證據 5 原則(5 Rules OF Evidence Computer Forensics Weve Incident Investigate)
(Domain 7 - P652)

1. 可接受性(Admissible)：收集的證據要法院可以接受
   可被採納接受的的，這個證據和案件的事實是相關的，具證據力。

   案件現場採集到的電腦，上面有犯罪人的使用記錄，採集證據的方法要正確且法庭能夠接受
   反例：掃黃警察偽裝嫖客或未經同意看對方手機，只要方法不正確，所以法官會不接受。

2. 真實性(Authentic)
   可靠可信賴真實存在這個案件中的證據

   案件現場採集到的電腦，上面有犯罪人的使用記錄(人事時地物)，且採集證據的過程中有拍照之類的方式，確保這真的是犯罪當時環境遺留下的證據即可。
   反例：被放微波爐破壞的硬碟。

3. 完整性(Complete)
   針對全範圍的內容做統一的規範，而非有針對性。

   反例：Firewall Log 每日產出，只針對某人，只鎖定 IP 去加強監控，這就不能被採用
   如果是收集的是全面的，因事件需針對某 IP 篩選出來的，可以被接受

4. 真實性(Reliable)
   可靠、可信賴、精確用正確的方式抓出證據，不修改原始證物，不能被竄改。
   使用法庭能接受的工具，沒有限制哪一種，只要有足夠的專業性認可即可。

   只單向的寫出，並沒有修改原始證物，抓出Raw Data 並且 Hash驗證這個資料和案件中採集到的證據是同一個，
   可反覆驗證經得起考驗。
   反例：偷改記錄內容或Hash

5. 證據證明性(Believable)
   具有證據證明力，為專業公認的手法

   能夠說服法官，或是陪審團，使用的手法流程是眾人能理解，並且可以接受的，不是自己發明的方法。
   可疑人員把要傳遞的訊息藏資料在圖片裡，用眾人知道的工具把藏在圖片中的資訊找出來，並解讀出來
   法庭上我可能會說這個手法是Steganography 我用了什麼工具解讀出來怎樣的內容，證明這段文字跟案件有關。