Компьютерная криминалистика

Типы носителей, используемые для компьютерной криминалистической экспертизы: Fujifilm FinePix цифровая камера , две флэш-памяти карты , USB-накопитель , iPod емкостью 5 ГБ , компакт-диск CD-R или записываемый DVD и мини-CD .

Компьютерная криминалистика (также известная как компьютерная криминалистика ^{[ 1 ]}) — это отрасль цифровой криминалистики, занимающаяся доказательствами, найденными на компьютерах и цифровых носителях информации . Целью компьютерной криминалистики является криминалистическое исследование цифровых носителей с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя компьютерная криминалистика чаще всего связана с расследованием самых разнообразных компьютерных преступлений , она также может использоваться в гражданском судопроизводстве. Эта дисциплина включает в себя методы и принципы, аналогичные восстановлению данных , но с дополнительными рекомендациями и практиками, предназначенными для создания юридического контрольного журнала .

Доказательства, полученные в результате компьютерных криминалистических расследований, обычно подчиняются тем же правилам и практикам, что и другие цифровые доказательства. Он использовался в ряде громких дел и признан надежным в судебных системах США и Европы.

Обзор

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к более широкому их использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было признано несколько новых «компьютерных преступлений» (например, взлом ). В это время возникла дисциплина компьютерной криминалистики как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерная преступность и преступления, связанные с компьютером, выросли: ФБР сообщило о 791 790 предполагаемых интернет-преступлениях только в 2020 году, что на 69% больше, чем в 2019 году. ^{[ 2 ]}^{[ 3 ]} Сегодня компьютерная криминалистика используется для расследования самых разных преступлений, включая детскую порнографию , мошенничество, шпионаж , киберпреследование , убийства и изнасилования. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, электронное обнаружение ).

Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель информации (например, жесткий диск или компакт-диск ) или электронный документ (например, сообщение электронной почты или изображение JPEG). . ^{[ 4 ]} Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий. В книге 2002 года «Компьютерная криминалистика » авторы Крузе и Хейзер определяют компьютерную криминалистика как «сохранение, идентификация, извлечение, документирование и интерпретация компьютерных данных». ^{[ 5 ]} Далее они описывают эту дисциплину как «скорее искусство, чем науку», указывая на то, что судебно-медицинская методология подкреплена гибкостью и обширными знаниями в предметной области . Однако, хотя для извлечения доказательств из одного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и лишены гибкости, присущей гражданскому миру. ^{[ 6 ]}

Кибербезопасность

Компьютерную экспертизу часто путают с кибербезопасностью. Кибербезопасность связана с предотвращением и защитой, тогда как компьютерная криминалистика более реакционна и активна и включает в себя такие действия, как отслеживание и разоблачение. Системная безопасность обычно включает в себя две команды: кибербезопасность и компьютерную экспертизу, которые работают вместе. Команда кибербезопасности создает системы и программы для защиты данных; если это не удается, группа компьютерной криминалистики восстанавливает данные и проводит расследование взлома и кражи. Обе области требуют знаний информатики. ^{[ 7 ]}

Преступления, связанные с компьютером

Компьютерная криминалистика используется для осуждения лиц, причастных к физическим и цифровым преступлениям. Некоторые из этих преступлений, связанных с компьютером, включают прерывание, перехват, нарушение авторских прав и фабрикацию. Прерывание связано с уничтожением и кражей частей компьютера и цифровых файлов. Перехват — это несанкционированный доступ к файлам и информации, хранящейся на технологических устройствах. ^{[ 8 ]} Нарушением авторских прав является использование, воспроизведение и распространение информации, защищенной авторским правом, включая пиратство программного обеспечения. Фабрикация – это обвинение кого-либо в использовании ложных данных и информации, введенных в систему из неавторизованного источника. Примерами перехвата являются дела Bank NSP, дела Sony.Sambandh.com и мошенничество с компрометацией деловой электронной почты. ^{[ 9 ]}

Использовать в качестве доказательства

В суде к компьютерным криминалистическим доказательствам применяются обычные требования к цифровым доказательствам . Для этого требуется, чтобы информация была достоверной, достоверно полученной и допустимой. ^{[ 10 ]} В разных странах существуют конкретные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве следователи часто следуют рекомендациям Ассоциации старших офицеров полиции , которые помогают обеспечить подлинность и целостность доказательств. Хотя эти руководящие принципы являются добровольными, они широко принимаются в британских судах.

