取证、证据收集与数据采集

Question

我是新来的法医。我想了解证据收集和数据采集之间的区别吗？您如何称呼下列事件：

• 在实时系统上对RAM进行成像；
• 从运行中的web服务器检索日志；

Answer 1

据我所知，evidence通常被定义为

以数字形式存储或传输的具有证明价值的信息

因此，证据是法院可以用来支持你的案件的信息。

当您从日志、数据文件或图像等源获取数据时，您将对其进行分析，并发现其中是否有任何可疑之处可以帮助您在法庭上审理案件。所以当你问

对动态系统上的RAM进行成像；从运行中的RAM服务器检索日志；

这些都是您获取数据以执行调查的来源。你看看里面，找到一些可信的价值，以帮助你的案件在法庭上。如果您发现某个恶意进程正在使用RAM，那么它将成为证据。如果您没有在日志文件中找到任何内容，则可以将它们保存在案例文件中，而不管它是否有价值。就像真实的物证。如果有血迹的蝙蝠身上有指纹就足以证明犯罪，那么在你去犯罪现场的时候展示狗的脚印是没有意义的，以防万一。这些在技术上是调查队的财产，并作为证据保存在他们的案件档案中。

我希望你明白这个想法。:)

Answer 2

证据收集实际上是收集和收集所有需要用于数据获取的数据。任何你能使用的东西都能帮助你收集数据，不管你想要使用的是什么。然后，您将使用收集到的所有数据来编写一份详细的报告，该报告可以用来作为从对内存和服务器上的日志进行成像所收集的证据的详细报告。

另外，Cain7.0是一个很好的操作系统，可以下载到虚拟机上来练习你的取证。任何捕获涉及计算机取证的标志都是很好的做法。