刑事犯罪現場勘察---對於關閉電源的計算機設備實施勘查(sprite譯)
2、讓現場所有打印機完成打印工作;
3、清離所有計算機及電源周邊人員;
4、在任何情況下,不允許開啟計算機;
5、確認計算機確實已經關閉——某些屏幕保護程序表現為計算機關閉狀態,但硬盤驅動器和顯示器指示燈會證明計算機仍然處於運行狀態;
6、要明確,如果打開某些筆記本計算機機蓋,計算機會啟動。
7、卸除筆記本計算機電池;
8、拔下計算機電源及所有連線——計算機關機時可能處於休眠模式,可以被遠程喚醒,並造成數據變更或文件刪除;
9、標記並現場拍照(或攝像)現場各種設備。如果沒有照相機,可以畫一個系統草圖;
10、標記所有端口及連線,以便日後可以重建計算機狀態;
11、小心搬動各種設備,並記錄特徵標識——主機、顯示器、鍵盤和其他設備都會有不同標識;
12、確保對所有物品都已簽字,比粘貼有完整的標識。如果缺少任何步驟可能對後續工作造成困難,設備也可能最終被分析員退回。
13、搜尋記錄有口令的日記、筆記本或小紙條,它們可能就在計算機的附近區域;
14、詢問嫌疑人是否有相關口令,如果有,準確記錄下來;
15、詳細記錄所有與計算機的相關操作
應該被封存的相關證據:
1、主機
2、顯示器、鍵盤和鼠標
3、連接線
4、電源適配器
5、硬盤
6、軟件狗
7、調制解調器(有些包含有電話號碼)
8、外置驅動器和其他外接設備
9、無線網卡
10、數字相機
11、軟盤
12、備份磁帶
13、JAZ或ZIP盤
14、CD
15、DVD
16、PCMCIA卡
18、閃存卡
注意:在裝上述物品的專用保存袋上貼標籤,不要直接貼在物品上。
轉自計算機取證技術
發表文章
0 意見: