什麼是計算機取證報告格式?

取證是一種應用於刑事調查的科學方法,可以融合從物理學到超自然現象等廣泛的科學領域。取證報告基本上以簡潔的方式概述了刑事案件中的實質性證據。

犯罪學報告的撰寫可能很困難且令人生畏,因為它通常需要對專業資訊進行分析,並以易於理解、易於遵循的方式呈現。然而,取證報告基本上遵循與任何報告所需的相同基本原則和慣例。

報告生成工具

用於生成報告的工具如下:

原始格式

原始格式方法允許將位元流資料寫入檔案。

原始格式的**優點**如下:

  • 快速資料傳輸

  • 忽略源驅動器上的輕微資料讀取錯誤

  • 大多數計算機取證工具可以讀取原始格式。

原始格式的**缺點**如下:

  • 它需要與原始磁碟或資料一樣多的儲存空間。

  • 工具可能無法收集邊緣(壞)扇區。

專有格式

大多數取證工具都有自己的格式。

專有格式提供的**功能**如下:

  • 可以選擇壓縮或不壓縮映象檔案。

  • 可以將映象分割成較小的分段檔案。

  • 可以將元資料整合到映象檔案中。

專有格式的**缺點**如下:

  • 此格式無法在不同工具之間共享映象。

  • 每個分段卷的檔案大小限制。

  • 專家證人格式是一種非正式標準。

  • FTK 使用和 Encase 使用。

高階取證格式

此格式由 Simson L. Garfinkel 博士開發,作為一種開源採集格式。它設計目標並提供壓縮或未壓縮的映象檔案。

磁碟到映象檔案沒有大小限制,並且可以在映象檔案或分段檔案中為元資料提供空間。

它具有簡單的設計和可擴充套件性,並且是針對多個平臺和作業系統的開源。此外,它的內部一致性檢查用於自我認證。

高階取證格式中的副檔名包括以下內容:

  • .aff – 將所有資料和元資料儲存在一個檔案中的變體

  • .afm – 將所有資料和元資料儲存在單獨檔案中的變體

  • .afd – 將所有資料和元資料儲存在多個小檔案中的變體。

  • AFF 是開源的

獲取資料的過程

以下是關於**計算機取證報告格式**的資料獲取步驟:

  • **步驟 1** - 選擇採集方法

  • **步驟 2** - 拍攝系統快照

  • **步驟 3** - 獲取易失性系統資料

  • **步驟 4** - 保護和運輸系統

  • **步驟 5** - 準備驅動器

  • **步驟 6** - 執行採集

  • **步驟 7** - 驗證

  • **步驟 8** - 應急計劃

更新於: 2022年3月17日

1K+ 瀏覽量

開啟你的 職業生涯

透過完成課程獲得認證

開始學習
廣告

© . All rights reserved.