数字取证的法律考量与文件分析指南
1. 法律考量
1.1 与执法部门合作
在涉及数字取证调查时,受害者公司在将案件移交后很少会失去对调查的控制权。相反,执法部门通常需要与最熟悉受影响系统和相关数据的管理员及调查人员进行早期沟通,并持续合作。在整个过程中,不断进行协商是常态。虽然执法部门会避免直接指挥数字调查人员的行动,以免未来法庭将调查人员的工作视为政府行为,从而因违反执法程序的严格法律标准而排除相关证据,但数字调查人员可能需要在大陪审团前作证,以确定是否存在犯罪的合理依据,甚至在审判陪审团面前就已提交的指控作证。
1.2 提高证据可采性
为了提高证据在各种情况下的可采性,需要做好以下几个方面:
-记录文档:详细记录调查过程至关重要。尽管有人担心记录可能会产生可被发现的工作成果、弹劾材料或与最终调查结果不一致的初步陈述,但这些担忧远远比不上记录能为调查意见的客观性、完整性和合理性提供有力证据的重要性。具体记录内容包括:
- 详细记录识别和确认事件性质及范围的早期努力。
- 记录受影响的具体系统、登录用户、活动连接数量和正在运行的进程。
- 记录攻击起源的观察情况,包括文件或日志的创建、删除、访问、修改或写入情况,用户账户或权限的添加或更改情况,数据可能发送到的机器以及其他潜在受害者的身份。
- 记录缺乏证据的情况,即与类似事件处理经验预期不符的情况。
- 记录为避免更改、删除或修改网络上现有数据而采用的方法。
- 跟踪为阻止对受影响网络的有害访问或停止持续损害所采取的措施,包括过滤或隔离区域。
- 尽早开始识别和记录系统的损害程度以