Компьютерная криминалистика используется в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые примечательные примеры включают: ^{[ 11 ]}

BTK Killer: Деннис Рейдер был признан виновным в серии серийных убийств, произошедших в течение шестнадцати лет. К концу этого периода Рейдер отправил письма в полицию на дискете. ^{[ 12 ]} Метаданные в документах указывают на автора по имени «Деннис» из «Лютеранской церкви Христа»; эти доказательства помогли привести к аресту Рейдера. ^{[ 13 ]}
Джозеф Эдвард Дункан : Электронная таблица, найденная на компьютере Дункана, содержала доказательства того, что он планировал свои преступления. Прокуроры использовали это, чтобы продемонстрировать преднамеренность и добиться смертной казни . ^{[ 14 ]}
Шэрон Лопатка : Сотни электронных писем на компьютере Лопатки приводят следователей к ее убийце Роберту Глассу. ^{[ 11 ]}
Corcoran Group : Это дело подтвердило обязанность сторон сохранять цифровые доказательства в случае судебного разбирательства начала или обоснованного ожидания . Жесткие диски были проанализированы экспертом по компьютерной криминалистике, который не смог найти соответствующие электронные письма, которые должны были быть у ответчиков. Хотя эксперт не обнаружил никаких доказательств удаления на жестких дисках, появились доказательства того, что ответчики намеренно уничтожили электронную почту, ввели в заблуждение и не раскрыли существенные факты истцам и суду.
Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач умершего Майкла Джексона , был частично признан виновным на основании цифровых доказательств на его компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельное количество пропофола .

Судебно-медицинский процесс

Компьютерные криминалистические расследования обычно следуют стандартному процессу или этапам цифровой криминалистики: сбор данных, изучение, анализ и составление отчета. Исследования проводятся на статических данных (т.е. полученных изображениях ), а не на «живых» системах. Это отличие от ранней криминалистической практики, когда отсутствие специальных инструментов приводило к тому, что следователи обычно работали с живыми данными.

Лаборатория компьютерной криминалистики

Лаборатория компьютерной криминалистики — это безопасная и защищенная зона, где электронными данными можно управлять, сохранять их и получать к ним доступ в контролируемой среде. Там значительно снижается риск повреждения или изменения доказательств. Компьютерные судебно-медицинские эксперты обладают ресурсами, необходимыми для получения значимых данных с устройств, которые они исследуют. ^{[ 15 ]}

Техники

В ходе компьютерных криминалистических расследований используется ряд методов, в том числе следующие:

Перекрестный анализ: Это судебно-медицинский метод, который сопоставляет информацию, найденную на нескольких жестких дисках , и используется для идентификации социальных сетей и обнаружения аномалий . ^{[ 16 ]}^{[ 17 ]}^{[ 18 ]}

Живой анализ: Проверка компьютеров изнутри операционной системы с использованием специальной криминалистической экспертизы или существующих инструментов системного администратора для извлечения доказательств. Эта практика полезна, например, при работе с шифруемыми файловыми системами , где можно собрать ключи шифрования и, в некоторых случаях, создать образ логического тома жесткого диска (так называемое «живое получение») перед выключением компьютера. Этот процесс также полезен при работе с несколькими системами, например, как часть сети, или когда физические устройства недоступны, например те, которые работают в облаке. ^{[ 19 ]}

Удаленные файлы: Распространенным методом компьютерной криминалистики является восстановление удаленных файлов. Современное криминалистическое программное обеспечение имеет свои собственные инструменты для восстановления или вырезания удаленных данных. ^{[ 20 ]} Большинство операционных и файловых систем не всегда стирают данные физических файлов, что позволяет исследователям восстановить их из секторов физического диска . Карвинг файлов включает в себя поиск известных заголовков файлов в образе диска и восстановление удаленных материалов.

Стохастическая криминалистика: Метод, который использует стохастические свойства компьютерной системы для исследования действий, в которых отсутствуют цифровые артефакты. Его основное назначение – расследование кражи данных .

