数位鉴识

数位鉴识（有时又被称作数位鉴识科学、数字取证）乃是鉴识科学的其中一个分支，主要在针对数位装置中的内容进行调查与复原，这常常是与电脑犯罪有所相关^[1]^[2]。数位鉴识一词原本是与电脑鉴识为同义词，但现在已经扩展到调查所有能够储存数位资料的装置^[1]。随著1970年代末期到1980年代初期的家用电脑革命从美国兴起，数位鉴识科学也逐渐在1990年代开始自然的发展，而直到二十一世纪初国家才逐渐形成对此学科的政策。

数位鉴识的调查结果有非常多元的应用，最常见的用途是当作电子侦查（英语：Electronic discovery）的部分程序，在刑事或民事法庭之上，支持或排除犯罪假设。鉴识也能在企业部门应用，例如公司内部调查或侵入调查(intrusion investigation)（专家们探究某次未授权的网路入侵行动的本质以及影响程度）。

调查的技术层面依照数位装置的类型可区分为以下几个分支：电脑鉴识、网路鉴识、鉴识资料分析以及行动装置鉴识。一般典型的鉴识程序包含数位装置的收押、鉴识成像(forensic imaging)获取、数位媒体分析、以及制作报告列为证物。

除了用来确认犯罪的直接证据以外，数位鉴识也能够用来确认特定嫌疑犯与案件的关系、确认不在场证明或其证词、理解其意图、追查来源（例如在著作权争议案件）、或是判定文件的真伪^[3]。数位鉴识调查的范围，比起其他的鉴识领域来说更为广泛（大部分其他鉴识科学是为解答相对较单纯的问题），常常会包含复杂的时间线或是多重的假设^[4]。

历史

在1980年代之前，美国与电脑相关的犯罪行为皆没有特别设立处置法条，而都是以既有的法律条文进行规范。有史以来最早设立防治电脑犯罪的法条是1978年的佛罗里达电脑犯罪防治法(the 1978 Florida Computer Crimes Act)，此次立法禁止电脑系统中在没有授权的情况下对资料进行删修动作^[5]^[6]。下来的几年，电脑犯罪的范畴开始逐渐扩张，诸如著作权、隐私权/骚扰（例如网路霸凌、网路跟踪狂（英语：cyberstalking）、在线猎手）、以及儿童色情这类议题的相关法律也逐渐通过^[7]^[8]。直到1980年代联邦法才开始纳入电脑犯罪。加拿大在1983年成了全世界第一个通过电脑犯罪相关法条的国家^[6]。之后美国联邦也于1986年通过了电脑诈欺与滥用防治法（英语：Computer Fraud and Abuse Act），澳洲则于1989年修改了其刑法，而英国则是在1990年设立了电脑滥用防治法(Computer Abuse Act)^[6]^[8]。

1980–1990年代：相关领域的崛起

1980到90年代之间的电脑犯罪成长迅速，导致执法单位（英语：law enforcement agency）开始成立专门小组，通常是以中央政府的层级来处理相关调查的技术议题。比方说，1984年美国联邦调查局(FBI)建立了电脑分析与犯罪应对小组(Computer Analysis and Response Team)，隔年英国大都会警察的反诈骗小组中也成立了电脑犯罪部。除了专业执法人员以外，许多此类团队的早期成员也有是电脑爱好者，但为数位鉴识领域初期研究与未来方向定调^[9]^[10]。

最早的数位鉴识案例（或至少是公开的个案中最早者）是1986年克里夫·史陀（英语：Cliffford Stoll）追踪骇客马可仕·何斯（英语：Markus Hess）案。克里夫虽然他并非鉴识科班出身，但其调查使用了电脑以及网路鉴识技术，成功的破获骇客^[11]。许多早期的数位鉴识的鉴定案例都是类似的情形^[12]。

2000年代：建立标准规范

鉴识工具的开发

鉴识流程

应用

限制

法务上的考量

数位证据

调查工具

学科分支

电脑鉴识

电脑鉴识是以周延的方法及程序保存、识别、抽取、记载及解读电脑媒体证据与分析其成因的科学。目的是专门负责搜集、检验及分析。借由保存电脑犯罪证据，并透过电脑采集有意义的证据资讯或从片断资料描绘事件的大略情形以进行现场重建。主要在针对数位装置中的内容进行调查与复原，这常常是与电脑犯罪有所相关。除了用来确认犯罪的直接证据以外，数位鉴识也能够用来确认特定嫌疑犯与案件的关系、确认不在场证明或其证词、理解其意图、追查来源、或是判定文件的真伪。

