ขั้นตอนในการนำหลักฐานที่อยู่ในฮาร์ดดีสก์ของคอมพิวเตอร์ไปใช้ในศาล
การนำหลักฐานที่อยู่ในฮาร์ดดีสก์ของคอมพิวเตอร์ไปใช้ในศาล สิ่งแรกที่ผู้เชี่ยวชาญด้านตรวจสอบหลักฐานคอมพิวเตอร์จะดำเนินการ การทำสำเนาข้อมูล(image file)จากฮาร์ดดีสก์ที่เป็นหลักฐาน และทำการเข้ารหัสเพื่อสร้างหมายเลขของข้อมูล เช่นการทำ MD5 เพื่อใช้ยืนยันว่าหลักฐานไม่ได้มีการเปลี่ยนแปลง
การนำหลักฐานที่อยู่ในฮาร์ดดีสก์ของคอมพิวเตอร์ไปใช้ในศาล สิ่งแรกที่ผู้เชี่ยวชาญด้านตรวจสอบหลักฐานคอมพิวเตอร์จะดำเนินการ การทำสำเนาข้อมูล(image file)จากฮาร์ดดีสก์ที่เป็นหลักฐาน และทำการเข้ารหัสเพื่อสร้างหมายเลขของข้อมูล เช่นการทำ MD5 เพื่อใช้ยืนยันว่าหลักฐานไม่ได้มีการเปลี่ยนแปลง
ผู้เชี่ยวชาญด้านตรวจสอบหลักฐานคอมพิวเตอร์จะทำ image file โดยใช้ซอฟแวร์ทางด้าน Computer Forensics เช่น Encase หรือ FTK ซึ่งซอฟท์แวร์เหล่านี้สามารถสร้างและตรวจสอบ image file ใน ฮาร์ดดีสก์และหากค่า MD5 ที่ถูกคำนวณขึ้นโดยซอฟท์แวร์ ตรงกับค่าที่ถูกสร้างขึ้นจาก image file ที่ได้สสร้างไว้แล้วนั้น แสดงว่าหลักฐานไม่ได้มีการเปลี่ยนแปลง หากค่า MD5ไม่ตรงกันแล้วก็เป็นไปได้ว่าหลักฐานนั้นอาจมีการเปลี่ยนแปลง
image file ที่มีการสร้างขึ้นสามารถใช้ซอฟแวร์ทางด้านComputer Forensics ในการดูข้อมูล ซึ่งจะไม่ได้มีการเข้าไปเปลี่ยนแปลงข้อมูลในฮาร์ดดีสก์ ซึ่งซอฟแวร์ทางด้านComputer Forensics เช่น Encase หรือ FTK จะมีความสามารถในการค้นหาและข้อมูลในฮาร์ดดีสก์เช่น ไฟล์ข้อมูลที่ต้องสงสัยหรือรายละเอียดการใช้งานของเครื่องและทำเป็นรายงานสรุปออกมาและนำข้อมูลนั้นมาเป็นหลักฐานต่อไป
Free Consult with Expert 02-714-3801#1
http://www.orioninv.co.th/th/s_hitech1.html
No comments:
Post a Comment