11、多媒体取证与计算机取证的区别解析

多媒体取证与计算机取证的区别解析

1. 现实犯罪与证据调查

在现实世界中，法医调查人员和犯罪者处于相同的现实环境，受相似的物理和认知限制。即便最狡猾的犯罪者，也难以确保其“对现实的篡改”与未发生犯罪行为时的（想象中的）现实完全一致。所以，实施“完美犯罪”并隐藏所有痕迹是极其困难的。仔细调查物理证据，很可能得出可靠的证据事实，或者一无所获（当然，人为失误的可能性始终无法完全排除）。

2. 计算机取证

2.1 计算机取证的常规理解

计算机作为现实世界的物理机器，乍看之下，如果接受可分性和转移原则，这些原则似乎也适用于计算机取证。然而，人们谈及计算机取证时，往往默认法医分析仅限于计算机所代表的有限自动机状态中存储的数字证据。这意味着采用了一种对现实的观察模型，其视角大幅受限：比特本身只是理论概念，不携带关于其历史的额外信息。例如，常见做法是复制计算机中存储的数字证据，并仅基于这个（只读）副本进行进一步调查，这就是这种观察模型的体现。这种观察模型还表明，在计算机取证中，物质的可分性并不相关，而特征转移仍是计算机取证理论的一个可能基础。

2.2 数字证据可靠性问题

由于封闭系统中的状态数量有限，狡猾的犯罪者总有不小的机会让计算机处于一种能完美消除所有痕迹的状态。假设计算机的所有持久状态都存储在硬盘上，犯罪者可以通过从可引导光盘启动计算机（且不改变磁盘上的任何内容）来实现这一点。

不过，在实践中完全消除所有痕迹并非易事。需要控制的可能状态数量会迅速增长到难以处理的程度。如今，标准个人电脑配备约 100GB 的磁盘空间，这大约对应 2^1011 种状态，相比之下，宇宙中的原子数量估计约为 2^103。特