Некоторые особенности криминалистической экспертизы компьютерных данных:
- Неявный вид информации. 2 Для её восприятия необходимы специальные средства. 2
- Возможность уничтожения или модификации в кратчайшие сроки и удалённо. 2
- Наличие специальных средств, ограничивающих доступ к данным. 2
- Постоянное изменение информации в ходе работы пользователя и выполнения различных операций. 2
- Формирование взаимосвязанной информации на различных устройствах одновременно при передаче данных по каналам связи. 2
Перечисленные свойства цифровых данных обусловливают необходимость соблюдения определённых правил при фиксации и изъятии цифровых доказательств, а также их судебно-экспертном исследовании. 2
Некоторые виды криминалистической экспертизы компьютерных данных:
- Экспертиза дисков. 5 Эксперты используют данные, восстановленные с физических устройств хранения данных, для восстановления удалённых и скрытых разделов. 5
- Сетевая криминалистика. 5 Подразумевает исследование сетевого трафика для сбора доказательств, касающихся инцидентов безопасности в системах, несанкционированного доступа или любой другой вредоносной активности, произошедшей в системе. 5
- Криминалистика базы данных. 5 Это процесс сбора информации, содержащейся в базе данных, как данных, так и связанных с ними метаданных. 5
- Экспертиза памяти. 5 Фокусируется на сборе информации в энергозависимой памяти компьютера (ОЗУ) и кеше для извлечения информации, которая либо активна, либо находится в режиме гибернации. 5
- Мобильная криминалистика. 5 Процедура включает в себя использование специального программного обеспечения с функциями извлечения, исследования и восстановления данных, которые хранятся на устройствах (смартфонах, планшетах и устройствах GPS). 5