当安然公司于2001年12月宣布破产时,数百名员工失业,而一些高管似乎从公司倒闭中获益。美国国会在听到公司不当行为的指控后决定展开调查。国会的大部分调查都依赖于计算机文件作为证据。一支专业的侦探队伍开始使用计算机取证技术搜查数百台安然员工的电脑。
计算机取证技术的目的是搜索、保存和分析计算机系统上的信息,以找到审判的潜在证据。侦探在犯罪现场调查中使用的许多技术都有数字对应物,但计算机调查也有一些独特的方面。
广告
例如,仅仅打开一个计算机文件就会改变该文件——计算机会在文件本身记录访问时间和日期。如果侦探扣押一台计算机然后开始打开文件,就无法确定他们是否更改了任何内容。当案件提交法庭时,律师可以质疑证据的有效性。
有些人认为使用数字信息作为证据是个坏主意。如果计算机数据很容易更改,它怎么能作为可靠证据使用呢?许多国家允许在审判中使用计算机证据,但如果数字证据在未来案件中被证明不可靠,这种情况可能会改变。
计算机变得越来越强大,因此计算机取证领域必须不断发展。在计算机早期,由于存储容量非常低,单个侦探就可以整理文件。如今,硬盘能够存储千兆字节甚至兆兆字节的数据,这是一项艰巨的任务。侦探们必须发现新的方法来搜索证据,而无需为此过程投入过多资源。
计算机取证的基础是什么?调查人员可以寻找什么,以及他们在哪里寻找?在下一节中找出答案。
广告