جرم شناسي رايانه اي
علم جرم شناسي رايانه اي(به عنوان شاخه اي از جرم شناسي ديجيتال) به شواهد و مدارک قانوني موجود در رايانه ها و محيطهاي ديجيتالي ذخيره سازي اطلاعات مي پردازد. هدف جرم شناسي ديجيتال ،ارائه توضيح پيرامون وضعيت فعلي يک ابزار ديجيتالي مثل سيستم کامپيوتر، رسانه ذخيره سازي (مثل ديسک سخت يا CD-ROM) يک سند الکترونيکي(مثل يک پيام ايميل يا تصوير JPEG) مي باشد. گستره فعاليت يک تحليل جرم شناسي، از بازيابي اطلاعات ساده تا بازسازي يک سري رويداد را دربرمي گيرد.
سنجشهاي خاصي براي انجام تحقيقات جرم شناسي وجود دارد که نتايج آن مي تواند در دادگاه مورد استفاده قرار گيرد. هدف تکنيکهاي جرم شناسي رايانه اي، جستجو، حفظ و آناليز اطلاعات موجود بر روي سيستم هاي کامپيوتري به منظور يافتن شواهد ومدارک احتمالي براي يک دادرسي است. بسياري از تکنيکهايي که کارآگاهان از آنها در تحقيقات صحنه جرم استفاده مي کنند داراي المثني ديجيتالي هستند، اما تحقيقات کامپيوتري داراي برخي جنبه هاي منحصربفرد نيز مي باشد. براي مثال، تنها باز کردن يک فايل کامپيوتري باعث تغيير آن مي شود(کامپيوتر، زمان و تاريخ دسترسي به فايل را بر روي خود آن ثتب مي کند).
اگر کارآگاهان يک کامپيوتر را توقيف نموده و سپس شروع به باز کردن فايلها نمايند، هيچ راهي وجود نخواهد داشت که مطمئن باشند چيزي را تغيير نداده اند. وکلاي مدافع مي توانند در هنگام رجوع پرونده به دادگاه به اعتبار اين مدارک اعتراض نمايند.
بعضي از مردم معتقداند که استفاده از اطلاعات ديجيتال بعنوان شواهد و مدارک يک پرونده ايده چندان خوبي نيست اگر تغيير دادهاي کامپيوتري تا اين اندازه آسان است، چگونه مي توان از آنها بعنوان يک مدرک قابل اعتماد استفاده کرد؟ بسياري از کشورها ،استفاده از مدارک کامپيوتري در طول دادرسيها را مجاز مي دانند، اما اگر مدارک کامپيوتري در پرونده هاي آتي غير قابل اعتماد به نظر برسند اين وضعيت احتمالاًً تغيير خواهد کرد.
کامپيوترها دائما قدرت بيشتري پيدا مي کنند، بنابراين حوزه جرم شناسي رايانه اي بايستي طور مستمر رشد و تکامل پيدا کند. در روزهاي اوليه دوران کامپيوتر، اين امکان براي يک کارآگاه تنها وجود داشت تا تمام فايلها را بررسي و دسته بندي نمايد زيرا ظرفيت ذخيره سازي در آن زمان بسيار محدود بود.
امروزه با پيدايش درايوهاي ديسکهاي سختي که قادر به نگهداري چند ترابايت اطلاعات درايوهاي ديسک سختي که قادر به نگهداري چند ترابايت اطلاعات هستند، اينکار به يک تلاش طاقت فرسا تبديل مي شود. کارآگاهان بايد شيوه هاي جديدي را براي جستجوي شواهد و مدارک پيدا کنند، بدون آنکه نيازي به تخصيص منابع بيش از حد به اين فرآيند داشته باشند.
اما اصول جرم شناسي رايانه اي چيست؟ تيم تحقيق قادر به جستجوهاي چه مواردي است وکجا به جستجوي اين موارد مي پردازد؟ در ادامه با بررسي پاسخ اين پرسشها مي پردازيم.
دادگاهها آموختند که مدارک کامپيوتري به آساني تحريف مي شوند، از بين مي روند ويا تغيير مي کنند.
ماموران تحقيق متوجه شده اند که بايد ابزارهاي وفرآيندهاي خاصي را که براي جستجوي کامپيوترها به منظور يافتن مدارک و شواهد، آن هم بدون تاثيرگذاري برخود اطلاعات، توسعه دهند.
