Криминалистический поиск - это новая область компьютерной криминалистики. Криминалистический поиск фокусируется на данных, созданных пользователями, таких как файлы электронной почты, записи сотовых телефонов, офисные документы, PDF-файлы и другие файлы, которые легко интерпретируются человеком.
Криминалистический поиск отличается от компьютерного криминалистического анализа тем, что он не пытается проверять или анализировать системные файлы нижнего уровня, такие как реестр, файлы ссылок или проблемы на уровне диска, более часто связанные с традиционными компьютерная криминалистическая экспертиза.
Криминалистический поиск возник из-за ряда факторов, включая:
Задача программного обеспечения судебно-медицинской экспертизы - позволить человеку, имеющему только общие знания о компьютерах, но обладающему навыками проверки документов или методов расследования, для выполнения и поиска пользователь создал Электронно хранимую информацию (ESI). Данные, которые обычно считаются созданными пользователем, ESI состоят из электронных писем, документов, изображений и других типов файлов, созданных пользователем, в отличие от данных, созданных операционной системой компьютера (то есть файлов реестра, файлов ссылок, нераспределенного пространства. контролируются или создаются компьютером, а не пользователем). Целью просмотра данных, созданных пользователями, является поиск информации, которая может быть использована для принятия решений в рамках расследования.
Программное обеспечение для судебного поиска отличается от использования собственных приложений (например, Outlook) или программного обеспечения для поиска на рабочем столе (например, Google Desktop ) для поиска данных, чтобы в процессе обработки или поиска не было внесено никаких изменений, которые могут повлиять на результаты или исказить выводы. Программное обеспечение интеллектуального поиска также позволит получить доступ к базовым метаданным элементов, недоступных через собственное приложение. Хорошим примером этого могут быть метаданные в документах MS Word. Ряд программных продуктов Forensic Search сможет выполнять восстановление данных для различных типов файлов электронной почты.
Некоторые примеры того, как использование собственного приложения или приложения без криминалистической экспертизы может повлиять на данные:
Программное обеспечение для криминалистического поиска сравнивают с eDiscovery просмотрите программное обеспечение, однако это не совсем так. Программное обеспечение для просмотра электронных данных, работая со многими аналогичными типами компьютерных записей и опциями поиска, предлагает дополнительные функции по сравнению с программным обеспечением судебного поиска. Такие функции, как редактирование и юридическое удержание, являются стандартными в программном обеспечении для просмотра электронных данных. Также бывает, что программное обеспечение интеллектуального поиска не соответствует задачам более высокого уровня, изложенным в широко распространенной эталонной модели электронного обнаружения (EDRM). Такие задачи, как идентификация, сбор, сохранение или представление, как правило, не выполняются программным обеспечением для интеллектуального поиска.
Однако настоящая проверка eDiscovery, как правило, является прерогативой квалифицированных практикующих юристов или компаний.
Использование термина eDiscovery стало уловом в некоторых кругах для обработки и поиска информации, хранящейся в электронном виде. (ESI). Однако это неверное представление о термине eDiscovery. Для более детального понимания eDiscovery справочная модель Electronic Discovery (EDRM) является хорошим руководством.
Можно сказать, что судебный поиск более тесно связан с Early Case Assessment (ECA) чем eDiscovery, поскольку ECA не требует тщательной проверки полного обнаружения электронных данных.
При представлении данных как части отчета, который может использоваться для формирования решения или в качестве доказательства, важно, чтобы данные были правильно представлены, чтобы читатель мог это понять.
В случае создания отчетов о данных, созданных системой, таких как файлы реестра, файлы ссылок и другие данные, созданные системой, это может быть дорогостоящим мероприятием. Также может быть случай, когда нет однозначного ответа или объяснения.
Примером этого может быть попытка объяснить непрофессионалу метод и приемы декодирования UserAssist Key в системном реестре Windows. Клавиша UserAssist может содержать большой объем информации о действиях пользователя компьютера. Однако, чтобы объяснить этот ключ, рецензент должен уметь идентифицировать ключ и правильно интерпретировать настройку ключа. Ключи часто кодируются с помощью ROT 13.
После того, как эти ключи декодируются в удобочитаемые форматы, проверяющий должен показать, как настройка связана с случаем. Часто требуется много времени, чтобы просмотреть сотни, даже тысячи настроек, которые иногда дают лишь весьма косвенные, а иногда и спорные результаты.
При просмотре данных, созданных пользователями, таких как электронная почта или контракты, составление отчетов и понимание результатов часто намного проще. Полуквалифицированный пользователь обычно хорошо понимает, как работает электронная почта, поскольку он использует ее в своей повседневной работе. Юридическое лицо понимает договор и не нуждается для этого в специальных судебных знаниях. Это может привести к гораздо меньшим затратам на проверку и менее спорным или косвенным выводам.
