2、大数据法医调查入门

大数据法医调查入门

计算机取证概述

计算机取证是一个涉及识别、收集、分析和呈现数字证据的领域。法医调查的目标包括：
1. 正确定位所有相关数据。
2. 以合理的方式收集数据。
3. 进行能准确描述事件的分析。
4. 清晰地呈现调查结果。

取证是一个技术领域，很多过程需要深入的技术理解以及使用技术工具和技术。根据调查的性质，取证可能还涉及法律方面的考虑，如证据损毁以及如何在法庭上呈现证据。

计算机取证以证据为核心。证据是事实的证明，可以在法庭上用于通过逻辑确立事实来证明或反驳某项主张或问题。存在多种类型的法律证据，如实物、文件和宣誓证词等。法医证据属于这些法律证据类别，可以在法庭上呈现。从更广泛的意义上说，法医证据是数据的信息内容以及关于数据的信息。

法医证据有多种形式，如电子邮件、数据库、整个文件系统和智能手机数据等。证据可以是文件、记录和其他逻辑数据容器中包含的信息。证据不仅包括逻辑数据容器的内容，还包括相关的元数据。元数据是由文件系统、内容管理系统或其他容器存储的关于数据的任何信息，可用于确定数据的生命周期信息（例如作者和最后修改日期）。元数据可以与数据结合，形成关于数据的何人、何事、为何、何时、何地以及如何等方面的故事。证据还可以是已删除的文件、文件片段和内存中数据的内容。

为了使证据在法庭上可接受或被他人认可，数据必须被正确识别、收集、保存、记录、处理和分析。虽然证据本身至关重要，但识别、收集和处理数据的过程对于证明数据未被以任何方式更改也很关键。该过程应遵循法庭认可并由技术标准支持的最佳实践。分析和呈现也必须遵循最佳实践，以确保证据的可采性和受众的理解。最后，必须维护整个过程的文档，并在需要