零基础入门电子数据取证
电子数据基础
什么是电子数据
电子数据可以是人为生成、自动生成或者两者结合下生成的。
人为生成的电子数据是以用户的主观意志创造、复制或者衍生出的新数据,使用户主动创造的痕迹,一般不会特意清除。比如使用邮件客户端收发的邮件、通过下载工具下载资料等。
自动生成的电子数据是操作系统或者应用系统自动生成的记录一定信息的数据,不被用户的主观意志左右。通常这些数据是从系统启动开始,在用户不经意间不断产生的,而且会在用户的使用过程中随时变化,比如操作系统的开关机时间、USB设备的插拔记录、通过浏览器上网产生的缓存记录等。
用户痕迹的特点
人为、自动和两者结合的方式产生的用户痕迹数据贯穿了使用计算机等设备的整个过程,也使得第三方调查者能够通过调查这些痕迹数据对嫌疑人进行用户行为串联和分析,从而给还原案件的真相提供了可能。
用户痕迹电子数据具备着电子数据的普遍特点:无形性、多样性、客观性、易破坏性、隐蔽性等。
由于痕迹产生于用户使用计算机等设备的过程中,因此还具备着记录用户操作历史、行为轨迹、通信记录、密码信息等隐私数据的特点。