющих только очевидную доказательную ценность. Признается, что это не всегда возможно установить с помощью цифровых носителей до исследования.

Законы, касающиеся цифровых доказательств, касаются двух вопросов: целостности и подлинности. Целостность - это гарантия того, что акт изъятия и приобретения цифровых носителей не изменяет доказательства (ни оригинал, ни копию). Под подлинностью понимается возможность подтвердить целостность информации; например, что изображение на носителе соответствует исходному свидетельству. Легкость, с которой цифровые носители могут быть изменены, означает, что документирование цепочки хранения с места преступления, путем анализа и, в конечном итоге, до суда (форма контрольного журнала ) важно для установления подлинности доказательств.

Адвокаты утверждали, что, поскольку цифровые доказательства теоретически могут быть изменены, это подрывает их надежность. Судьи США начинают отвергать эту теорию. В деле US v. Bonallo суд постановил, что «факт возможности изменения данных, содержащихся в компьютере, явно недостаточен для установления недостоверности». В Соединенном Королевстве соблюдаются руководящие принципы, например, изданные ACPO, чтобы помочь задокументировать подлинность и целостность доказательств.

Цифровые следователи, особенно в уголовных расследованиях, должны гарантировать, что выводы основаны на фактических данных и их собственных экспертных знаниях. В США, например, Федеральные правила доказывания гласят, что квалифицированный эксперт может давать показания «в форме мнения или иным образом», если:

(1) свидетельские показания основаны на достаточных фактах или данных, (2) свидетельские показания являются продуктом надежных принципов и методов, и (3) свидетель надежно применил принципы и методы к фактам дела.

Каждое подразделение цифровой криминалистики может иметь свои собственные конкретные руководящие принципы для проведение расследований и обработка доказательств. Например, мобильные телефоны могут быть помещены в щит Фарадея во время захвата или захвата, чтобы предотвратить дальнейший радиопередачу на устройство. В Великобритании судебно-медицинская экспертиза компьютеров по уголовным делам регулируется директивами ACPO. Существуют также международные подходы к предоставлению рекомендаций по работе с электронными доказательствами. «Руководство по электронным доказательствам» Совета Европы предлагает основу для правоохранительных и судебных органов в странах, которые стремятся установить или усовершенствовать свои собственные руководящие принципы для идентификации и обработки электронных доказательств.

Инструменты расследования

Допустимость цифровых доказательств зависит от инструментов, используемых для их извлечения. В США инструменты судебной экспертизы подчиняются стандарту Daubert, согласно которому судья несет ответственность за обеспечение приемлемости используемых процессов и программного обеспечения. В статье 2003 года Брайан Кэрриер утверждал, что руководящие принципы Даубера требуют публикации и рецензирования кода инструментов судебной экспертизы. Он пришел к выводу, что «инструменты с открытым исходным кодом могут более четко и полно соответствовать требованиям руководства, чем инструменты с закрытым исходным кодом». В 2011 году Джош Бранти заявил, что научная проверка технологии и программного обеспечения, связанных с проведением цифровой судебной экспертизы, имеет решающее значение для любого лабораторного процесса. Он утверждал, что «наука цифровой криминалистики основана на принципах повторяемости процессов и качественных доказательств, поэтому знание того, как разработать и должным образом поддерживать хороший процесс проверки, является ключевым требованием для любого эксперта цифровой криминалистики для защиты своих методов в суде». "

Филиалы

Электронная криминалистика не ограничивается извлечением данных только с компьютера, поскольку преступники нарушают законы, а небольшие цифровые устройства (например, планшеты, смартфоны, флэш-накопители) теперь Некоторые из этих устройств имеют энергозависимую память, а некоторые - энергонезависимую память. Доступны достаточные методологии для извлечения данных из энергозависимой памяти, однако отсутствует подробная методология или структура для извлечения данных из источников энергонезависимой памяти. В зависимости от типа устройств, носителей или артефактов, цифровая криминалистическая экспертиза подразделяется на разные типы.

Компьютерная криминалистика

Частный следователь и сертифицированный цифровой судебно-экспертный эксперт, визуализирующий жесткий диск в полевых условиях для судебной экспертизы.

Цель компьютерной криминалистики - объяснить текущее состояние цифрового артефакта, например компьютерной системы, носителя данных или электронного документа. Дисциплина обычно охватывает компьютеры, прим. редактируемые системы (цифровые устройства с элементарной вычислительной мощностью и встроенной памятью) и статическая память (например, флэш-накопители USB).