Стеганография: Одним из методов сокрытия данных является стеганография — процесс сокрытия данных внутри изображения или цифрового изображения. Примером может служить сокрытие порнографических изображений детей или другой информации, которую преступник не желает раскрывать. Профессионалы в области компьютерной криминалистики могут бороться с этим, просматривая хэш файла и сравнивая его с исходным изображением (если оно доступно). Хотя при визуальном осмотре изображения кажутся идентичными, хэш меняется по мере изменения данных. ^{[ 21 ]}

Экспертиза мобильных устройств

Журналы телефонных звонков. Телефонные компании обычно ведут журналы полученных звонков, что может быть полезно при составлении временных рамок и сборе данных о местонахождении людей, когда произошло преступление. ^{[ 22 ]}

Контакты: списки контактов помогают сузить круг подозреваемых из-за их связей с жертвой или подозреваемым. ^{[ 22 ]}

Текстовые сообщения. Сообщения содержат временные метки и остаются на серверах компании в течение неопределенного времени, даже если они удалены на исходном устройстве. По этой причине сообщения служат важными записями общения, которые можно использовать для осуждения подозреваемых. ^{[ 22 ]}

Фотографии. Фотографии могут иметь решающее значение для подтверждения или опровержения алиби, поскольку они отображают место или сцену вместе с отметкой времени, когда фотография была сделана. ^{[ 22 ]}

Аудиозаписи: некоторые жертвы могли записать ключевые моменты борьбы, например, голос нападавшего или подробный контекст ситуации. ^{[ 22 ]}

Неустойчивые данные

Энергозависимые данные — это любые данные , хранящиеся в памяти или находящиеся в пути, которые будут потеряны при отключении питания или выключении компьютера. Непостоянные данные хранятся в реестрах, кеше и оперативной памяти (ОЗУ). Исследование этих нестабильных данных называется «живой криминалистикой».

При изъятии улик, если машина все еще активна, любая информация, хранящаяся исключительно в оперативной памяти и не восстановленная до выключения питания, может быть потеряна. ^{[ 14 ]} Одним из применений «живого анализа» является восстановление данных ОЗУ (например, с помощью Microsoft COFEE инструмента , WinDD, WindowsSCOPE ) перед удалением экспоната. CaptureGUARD Gateway обходит вход в Windows на заблокированных компьютерах, позволяя анализировать и получать физическую память на заблокированном компьютере. ^{[ нужна ссылка ]}

ОЗУ можно проанализировать на предмет предыдущего содержимого после отключения питания, поскольку электрическому заряду, хранящемуся в ячейках памяти, требуется время для рассеивания, и этот эффект используется при атаке с холодной загрузкой . Продолжительность времени, в течение которого данные можно восстановить, увеличивается из-за низких температур и более высоких напряжений ячеек. Хранение отключенной оперативной памяти при температуре ниже -60 °C помогает сохранить остаточные данные на порядок, повышая шансы на успешное восстановление. Однако во время полевого обследования это может оказаться нецелесообразным. ^{[ 23 ]}

Однако некоторые инструменты, необходимые для извлечения нестабильных данных, требуют, чтобы компьютер находился в судебно-медицинской лаборатории, как для поддержания законной цепочки доказательств, так и для облегчения работы на машине. При необходимости правоохранительные органы применяют методы перемещения работающего настольного компьютера. К ним относится устройство для перемещения мыши , которое быстро перемещает мышь небольшими движениями и предотвращает случайный переход компьютера в спящий режим. Обычно источник бесперебойного питания (ИБП) обеспечивает питание во время транспортировки.

Однако один из самых простых способов сбора данных — это фактическое сохранение данных из оперативной памяти на диск. Различные файловые системы с функциями ведения журнала, такие как NTFS и ReiserFS, сохраняют большую часть данных ОЗУ на основном носителе во время работы, и эти файлы подкачки можно повторно собрать, чтобы восстановить то, что находилось в ОЗУ в тот момент. ^{[ 24 ]}

Инструменты анализа

Для компьютерной криминалистики существует ряд инструментов с открытым исходным кодом и коммерческих инструментов. Типичный судебно-медицинский анализ включает в себя ручную проверку материалов средств массовой информации, проверку реестра Windows на наличие подозрительной информации, обнаружение и взлом паролей, поиск по ключевым словам тем, связанных с преступлением, а также извлечение электронной почты и изображений для проверки. ^{[ 11 ]} Autopsy (программное обеспечение) , Belkasoft Evidence Center , Forensic Toolkit (FTK), EnCase — вот некоторые из инструментов, используемых в цифровой криминалистике.

