什么是计算机取证报告格式?

取证是一种应用于刑事调查的科学方法,可以融合从物理学到超自然现象等广泛的科学领域。取证报告基本上以简洁的方式概述了刑事案件中的实质性证据。

犯罪学报告的撰写可能很困难且令人生畏,因为它通常需要对专业信息进行分析,并以易于理解、易于遵循的方式呈现。然而,取证报告基本上遵循与任何报告所需的相同基本原则和惯例。

报告生成工具

用于生成报告的工具如下:

原始格式

原始格式方法允许将比特流数据写入文件。

原始格式的**优点**如下:

  • 快速数据传输

  • 忽略源驱动器上的轻微数据读取错误

  • 大多数计算机取证工具可以读取原始格式。

原始格式的**缺点**如下:

  • 它需要与原始磁盘或数据一样多的存储空间。

  • 工具可能无法收集边缘(坏)扇区。

专有格式

大多数取证工具都有自己的格式。

专有格式提供的**功能**如下:

  • 可以选择压缩或不压缩镜像文件。

  • 可以将镜像分割成较小的分段文件。

  • 可以将元数据集成到镜像文件中。

专有格式的**缺点**如下:

  • 此格式无法在不同工具之间共享镜像。

  • 每个分段卷的文件大小限制。

  • 专家证人格式是一种非正式标准。

  • FTK 使用和 Encase 使用。

高级取证格式

此格式由 Simson L. Garfinkel 博士开发,作为一种开源采集格式。它设计目标并提供压缩或未压缩的镜像文件。

磁盘到镜像文件没有大小限制,并且可以在镜像文件或分段文件中为元数据提供空间。

它具有简单的设计和可扩展性,并且是针对多个平台和操作系统的开源。此外,它的内部一致性检查用于自我认证。

高级取证格式中的文件扩展名包括以下内容:

  • .aff – 将所有数据和元数据存储在一个文件中的变体

  • .afm – 将所有数据和元数据存储在单独文件中的变体

  • .afd – 将所有数据和元数据存储在多个小文件中的变体。

  • AFF 是开源的

获取数据的过程

以下是关于**计算机取证报告格式**的数据获取步骤:

  • **步骤 1** - 选择采集方法

  • **步骤 2** - 拍摄系统快照

  • **步骤 3** - 获取易失性系统数据

  • **步骤 4** - 保护和运输系统

  • **步骤 5** - 准备驱动器

  • **步骤 6** - 执行采集

  • **步骤 7** - 验证

  • **步骤 8** - 应急计划

更新于: 2022年3月17日

1K+ 浏览量

开启你的 职业生涯

通过完成课程获得认证

开始学习
广告