Компьютерная криминалистика может работать с широким спектром информации; от журналов (например, истории Интернета) до реальных файлов на диске. В 2007 году прокуратура использовала электронную таблицу, извлеченную из компьютера Джозефа Э. Дункана III, чтобы продемонстрировать и обеспечить смертную казнь. Шэрон Лопатка убийца был идентифицирован в 2006 году после того, как на ее компьютере были обнаружены электронные письма от него с подробным описанием пыток и фантазий о смерти.

Криминалистическая экспертиза мобильных устройств

Мобильные телефоны в британской сумке для вещественных доказательств

Судебная экспертиза мобильных устройств - это подраздел цифровой криминалистики, относящийся к восстановлению цифровых доказательств или данных с мобильного устройства. Он отличается от компьютерной криминалистики тем, что мобильное устройство будет иметь встроенную систему связи (например, GSM ) и, как правило, проприетарные механизмы хранения. Обычно расследования сосредотачиваются на простых данных, таких как данные о звонках и сообщениях (SMS / электронная почта), а не на глубоком восстановлении удаленных данных. SMS данные расследования с мобильного устройства помогли реабилитировать Патрика Лумумбу.

Мобильные устройства также полезны для предоставления информации о местоположении; либо из встроенного GPS / отслеживания местоположения, либо через журналы сотовой сети, которые отслеживают устройства в пределах их диапазона. Такая информация была использована для отслеживания похитителей Томаса Онофри в 2006 году.

Сетевая криминалистика

Сетевая криминалистика занимается мониторингом и анализом компьютерной сети трафика, как локальный и WAN / Интернет для целей сбора информации, сбора доказательств или обнаружения вторжений. Трафик обычно перехватывается на уровне пакета и либо сохраняется для последующего анализа, либо фильтруется в реальном времени. В отличие от других областей цифровой криминалистики, сетевые данные часто изменчивы и редко регистрируются, что делает дисциплину часто реакционной.

В 2000 году ФБР заманило компьютерных хакеров Алексея Иванова и Горшкова в США для поддельного собеседования. Контролируя сетевой трафик с компьютеров пары, ФБР идентифицировало пароли, позволяющие им собирать доказательства непосредственно с компьютеров в России.

Анализ данных криминалистики

Анализ данных судебной экспертизы - это отрасль цифровой криминалистики. Он изучает структурированные данные с целью выявления и анализа схем мошенничества в результате финансовых преступлений.

Криминалистическая экспертиза баз данных

Криминалистическая экспертиза баз данных - это ветвь цифровой криминалистической экспертизы, относящаяся к судебной экспертизе баз данных и их метаданных. В расследованиях используется содержимое базы данных, файлы журналов и данные в- RAM для построения временной шкалы или восстановления соответствующей информации.

Искусственный интеллект и его роль в цифровой криминалистике

Искусственный интеллект (ИИ) - это хорошо зарекомендовавшая себя область, которая облегчает решение сложных в вычислительном отношении и больших проблем. Поскольку процесс цифровой криминалистики требует анализа большого количества сложных данных; Таким образом, ИИ считается идеальным подходом для решения ряда проблем и проблем, существующих в настоящее время в цифровой криминалистике. Среди наиболее важных концепций в различных системах ИИ, связанных с онтологией, представлением и структурированием знаний. AI обладает потенциалом для предоставления необходимых знаний и помогает в стандартизации, управлении и обмене большим объемом данных, информации и знаний в области судебной экспертизы. Существующие системы цифровой криминалистики неэффективны для сохранения и хранения всех этих разнообразных форматов данных и недостаточны для обработки таких обширных и сложных данных, поэтому они требуют вмешательства человека, что означает вероятность задержки и ошибок. Но с инновациями в области машинного обучения это возникновение ошибки или задержки можно предотвратить. Система разработана таким образом, что помогает обнаруживать ошибки, но гораздо быстрее и с большей точностью. Несколько типов исследований подчеркнули роль различных методов ИИ и их преимущества в обеспечении основы для хранения и анализа цифровых доказательств. Среди этих методов AI включают машинное обучение (ML), NLP, распознавание речи и изображений, при этом каждый из этих методов имеет свои преимущества. Например, машинное обучение предоставляет системам возможность обучения и совершенствования без четкого программирования, например, обработка изображений и медицинская диагностика. Кроме того, методы НЛП помогают извлекать информацию из текстовых данных, например, в процессе фрагментации файлов.

См. Также

Ссылки

Дополнительная литература

Связанные журналы

Внешние ссылки

Искать цифровая судебная экспертиза in Wiktionary, the free dictionary.
Wikibooks has more on the topic of: Digital forensics
Последняя правка сделана 2021-05-17 05:58:08
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте