信管网考友

什么是信息安全工程师计算机取证

信管网考友

计算机取证是指能够为法庭所接受的、存在于计算机和相关设备中的电子证据的确认、保护、提取和归档的过程。

信管网考友

计算机取证需要重构犯罪行为

信管网考友

计算机取证主要是围绕电子证据进行的

信管网考友

电子证据具有无形性

信管网考友

那为了保证调查工具的完整性，需要对所有工具进行加密处理吗

信管网考友

本题知识点：信息安全

调查工具需确保其完整性，要在合法和确保安全的机器上制作这些工具盘，并且还需要制作出所有程序的文件散列值(如MD5、SHA) 校验列表。以便于事后在必要时(如在法庭上)证明所使用取证工具的合法性和唯一性。同样，对初始收集到的电子证据也应该有文件散列值记录，必要时可以采用多种散列值，以确保证据的完整性。计算机取证主要是围绕电子证据进行的，电子证据具有高科技性、无形性和易破坏性等特点；

计算机取证可归纳为以下几点：

是一门在犯罪进行过程中或之后收集证据的技术；需要重构犯罪行为；将为起诉提供证据；对计算机网络进行取证尤其困难，且完全依靠所保护的犯罪场景的信息质量。其目的是要将犯罪者留在计算机中的"痕迹"作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。