电脑鉴识

计算机鉴识一词由IT组成， 信息技术和取证的缩写。 该术语的统一定义尚未确定。 在一般用法中，电脑鉴识指的是能够让公众或在法庭程序中评估和欣赏信息技术的科学专业知识。 由于无法直接检查数据和系统状态，因此通常使用专家意见或专家证人的报告。

根据 Secure-Analysis-Present (S-A-P) 模型，电脑鉴赏者的活动分为三个阶段。 这些阶段之前是准备工作，其中创建了组织和技术先决条件。 例如，必须收集适用的法律规定（例如数据保护）并确保遵守这些规定。

在安全阶段，识别并保护可能与相应情况相关的数据。 该阶段的目的是尽可能不改变地保存所有数据。 有必要定期权衡接受哪些数据更改，例如 ，保护易失数据。 决策和程序必须以第三方可以理解和评估的方式记录在案。 为了排除不需要的和可避免的数据更改，在创建取证副本时使用所谓的写阻止程序，以防止对数据载体进行写访问。 副本与原件的身份通过计算、加密哈希值的比较来确保。

在分析阶段，对保存的数据进行分析和评估。 选择的分析方法基于要检查的事实，基于科学技术的最新水平，并且必须是第三方可以理解的。

在现阶段，分析结果以适合目标群体的方式呈现。 除了结果之外，还必须提供结论，以便第三方可以理解和评估结果。

• 操作系统取证
• 云取证
• 数字多媒体取证
• 恶意软件取证
• 网络取证
• 智能手机取证