證據 5 原則(5 Rules OF Evidence Computer Forensics Weve Incident Investigate)
(Domain 7 - P652)
可接受性(Admissible):收集的證據要法院可以接受
可被採納接受的的,這個證據和案件的事實是相關的,具證據力。
案件現場採集到的電腦,上面有犯罪人的使用記錄,採集證據的方法要正確且法庭能夠接受
反例:掃黃警察偽裝嫖客或未經同意看對方手機,只要方法不正確,所以法官會不接受。
真實性(Authentic)
可靠可信賴真實存在這個案件中的證據
案件現場採集到的電腦,上面有犯罪人的使用記錄(人事時地物),且採集證據的過程中有拍照之類的方式,確保這真的是犯罪當時環境遺留下的證據即可。
反例:被放微波爐破壞的硬碟。
完整性(Complete)
針對全範圍的內容做統一的規範,而非有針對性。
反例:Firewall Log 每日產出,只針對某人,只鎖定 IP 去加強監控,這就不能被採用
如果是收集的是全面的,因事件需針對某 IP 篩選出來的,可以被接受
真實性(Reliable)
可靠、可信賴、精確用正確的方式抓出證據,不修改原始證物,不能被竄改。
使用法庭能接受的工具,沒有限制哪一種,只要有足夠的專業性認可即可。
只單向的寫出,並沒有修改原始證物,抓出Raw Data 並且 Hash驗證這個資料和案件中採集到的證據是同一個,
可反覆驗證經得起考驗。
反例:偷改記錄內容或Hash
證據證明性(Believable)
具有證據證明力,為專業公認的手法
能夠說服法官,或是陪審團,使用的手法流程是眾人能理解,並且可以接受的,不是自己發明的方法。
可疑人員把要傳遞的訊息藏資料在圖片裡,用眾人知道的工具把藏在圖片中的資訊找出來,並解讀出來
法庭上我可能會說這個手法是Steganography 我用了什麼工具解讀出來怎樣的內容,證明這段文字跟案件有關。