0x00 数字取证介绍

这篇文章将涵盖有关数字取证的各种主题，希望能够成为该领域的一个很好的介绍。数字取证（或计算机取证）是取证科学的最新分支，重点关注数字数据的恢复和后续分析/调查做为法庭上的有效证据。我的意思是，你不能再法庭上随便提出某些事情，将其称为证据。

因此，有必要通过适当的扣押、获取、分析、识别、确认、解释、记录以及最后的陈述来保存数字证据。

如你看到的，这是一个非常漫长而复杂的过程。鉴于其复杂性，数字取证操作通常需要一个专业的多学科团队。有些人可能专注于网络取证，其他人则专注于手机取证。一些行动甚至可能需要各种计算机相关领域的专家（硬件，数据库，电信等）。

通过本文，我将重点关注数字取证的法律/法庭相关方面，而不是私人调查方面，即使它们在技术上完全相同。

数字证据

证据，是证明某一命题是真实还是有效的。但是，数字证据的概念更为具体。 这样，它可以由存储在任何数字/电子存储介质中的任何类型的证明信息来定义，或者通过公共或私人计算机/通信网络传输。简单的说，它是以数字/二进制形式存储或传输的任何（证明）数据/信息。

我们越来越频繁地生成大量数据，这意味着它正变得无处不在。 因此，即使数字证据通常与计算机和电子犯罪有关，它现在也被用来起诉各种犯罪（例如，收回的电子邮件可能会泄露犯罪的意图或动机，甚至可能是失踪的人)。

在比较传统和数字证据时，我们会发现它们有一些相似之处：

它们既脆弱又易于操纵，损坏或毁坏;
他们可以通过物理方式或通过互联网轻松跨越地理和司法管辖区;
它们的价值通常取决于它们的确切日期/时间和地点（它们是时间敏感的）;