收集电子证据应注意的八个问题(二)如何选择证据源
四、如何选择证据源
1. 选择备份磁带。
一个最丰富的证据来源就是哪些为防止系统瘫痪丢失数据而作的日常备份。这种信息通常都储存在高容量的磁带上,但实际上它可以存在于任何一种介质上。
备份磁带通常能容纳一个组织包括每天的电子邮件在内的全部数据。普通的备份程序每周对全部文件作一次备份,每月的最后一周做月备份。
用于周备份的磁带通常被洗掉再用,而月备份则被保存起来,保存期从六个月到几年不等。一个公司保存了从该公司的计算机系统建立之日起的全部备份磁带已不是什么新鲜事。
当我们在收集证据的过程中收集备份磁带时,一定要了解这些磁带是如何制作的,既包括采用的程序也包括制作中应用的具体的软件和硬件。
因为随着时间的推移,成百上千种不同的备份程序被开发使用,所以有时候离开了当初制作备份时使用的硬件或软件,就无法恢复备份的信息。
2. 收集磁盘。
被用户有选择性的存储于磁盘或其他便携式介质中的资料是一个丰富却又易被忽视的证据来源。基于几种原因,用户会使用磁盘存储资料。
一是用户为关键性的文件创建“特定备份”以防某一重要文档或文件丢失;
二是用户复制电子邮件以防它们被自动清理程序删除;再有就是用磁盘存储那些他们不想放在公司计算机上的资料。
磁盘的存放地点是不特定的,有时我们会在证人的桌子里找到几张磁盘。因此,收集和查看所有重要证人的磁盘是全面检查电子证据过程中的重要环节。
3.询问每位证人使用计算机的情况。
除了对计算机系统本身的探究之外,对每位证人使用计算机的情况也必须加以询问。使用计算机的熟练程度因人而异,差别很大。
了解每位证人如何使用他(或她)的计算机、如何管理和储存资料将帮助我们找到那些在指向总体计算机系统的搜寻中未能发现的一些资源。这种搜寻不能忽视重要证人的秘书和辅助人员,因为通常证人的文件会存在他(或她)的助理人员的计算机上。
还有一个最容易被人们忽视的电子证据的来源,那就是家用电脑。
办公用计算机上的资料进入家用电脑的途径有两种:
一是通过磁盘或其他便携式介质转移;
二是雇员被允许从家用电脑上登陆公司的网络。
在后面一种情况下,家用电脑就如同该雇员所在公司里的一个工作站。
收集证据的过程中,关键是要查明证人是否在家里工作以及数据是如何在家用电脑和公司电脑间转移的。
掌上型电脑设备和笔记本电脑是证据的又一来源。掌上型电脑设备包括电子通讯簿以及象苹果公司生产的“牛顿”和国产的“商务通”这类功能更为强劲的产品。
除了存储日历和联络信息之外,这类设备还有记事和接收邮件等功能。比这些设备性能更为优越的当属笔记本电脑了。
笔记本往往被几位用户共同使用。虽然笔记本电脑可能不是证人的主要工作站,但它仍然会包含一些重要的信息。
因此,一定要了解证人对掌上型电脑设备和笔记本电脑的使用情况以及这些设备中存储了哪些资料。
4.制作镜像拷贝。
大家都知道,被删除的文件或其他“残留”数据可在硬盘驱动器和软盘上得到恢复。如何才能获得这些资料呢?要回答这个问题,首先让我简要的解释一下为什么会存在“残留”数据。
使用计算机进行工作时,“删除”这个词并不意味着消灭。
当一个文件被删除时,计算机把这个文件占有的空间配置给新的数据。
所谓“删除”是指从目录列表和文件配置桌面上移走,但在被新的数据改写或是被实用软件“擦”去之前,这些文件的全部内容依然保留在硬盘里。
所以,一个被删除的文件仍然可以在磁盘表面恢复。残留数据就包括被删除的文件、被删除的文件碎片和其他存在于磁盘表面的数据。
为确保得到这些残留数据,你必须对目标驱动器做镜像拷贝。相比之下,文件对文件的拷贝(仅选择你想要复制的文件)只能捕捉到选定的特定文件中的数据。
即使选择了全部文件,文件对文件的拷贝也不能捕捉到任何残留数据。