کارآگاهان براي تشريح رويه ها و ابزارهاي مناسبي که بايستي از آنها براي بازيابي مدارک از يک کامپيوتر استفاده نمايند، با متخصصين کامپيوتري همکاري کردند. آنها تدريجا رويه هايي را توسعه دادند که اکنون حوزه جرم شناسي رايانه اي را تشکيل مي دهند.
کارآگاهان معمولا بايد يک مجوز را براي جستجوي کامپيوتر متهم جهت يافتن مدارک احتمالي دريافت کنند. اين مجوز بايد مکانهايي که کارآگاهان مي توانند جستجو کنند و نوع مدارکي که مي توانند به جستجوي آنها بپردازند را مشخص نموده باشد. بعبارت ديگر ،يک کارآگاه نمي تواند صرفاً يک مجوز را ارائه نموده وسپس به هرجايي که مايل است سرک بکشد تا موارد مشکوکي را پيدا کند .بعلاوه، شرايط مجوز نمي توانند بيش از حدکلي باشند. اکثر قضات ،کارآگاهان را ملزم مي کنند تا در هنگام درخواست يک مجوز براي اينگونه تحقيقات تا حد امکان صريح باشند.
به همين دليل، براي کارآگاهان بسيار مهم است که پيش از درخواست يک مجوز تا حدامکان درباره متهم تحقيق نمايند. اين مثال را در نظر بگيريد: يک کارآگاه يک مجوز را براي جستجوي کامپيوتر لپ تاپ يک متهم دريافت مي کند. کارآگاه به منزل متهم مي رسد و مجوز را ارائه مي نمايد. کارآگاه پس از ورود به منزل متهم متوجه مي شود که او يک کامپيوتر دسک تاپ نيز دارد. کارآگاه قانونا نمي تواندPC دسک تاپ متهم را جستجو نمايد زيرا در مجوز اوليه به آن اشاره نشده است.
هر تحقيق کامپيوتري ،تا حدودي منحصربفرد است. ممکن است تکميل بعضي از تحقيقات کامپيوتري تنها به يک هفته زمان نياز داشته باشد، اما گروه ديگري از اين پرونده ها مي توانند ماهها طول بکشند. بعضي از عواملي که مي توانند بر طول يک تحقيق تاثير بگذارند عبارتند از:
* مهارت کارآگاهان
* تعداد کامپيوترهايي که بايد جستجو شوند
* حجم انباره ذخيره سازي که کارآگاهان بايد به بررسي و دسته بندي آن بپردازند (درايوهاي ديسک سخت،CDها، DVDها و درايوهاي Flash)
* آيا متهم تلاش مي کند تا اطلاعات را حذف يا مخفي نمايد يا خير
* وجود فايلهاي رمزگذاري شده و يا فايلهايي که با کلمه عبور محافظت شده اند.
* ضبط سيستم کامپيوتري، براي تضمين اينکه تجهيزات و داده هاي آن در امنيت قرار دارند. اين بدان معني است که کارآگاهان بايد مطمئن شوند که هيچ فرد غيرمجازي نمي تواند به کامپيوتر و ابزارهاي ذخيره سازي مورد بحث تحقيقات، دسترسي پيدا کند. اگر سيستم کامپيوتري به اينترنت متصل است کارآگاهان بايد اين ارتباط را قطع نمايند.
* يافتن هر فايلي که بر روي سيستم کامپيوتري قرار دارد، شامل فايلهاي رمزنگاري شده، فايلهايي که با کلمه عبور محافظت شده اند، فايلهاي مخفي و فايلهايي که حذف گرديده اما هنوز اطلاعاتي بر روي آنها نوشه نشده است.
کارآگاهان بايد از تمام فايلهاي موجود بر روي سيستم، يک کپي تهيه کنند. اين کپي، فايلهاي موجود بر روي درايو ديسک سخت کامپيوتر و يا ساير ابزارهاي ذخيره سازي آن را در بر مي گيرد. از آنجاييکه دسترسي به يک فايل مي تواند آن را تغيير دهد، بسيار مهم است که کارآگاهان در هنگام جستجو براي يافتن مدارک و شواهد تنها از کپي هاي فايلها استفاده نمايند. سيستم اصلي بايستي دست نخورده و محافظت شده باقي بماند.
* بازيابي اطلاعات حذف شده تا حد امکان با استفاده از نرم افزارهاي کاربردي که داده هاي حذف شده را تشخيص داده و بازيابي مي نمايند.