Вакансии в области компьютерной криминалистики

Аналитик цифровой криминалистики

Аналитик цифровой криминалистики отвечает за сохранение цифровых доказательств, каталогизацию собранных доказательств, анализ доказательств в соответствии с текущим делом, реагирование на кибер-нарушения (обычно в корпоративном контексте), написание отчетов, содержащих выводы, и дачу показаний в суде. ^{[ 25 ]} Цифровой судебно-медицинский аналитик также может называться компьютерным судебным экспертом, цифровым судебным экспертом, киберкриминалистом, судебно-медицинским экспертом или другими должностями с аналогичным названием, хотя эти роли выполняют одни и те же обязанности. ^{[ 26 ]}

Сертификаты

Доступно несколько сертификатов компьютерной криминалистики, такие как сертифицированный компьютерный эксперт ISFCE, специалист по цифровой криминалистике (DFIP) и сертифицированный IACRB эксперт по компьютерной криминалистике.

Высшей независимой сертификацией поставщиков (особенно в ЕС) считается CCFP — Certified Cyber Forensics Professional. ^{[ 27 ]}^{[ 28 ]}

Другие, которые стоит упомянуть для США или Азиатско-Тихоокеанского региона: Международная ассоциация специалистов по компьютерным расследованиям предлагает программу сертифицированного компьютерного эксперта.

Международное общество судебных компьютерных экспертов предлагает программу сертифицированного компьютерного эксперта.

Многие коммерческие компании, занимающиеся разработкой программного обеспечения для судебно-медицинской экспертизы, теперь также предлагают собственные сертификаты на свои продукты. Например, Guidance Software предлагает сертификацию (EnCE) для своего инструмента EnCase, сертификацию AccessData (ACE) для своего инструмента FTK, PassMark Software предлагает сертификацию для своего инструмента OSForensics, а X-Ways Software Technology предлагает сертификацию (X-PERT) для их программное обеспечение X-Ways Forensics. ^{[ 29 ]}

