联邦证据法第九章:认证和证明 规则901:认证和证明的要求(a)一般规定 作为法庭可受理证据的先决条件,对认证和证明的要求是它要满足支持者所提供的证据和他声称的一致这一要求。第30页,共46页,星期日,2025年,2月5日计算机证据在联邦证据法中电脑这个词出现过多少次? 回答:一次 第十章规则1001(3); Original的定义 第31页,共46页,星期日,2025年,2月5日联邦证据法第十章:关于著作、唱片和图片的内容规则1001.定义;(3)Original. 对一个作品或唱片Original的定义,是指这个著作或唱片本身,同时也包含和著作、唱片具有相同效果的任何副本。对照片Original的定义,不仅包含底片,还包含由此底片洗出来的任何照片。如果数据存于电脑中或类似设备中,任何打印出来的或通过其他渠道生成的人们可清洗读取的数据副本,都视其为Original的。第32页,共46页,星期日,2025年,2月5日工具和方法我怎么知道某一个计算机取证工具已经被法庭承认可以使用呢? 回答:在美国没有这种认证程序,但Daubert规则决定了通过科学技术搜集到的证据的可受理与否。 第33页,共46页,星期日,2025年,2月5日Daubert规则 在每项技术被法庭认为可受理之前,有五点要考虑这项技术是否已经在实际条件下经过测试了(而不仅在实验室)是否经过同行审查和公开发表?已知的或潜在的错误几率是多少?是零么?还是可以低到接近于零?是否存在控制技术操作的一个标准?是否被科学共同体内的科学家们普遍接受?第34页,共46页,星期日,2025年,2月5日实时计算机取证的出现趋势第35页,共46页,星期日,2025年,2月5日实时计算机取证的出现趋势在调查过程中,物理内存扮演了越来越重要的角色。实时计算机取证工具和传统计算机取证工具重叠功能不多。响应的时机变得愈发重要,几天可以缩成几个小时甚至几分钟。第36页,共46页,星期日,2025年,2月5日理念F-Response?提供了灵活解决日益出现的问题的办法,它能使用任何现有的检查工具,通过网络进行实时取证服务。检查工作要求直接、只读地访问物理存储设备,F-Response?可以利用网络实现这种形式的访问。F-Response?是安全的,访问需要双方强制认证,只读形式的访问避免检查人员进行检查分析操作时改动任何数据。这种能力大大增加了电子取证调查和电子结果发现的效率。第37页,共46页,星期日,2025年,2月5日如何工作F-Response?使用iSCSI标准协议创建一个安全只读的连接,连接被检查的机器和检查人员的机器。F-Response?将存储设备映射到检查人员的机器上,使它看起来像在检查人员自己的机器上检查一样。连接是只读的,因此任何情况下的数据更改都是不可能发生的。通过F-Response?连接,实时取证获取或预分析就可以实施啦。第38页,共46页,星期日,2025年,2月5日F-Response?Key外观F-Response?FOB……无需驱动安装的HID(美国一个读卡器和卡片品牌名)设备第39页,共46页,星期日,2025年,2月5日F-Response?实际运用下图描述了F-Response?的应用.F-Response?程序安装在网络中的计算机上,本地取证分析人员持有F-Response?USB许可密钥FOB和合适的第三方分析工具。F-Response?可以帮助实时分析通过网络连接的计算机。第40页,共46页,星期日,2025年,2月5日使用简便使用F-Response?进行取证分析的操作如下:取证人员需要一个连接网络的运行的计算机以进行调查。F-Response?采用iSCSI协议写的程序运行在将被检查的机器上。F-Response?代码很小,可以在检查之前装入机器,也可以在检查时装入电脑。安装后不许重启动即可使用。F-Response?在被检查的机器下建立起了安全的,多方认证的,只读的网络连接。利用F-Response?检查人员通过网络开始执行分析的过程。接受检查的机器的用户仍然可以进行自己的操作,在检查的过程中对原机器提供的服务没有任何中断。第41页,共46页,星期日,2025年,2月5日第1页,共46页,星期日,2025年,2月5日介绍第2页,共46页,星期日,2025年,2月5日简介
MatthewM.Shannon,信息系统安全认证专家,计算机取证调查员MatthewShannon,自20