行动装置鉴识

网路鉴识

鉴识资料分析

资料库鉴识

参见

参考文献

^ ^1.0 ^1.1 M Reith, C Carr, G Gunsch. An examination of digital forensic models. International Journal of Digital Evidence. 2002 [2 August 2010]. （原始内容存档于2012-10-15）.
^ Carrier, B. Defining digital forensic examination and analysis tools. Digital Research Workshop II. 2001 [2 August 2010]. （原始内容存档于2012-10-15）.
^ Various. Eoghan Casey , 编. Handbook of Digital Forensics and Investigation. Academic Press. 2009: 567 [27 August 2010]. ISBN 0-12-374267-6. （原始内容存档于2015-02-04）.
^ Carrier, Brian D. Basic Digital Forensic Investigation Concepts. 7 June 2006 [2014-06-15]. （原始内容存档于2010-02-26）.
^ Florida Computer Crimes Act. [31 August 2010]. （原始内容存档于2010-06-12）.
^ ^6.0 ^6.1 ^6.2 Casey, Eoghan. Digital Evidence and Computer Crime, Second Edition. Elsevier. 2004 [2014-06-15]. ISBN 0-12-163104-4. （原始内容存档于2012-11-12）.
^ Aaron Phillip; David Cowen; Chris Davis. Hacking Exposed: Computer Forensics. McGraw Hill Professional. 2009: 544 [27 August 2010]. ISBN 0-07-162677-8. （原始内容存档于2014-02-13）.
^ ^8.0 ^8.1 M, M. E. A Brief History of Computer Crime: A (PDF). Norwich University. [30 August 2010]. （原始内容存档 (PDF)于2010-08-21）.
^ Mohay, George M. Computer and intrusion forensics. Artechhouse. 2003: 395. ISBN 1-58053-369-8.
^ Peter Sommer. The future for the policing of cybercrime. Computer Fraud & Security. January 2004, 2004 (1): 8–12. ISSN 1361-3723. doi:10.1016/S1361-3723(04)00017-X.
^ Simson L. Garfinkel. Digital forensics research: The next 10 years. Digital Investigation. August 2010, 7: S64-S73. ISSN 1742-2876. doi:10.1016/j.diin.2010.05.009.
^ Linda Volonino, Reynaldo Anzaldua. Computer forensics for dummies. For Dummies. 2008: 384. ISBN 0-470-37191-9.

延伸阅读

Carrier, Brian D. Risks of live digital forensic analysis. Communications of the ACM. February 2006, 49 (2): 56–61 [31 August 2010]. ISSN 0001-0782. doi:10.1145/1113034.1113069 （英语）.
Kanellis, Panagiotis. Digital crime and forensic science in cyberspace. IGI Publishing. : 357 [2014-06-15]. ISBN 1-59140-873-3. （原始内容存档于2012-11-12）（英语）.
Jones, Andrew. Building a Digital Forensic Laboratory. Butterworth-Heinemann. 2008: 312 [2014-06-15]. ISBN 1-85617-510-3. （原始内容存档于2012-11-12）（英语）.
Marshell, Angus M. Digital forensics: digital evidence in criminal investigation. Wiley-Blackwell. 2008: 148 [2014-06-15]. ISBN 0-470-51775-1. （原始内容存档于2012-11-12）（英语）.
Sammons, John. The basics of digital forensics: the primer for getting started in digital forensics. Syngress. 2012. ISBN 1597496618 （英语）.
Timeline of computer forensics. [2014-06-15]. （原始内容存档于2020-10-06）.
Crowley, Paul. CD and DVD Forensics. Rockland, MA: Syngress. ISBN 1597491284 （英语）.
22款受欢迎的计算机取证工具. [2017-06-15]. （原始内容存档于2019-06-18）.