См. также

Ссылки

^ Майкл Г. Ноблетт; Марк М. Поллитт; Лоуренс А. Пресли (октябрь 2000 г.). «Извлечение и исследование компьютерных криминалистических доказательств» . Проверено 26 июля 2010 г.
^ «Отчет о преступности в Интернете за 2020 год» (PDF) .
^ «IC3 публикует отчет о преступности в Интернете за 2020 год» . Федеральное бюро расследований . Проверено 17 марта 2023 г.
^ Ясиншак, А.; Эрбахер, РФ; Маркс, Д.Г.; Поллитт, ММ; Соммер, премьер-министр (июль 2003 г.). «Компьютерно-криминалистическое образование». Безопасность и конфиденциальность IEEE . 1 (4): 15–23. дои : 10.1109/MSECP.2003.1219052 .
^ Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Аддисон-Уэсли. п. 392 . ISBN 978-0-201-70719-9 . Проверено 6 декабря 2010 г.
^ Гунш, Г. (август 2002 г.). «Исследование цифровых криминалистических моделей» (PDF) .
^ «Что такое компьютерная криминалистика?» . Западный губернаторский университет . Проверено 4 марта 2022 г.
^ Круз II, Уоррен Г.; Хейзер, Джей Г. (26 сентября 2001 г.). Компьютерная криминалистика: основы реагирования на инциденты . Пирсон Образование. ISBN 978-0-672-33408-5 .
^ Сабри, Фуад (10 июля 2022 г.). Цифровая криминалистика: Как цифровая криминалистика помогает перенести расследование на месте преступления в реальный мир . Один миллиард знающих.
^ Адамс, Р. (2012). « Усовершенствованная модель сбора данных (ADAM): модель процесса для цифровой криминалистической практики» .
^ Jump up to: ^а ^б ^с Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8 .
^ «Поимка серийного убийцы Денниса Рейдера, BTK | Психология сегодня, Южная Африка» . www.psychologytoday.com . Проверено 17 марта 2023 г.
^ Дули, Шон (22 января 2019 г.). «Дочь серийного убийцы БТК: «Мы жили своей обычной жизнью… Потом все перевернулось на нас» » . Новости АВС . Проверено 17 марта 2023 г.
^ Jump up to: ^а ^б Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса . п. 567. ИСБН 978-0-12-374267-4 . Проверено 27 августа 2010 г.
^ «Глава 3: Основы компьютерной криминалистики - Компьютерные расследования: Практическое руководство для юристов, бухгалтеров, следователей и руководителей бизнеса [Книга]» . www.oreilly.com . Проверено 4 марта 2022 г.
^ Гарфинкель, Симсон Л. (1 сентября 2006 г.). «Извлечение признаков и перекрестный анализ» . Цифровое расследование . Материалы 6-го ежегодного семинара по цифровым криминалистическим исследованиям (DFRWS '06). 3 : 71–81. дои : 10.1016/j.diin.2006.06.007 . ISSN 1742-2876 .
^ «EXP-SA: Прогнозирование и обнаружение членства в сети посредством автоматического анализа жесткого диска» .
^ Дэвид, Энн; Моррис, Сара; Эпплби-Томас, Гарет (20 августа 2020 г.). «Двухэтапная модель расследования социальных сетей в цифровой криминалистике» (PDF) . Журнал цифровой криминалистики, безопасности и права . 15 (2). дои : 10.15394/jdfsl.2020.1667 . ISSN 1558-7223 . S2CID 221692362 .
^ https://espace.curtin.edu.au/bitstream/handle/20.500.11937/93974/Adams%20RB%202023%20Public.pdf?sequence=1&isAllowed=y
^ Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . МакГроу Хилл Профессионал. п. 544. ИСБН 978-0-07-162677-4 . Проверено 27 августа 2010 г.
^ Данбар, Б. (январь 2001 г.). «Подробный обзор стеганографических методов и их использования в среде открытых систем» .
^ Jump up to: ^а ^б ^с ^д ^и Поллард, Кэрол (2008). Компьютерная криминалистика для чайников . Джон Уайли и сыновья, Инкорпорейтед. стр. 219–230. ISBN 9780470434956 .
^ Дж. Алекс Халдерман , Сет Д. Шон , Надя Хенингер , Уильям Кларксон, Уильям Пол, Джозеф А. Каландрино, Ариэль Дж. Фельдман, Джейкоб Аппелбаум и Эдвард В. Фельтен (21 февраля 2008 г.). «Чтобы мы не помнили: атаки с холодной загрузкой на ключи шифрования» . Принстонский университет . Проверено 20 ноября 2009 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь ) CS1 maint: несколько имен: список авторов ( ссылка )
^ Гейгер, М. (март 2005 г.). «Оценка коммерческих инструментов контркриминалистической экспертизы» (PDF) . Архивировано из оригинала (PDF) 30 декабря 2014 г. Проверено 2 апреля 2012 г.
^ «Что такое цифровой судебный аналитик?» . Совет ЕС . 2022-12-28. Архивировано из оригинала 28 ноября 2022 г. Проверено 28 декабря 2022 г.
^ «Аналитик-криминалист CISA по киберзащите» . Агентство кибербезопасности и безопасности инфраструктуры (CISA) . 2022-12-28. Архивировано из оригинала 5 ноября 2022 г. Проверено 28 декабря 2022 г.
^ «Сертификация кибербезопасности» . isc2.org . Проверено 18 ноября 2022 г.
^ «Обзоры зарплат CCFP» . ITJobsWatch. Архивировано из оригинала 19 января 2017 г. Проверено 15 июня 2017 г.
^ «Программа сертификации X-PERT» . X-pert.eu . Проверено 26 ноября 2015 г.