Функции программного обеспечения для судебного поиска сосредоточены на том, чтобы позволить пользователю одновременно искать и просматривать ряд данных и файлы пользователей.
Специфическими особенностями программного обеспечения судебного поиска являются:
Есть много новых и появляющихся полей компьютерной криминалистики, такой как облачная экспертиза, криминалистика мобильных телефонов, криминалистика сети, анализ памяти, криминалистика браузеров, криминалистика c сортировка и судебная экспертиза в Интернете. В недалеком прошлом наиболее распространенной ролью компьютерного судебно-медицинского эксперта было посещение дома, места работы или центра обработки данных человека для судебно-медицинской «визуализации» всех компьютеров или устройств, которые могут быть задействованы в деле. Это было отнесено к этапу сбора.
После завершения этапа сбора эти изображения были просмотрены, и соответствующий ESI был предоставлен заинтересованным сторонам. Это потребовало от компьютерного криминалиста значительного опыта и подготовки в следующих областях:
Этот процесс отнимал много времени и дорого. Основная роль компьютерного судебно-медицинского эксперта - исследовать компьютерные доказательства (ESI). Возможно, они не были так хорошо знакомы со всем делом или целями, как агент по делу, детектив, судебный бухгалтер или криминалист. Это часто приводило к неидеальной или трудоемкой идентификации правильных доказательств между разными сторонами. То, что сразу вызовет интерес детектива с глубоким знанием дела и вовлеченных сторон, может остаться незамеченным экспертом компьютерной криминалистики. Примером может быть электронное письмо от подозреваемого в другом деле подозреваемому в этом случае или контактные / телефонные звонки свидетелю от подозреваемого.
Проблема усугубляется тем, что значительно увеличился объем данных, которые необходимо собрать эксперту по компьютерной криминалистике. В настоящее время часто бывает так, что жесткий диск компьютера не может быть создан, например, если компьютер, содержащий улики, слишком велик, или система не может быть выключена для создания образа, поскольку это критически важный сервер, такой как в качестве почтового сервера или файлового сервера компании. Появление облачных вычислений также усложнило сбор доказательств. Данные, требующие сбора и анализа, могут находиться в облаке. В этом случае компьютер для изображения недоступен. Затем судебному эксперту необходимо собрать информацию с помощью программного обеспечения для судебной экспертизы, разработанного для работы с определенными поставщиками облачных услуг.
Короче говоря, сбор доказательств значительно изменился за последние несколько лет. Признавая эти проблемы, была обсуждена концепция гибридной криминалистики и создание инструментов, которые используют другой подход к сбору данных. Концепция гибридной судебной экспертизы заключается в выборочном сборе данных из «живых» систем таким образом, чтобы их можно было рассматривать в качестве надежных доказательств в суде.
Правоохранительные организации, как и многие другие организации, разделены на подразделения по конкретным навыкам. В области компьютерной криминалистики / киберпреступности эти подразделения берут на себя ответственность за все аспекты ESI. Как обсуждалось в пункте 5 «Почему экспертный поиск», эти подразделения обычно бедны по времени и не имеют ресурсов.
Несмотря на то, что время и ресурсы ограничены, основные знания в подразделении исходят от офицеров или консультантов с опытом работы более 7 лет (это предшествует большинству доступных степеней компьютерной криминалистики). Эти офицеры со временем ознакомились с методологией использования пакета программного обеспечения для криминалистического анализа, поскольку это все, что им предлагалось, когда они начинали работу в полевых условиях. Следовательно, когда появляются новые сотрудники или ресурсы, приоритет отдается программному обеспечению для судебно-медицинской экспертизы по сравнению с более новым, более конкретным программным обеспечением и новыми типами областей судебной экспертизы.
Программное обеспечение для судебного поиска стало популярным как метод сокращения времени и затрат на поиск и анализ больших наборов данных за счет сосредоточения внимания на пользовательских данных, которые чаще всего дают доказательства или результаты.
Электронная почта - такое соблазнительное и убедительное доказательство. Это личное, обильное и откровенное. Для большинства взрослых электронная почта является основным средством письменного общения. Когда юристы думают об «электронном открытии», они жаждут именно электронной почты. Поэтому неудивительно, что трафик электронной почты является наиболее востребованным и обсуждаемым ESI.
Новое поколение инструментов разрабатывается для решения проблем, с которыми сталкиваются специалисты в области цифровой криминалистики и электронного поиска..
| journal =
()