¿Qué es la identificación forense de datos?
La valoración forense de datos generalmente se centra en la valoración de los datos almacenados en el ordenador. En ocasiones también incluye la valoración funcional del software y programas del ordenador, y la valoración de la cadena de evidencia obtenida durante la prueba. proceso de cobranza.
Los objetos de almacenamiento de identificación incluyen: disquete, disco duro, disco USB, disco ZIP, disco JAZ, cinta, disco magnetoóptico, CDROM, CDR, CDRW, DVD, MO, tarjeta CF, tarjeta MS, Tarjeta SD, tarjeta MMC, etc., discos duros de red, correos electrónicos, etc.;
La identificación de funciones de software y programas incluye si se trata de software pirateado, si existe una infracción de software, etc. Los formatos de archivos identificados incluyen hojas de cálculo, documentos de Word, bases de datos, archivos de texto, archivos de registro, correos electrónicos, imágenes, archivos de video, archivos de sonido, archivos de intercambio, archivos temporales y más.
Medidas generales para la valoración forense de datos:
1. Copia, recuperación y reproducción profesional de datos: La mayoría de los sistemas informáticos tienen la función de generar automáticamente datos de copia de seguridad, datos de recuperación y algunos datos restantes. Los sistemas de seguridad de bases de datos importantes también prepararán copias de seguridad especiales para la base de datos. Estos sistemas generalmente están compuestos por equipos especializados y programas de operación y gestión especializados, y generalmente son difíciles de manipular. Por tanto, cuando se produce un delito informático y se han modificado o destruido las pruebas pertinentes, las pruebas necesarias para finalizar el caso se pueden obtener comparando y restaurando los datos de la copia de seguridad automática y los datos de prueba que se han procesado. Las herramientas disponibles incluyen Efficiency Source Data Compass, Flash Data Recovery Master, Data Copy King, etc.
2. Mantener la integridad, certificabilidad y reproducibilidad de los datos. Se supervisa todo el proceso de identificación de datos, y todo el trabajo de investigación y recopilación de pruebas realizado por el personal de identificación debe ser supervisado por expertos designados por otras partes. Los resultados o conclusiones de cualquier análisis forense pueden ser reproducidos por otro evaluador.