Дальнейшее чтение

Практическое руководство по компьютерной криминалистике, первое издание (мягкая обложка), Дэвид Бентон (автор), Фрэнк Гриндстафф (автор)
Кейси, Эоган; Стеллатос, Герасимос Дж. (2008). «Влияние полного шифрования диска на цифровую судебную экспертизу». Обзор операционных систем . 42 (3): 93–98. CiteSeerX 10.1.1.178.3917 . дои : 10.1145/1368506.1368519 . S2CID 5793873 .
Ичжэнь Хуан; ЯнЦзин Лун (2008). «Распознавание демозаики с помощью приложений для аутентификации цифровых фотографий на основе модели квадратичной корреляции пикселей» (PDF) . Учеб. Конференция IEEE по компьютерному зрению и распознаванию образов : 1–8. Архивировано из оригинала (PDF) 17 июня 2010 г. Проверено 18 декабря 2009 г.
Реагирование на инциденты и компьютерная криминалистика, второе издание (мягкая обложка), Крис Проуз (автор), Кевин Мандиа (автор), Мэтт Пепе (автор) «Правда страннее вымысла...» (подробнее)
Росс, С.; Гоу, А. (1999). Цифровая археология? Спасение забытых или поврежденных ресурсов данных (PDF) . Бристоль и Лондон: Британская библиотека и Объединенный комитет информационных систем. ISBN 978-1-900508-51-3 .
Джордж М. Мохай (2003). Криминалистика компьютеров и вторжений . Артех Хаус. п. 395. ИСБН 978-1-58053-369-0 .
Чак Исттом (2013). Системная криминалистика, расследование и реагирование . Джонс и Бартлетт. п. 318. ИСБН 978-1284031058 . Архивировано из оригинала 14 июня 2013 г. Проверено 23 сентября 2013 г.

Связанные журналы

Транзакции IEEE по информационной криминалистике и безопасности
Журнал цифровой криминалистики, безопасности и права
Международный журнал цифровой преступности и криминалистики
Журнал цифровых расследований
Международный журнал цифровых доказательств
Международный журнал судебной информатики
Журнал цифровой криминалистической практики
Криптология
Журнал криминалистики малых цифровых устройств

[noblett-1] Майкл Г. Ноблетт; Марк М. Поллитт; Лоуренс А. Пресли (октябрь 2000 г.). «Извлечение и исследование компьютерных криминалистических доказательств» . Проверено 26 июля 2010 г.

[2] «Отчет о преступности в Интернете за 2020 год» (PDF) .

[3] «IC3 публикует отчет о преступности в Интернете за 2020 год» . Федеральное бюро расследований . Проверено 17 марта 2023 г.

[cf-education-4] Ясиншак, А.; Эрбахер, РФ; Маркс, Д.Г.; Поллитт, ММ; Соммер, премьер-министр (июль 2003 г.). «Компьютерно-криминалистическое образование». Безопасность и конфиденциальность IEEE . 1 (4): 15–23. дои : 10.1109/MSECP.2003.1219052 .

[kruse-5] Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Аддисон-Уэсли. п. 392 . ISBN 978-0-201-70719-9 . Проверено 6 декабря 2010 г.

[gunsch-6] Гунш, Г. (август 2002 г.). «Исследование цифровых криминалистических моделей» (PDF) .

[7] «Что такое компьютерная криминалистика?» . Западный губернаторский университет . Проверено 4 марта 2022 г.

[8] Круз II, Уоррен Г.; Хейзер, Джей Г. (26 сентября 2001 г.). Компьютерная криминалистика: основы реагирования на инциденты . Пирсон Образование. ISBN 978-0-672-33408-5 .

[9] Сабри, Фуад (10 июля 2022 г.). Цифровая криминалистика: Как цифровая криминалистика помогает перенести расследование на месте преступления в реальный мир . Один миллиард знающих.

[theadam-10] Адамс, Р. (2012). « Усовершенствованная модель сбора данных (ADAM): модель процесса для цифровой криминалистической практики» .

[casey-11] Jump up to: ^а ^б ^с Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8 .

[12] «Поимка серийного убийцы Денниса Рейдера, BTK | Психология сегодня, Южная Африка» . www.psychologytoday.com . Проверено 17 марта 2023 г.

[13] Дули, Шон (22 января 2019 г.). «Дочь серийного убийцы БТК: «Мы жили своей обычной жизнью… Потом все перевернулось на нас» » . Новости АВС . Проверено 17 марта 2023 г.

[handbook-14] Jump up to: ^а ^б Разное (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса . п. 567. ИСБН 978-0-12-374267-4 . Проверено 27 августа 2010 г.

[15] «Глава 3: Основы компьютерной криминалистики - Компьютерные расследования: Практическое руководство для юристов, бухгалтеров, следователей и руководителей бизнеса [Книга]» . www.oreilly.com . Проверено 4 марта 2022 г.