[ijde-2002-1] 1.0 ^1.1 M Reith, C Carr, G Gunsch. An examination of digital forensic models. International Journal of Digital Evidence. 2002 [2 August 2010]. （原始内容存档于2012-10-15）.

[carrier-2] Carrier, B. Defining digital forensic examination and analysis tools. Digital Research Workshop II. 2001 [2 August 2010]. （原始内容存档于2012-10-15）.

[handbook-3] Various. Eoghan Casey , 编. Handbook of Digital Forensics and Investigation. Academic Press. 2009: 567 [27 August 2010]. ISBN 0-12-374267-6. （原始内容存档于2015-02-04）.

[df-basics-4] Carrier, Brian D. Basic Digital Forensic Investigation Concepts. 7 June 2006 [2014-06-15]. （原始内容存档于2010-02-26）.

[floract-5] Florida Computer Crimes Act. [31 August 2010]. （原始内容存档于2010-06-12）.

[casey-6] 6.0 ^6.1 ^6.2 Casey, Eoghan. Digital Evidence and Computer Crime, Second Edition. Elsevier. 2004 [2014-06-15]. ISBN 0-12-163104-4. （原始内容存档于2012-11-12）.

[exposed-7] Aaron Phillip; David Cowen; Chris Davis. Hacking Exposed: Computer Forensics. McGraw Hill Professional. 2009: 544 [27 August 2010]. ISBN 0-07-162677-8. （原始内容存档于2014-02-13）.

[briefhistory-8] 8.0 ^8.1 M, M. E. A Brief History of Computer Crime: A (PDF). Norwich University. [30 August 2010]. （原始内容存档 (PDF)于2010-08-21）.

[mohay-9] Mohay, George M. Computer and intrusion forensics. Artechhouse. 2003: 395. ISBN 1-58053-369-8.

[sommer-10] Peter Sommer. The future for the policing of cybercrime. Computer Fraud & Security. January 2004, 2004 (1): 8–12. ISSN 1361-3723. doi:10.1016/S1361-3723(04)00017-X.

[garfinkel-11] Simson L. Garfinkel. Digital forensics research: The next 10 years. Digital Investigation. August 2010, 7: S64-S73. ISSN 1742-2876. doi:10.1016/j.diin.2010.05.009.

[dummies-12] Linda Volonino, Reynaldo Anzaldua. Computer forensics for dummies. For Dummies. 2008: 384. ISBN 0-470-37191-9.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

查论编数位鉴识
分支	电脑鉴识行动装置鉴识（英语：Mobile device forensics）网路鉴识（英语：Network forensics）资料库鉴识（英语：Database forensics）
硬体	鉴识磁碟控制器（英语：Forensic disk controller）
软体	EnCase（英语：EnCase） Foremost (software)（英语：Foremost） FTK（英语：Forensic Toolkit） Registry Recon（英语：Registry Recon） PTK Forensics（英语：PTK Forensics） The Sleuth Kit（英语：The Sleuth Kit） The Coroner's Toolkit（英语：The Coroner's Toolkit） COFEE（英语：Computer Online Forensic Evidence Extractor） Selective file dumper（英语：Selective file dumper） HashKeeper（英语：HashKeeper） Xplico（英语：Xplico）
证照	资安鉴识调查专家(CHFI)（英语：Certified Hacking Forensic Investigator）全方位资讯安全认证(GIAC)（英语：Global Information Assurance Certification）
程序	数位鉴识程序（英语：Digital forensic process）资料取得(Data acquisition) 数位证据 eDiscovery（英语：Electronic discovery）反电脑鉴识（英语：Anti-computer forensics）
组织	中华民国法务部调查局资安鉴识实验室美国软体参考图书馆（英语：National Software Reference Library）美国数位鉴识与eDiscovery学会（英语：American Society of Digital Forensics & eDiscovery）美国国防部网路犯罪中心（英语：Department of Defense Cyber Crime Center）美国高科技犯罪组(NHTCU)（英语：National Hi-Tech Crime Unit）澳洲高科技犯罪中心(AHTCC)（英语：Australian High Tech Crime Centre）
人物	Eoghan Casey（英语：Eoghan Casey） Clifford Stoll（英语：Clifford Stoll） Erik Laykin（英语：Erik Laykin）
数位鉴识字汇表（英语：Glossary of digital forensics terms）

历史