[16] Гарфинкель, Симсон Л. (1 сентября 2006 г.). «Извлечение признаков и перекрестный анализ» . Цифровое расследование . Материалы 6-го ежегодного семинара по цифровым криминалистическим исследованиям (DFRWS '06). 3 : 71–81. дои : 10.1016/j.diin.2006.06.007 . ISSN 1742-2876 .

[nsf-17] «EXP-SA: Прогнозирование и обнаружение членства в сети посредством автоматического анализа жесткого диска» .

[18] Дэвид, Энн; Моррис, Сара; Эпплби-Томас, Гарет (20 августа 2020 г.). «Двухэтапная модель расследования социальных сетей в цифровой криминалистике» (PDF) . Журнал цифровой криминалистики, безопасности и права . 15 (2). дои : 10.15394/jdfsl.2020.1667 . ISSN 1558-7223 . S2CID 221692362 .

[19] ttps://espace.curtin.edu.au/bitstream/handle/20.500.11937/93974/Adams%20RB%202023%20Public.pdf?sequence=1&isAllowed=y

[exposed-20] Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . МакГроу Хилл Профессионал. п. 544. ИСБН 978-0-07-162677-4 . Проверено 27 августа 2010 г.

[dunbar-21] Данбар, Б. (январь 2001 г.). «Подробный обзор стеганографических методов и их использования в среде открытых систем» .

[:02-22] Jump up to: ^а ^б ^с ^д ^и Поллард, Кэрол (2008). Компьютерная криминалистика для чайников . Джон Уайли и сыновья, Инкорпорейтед. стр. 219–230. ISBN 9780470434956 .

[ColdBoot-23] Дж. Алекс Халдерман , Сет Д. Шон , Надя Хенингер , Уильям Кларксон, Уильям Пол, Джозеф А. Каландрино, Ариэль Дж. Фельдман, Джейкоб Аппелбаум и Эдвард В. Фельтен (21 февраля 2008 г.). «Чтобы мы не помнили: атаки с холодной загрузкой на ключи шифрования» . Принстонский университет . Проверено 20 ноября 2009 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь ) CS1 maint: несколько имен: список авторов ( ссылка )

[geiger-24] Гейгер, М. (март 2005 г.). «Оценка коммерческих инструментов контркриминалистической экспертизы» (PDF) . Архивировано из оригинала (PDF) 30 декабря 2014 г. Проверено 2 апреля 2012 г.

[25] «Что такое цифровой судебный аналитик?» . Совет ЕС . 2022-12-28. Архивировано из оригинала 28 ноября 2022 г. Проверено 28 декабря 2022 г.

[26] «Аналитик-криминалист CISA по киберзащите» . Агентство кибербезопасности и безопасности инфраструктуры (CISA) . 2022-12-28. Архивировано из оригинала 5 ноября 2022 г. Проверено 28 декабря 2022 г.

[27] «Сертификация кибербезопасности» . isc2.org . Проверено 18 ноября 2022 г.

[28] «Обзоры зарплат CCFP» . ITJobsWatch. Архивировано из оригинала 19 января 2017 г. Проверено 15 июня 2017 г.

[29] «Программа сертификации X-PERT» . X-pert.eu . Проверено 26 ноября 2015 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

v т и Цифровая криминалистика
Branches	Computer forensics Mobile device forensics Network forensics Database forensics Software forensics
Hardware	Forensic disk controller
Software	ADF Solutions Digital Evidence Investigator EnCase Foremost FTK PTK Forensics The Sleuth Kit The Coroner's Toolkit COFEE HashKeeper Xplico
Certification	Certified Forensic Computer Examiner (CFCE) Global Information Assurance Certification
Processes	Digital forensic process Data acquisition Digital evidence eDiscovery Anti–computer forensics
Organisations	National Software Reference Library Department of Defense Cyber Crime Center National Hi-Tech Crime Unit (NHTCU) Australian High Tech Crime Centre (AHTCC)
People	Mary Aiken Annie Antón Rebecca Bace Josh Brunty Eoghan Casey Hany Farid Simson Garfinkel Clifford Stoll Robert Zeidman
Glossary of digital forensics terms