* آشکار نمودن محتواي تمام فايلهاي مخفي با برنامه هايي که براي تشخيص وجود داده هاي مخفي طراحي شده اند.
* رمزگشايي و دسترسي به فايلهاي محافظت شده
* آناليز نواحي خاص ديسکهاي کامپيوتر، شامل بخشهايي که معمولا غير قابل دسترسي هستند(در زبان کامپيوتري، فضاي بلااستفاده بر روي درايو يک کامپيوتر را فضايUnallocatedمي نامند) اين فضا مي تواند حاوي فايلها و يا قطعاتي از فايلهايي باشد که به پرونده مورد نظر ارتباط دارند.
* مستند سازي تمام مراحال فرآيند جستجو. براي کارآگاهان بسيار مهم است که اثبات کنند تحقيقات آنها تمام اطلاعات موجود را بر روي سيستم کامپيوتري را بدون تغيير و يا آسيب ديدگي حفظ کرده است. ممکن است يک فاصله چند ساله در بين فرآيند تحقيق و دادرسي وجود داشته باشد و بدون مستندسازي صحيح، مدارک قابل استفاده نخواهند بود.
Robbinsمعتقد است که مستندسازي بايستي نه تنها تمام فايلها و داده هاي بازيابي شده از سيستم را در بر گيرد، بلکه بايد شامل يک گزارش در مورد چيدمان فيزيکي سيستم و اينکه آيا فايلهايي رمزگذاري يا مخفي شده بوده اند يا خير نيزباشد.
*آمادگي براي شهادت در دادگاه به عنوان يک شاهد خبره در بازجويي کامپيوتري . حتي زمانيکه تحقيقات به پايان مي رسد ،وظيفه کاراگاهان تمام نشده است .ممکن است هنوز براي ارائه شهادت در دادگاه به حضور آنها نياز باشد.
تمام اين مراحل داراي اهميت هستند اما اولين قدم بسيار تعيين کننده خواهد بود. اگر ماموران تحقيق نتوانند ثابت کنند که سيستم کامپيوتري را دست نخورده حفظ نموده اند، مدارکي که پيدا مي کنند قابل قبول نخواهند بود.
در روزهاي آغازين عصر کامپيوتر، سيستم مي توانست شامل يکPC و چند ديسک فلاپي باشد. امروزه يک سيستم مي تواند شامل چندين کامپيوتر، ديسک، درايوهاي Flash، درايوهاي خارجي، تجهيزات جانبي و سرورهاي وب باشد.
بعضي از مجرمين ،راههايي را پيدا کرده اند تا کار ماموران تحقيق را براي يافتن اطلاعات برروي سيستمهاي خود بيش از پيش دشوار نمايند. آنها از برنامه ها و نرم افزارهاي کاربردي استفاده مي کنند که تحت عنوانAnti-Forensicشناخته مي شوند. اگر کارآگاهان بخواهند به اطلاعات موجود در سيستمهاي کامپيوتري مجهز به اينگونه ابزارها دسترسي پيدا کنند ،بايد از وجود و نحوه غيرفعال نمودن آنها آگاهي داشته باشند.
p class="p2"> Anti-Forensic<
ابزارهايAnti-Forensic مي توانند بدترين کابوس يک کارآگاه کامپيوتري باشند. برنامه نويسان ابزارهاي Anti-Forensicرا طراحي مي کنند تا بازيابي اطلاعات در طول يک تحقيق را دشوار و يا غير ممکن نمايند.
Anti-Forensic اساسا به هر تکنيک، ابزار و يا نرم افزار طراحي شده براي مختل نمودن تحقيقات کامپيوتري اشاره دارد.
راههاي متعددي وجود دارند که افراد مي توانند اطلاعات خود را از طريق آنها مخفي کنند. بعضي از برنامه ها مي توانند کامپيوترها را با تغيير اطلاعات داخل هدر فايلها فريب دهند. يک هدر فايل معمولا براي انسانها غير قابل مشاهده است. اما از اهميت فوق العاده اي برخوردار مي باشد(هدر فايل به کامپيوتر مي گويد که به جه نوع فايلي تعلق دارد). اگر يک فايلMP3 را بصورتي تغيير نام دهيد که يک پسودندgif داشته باشد، کامپيوتر بخاطر وجود اطلاعات داخل هدر هنوز مي داند که فايل در واقع از نوعMP3 است.
بعضي از برنامه ها به شما اجازه مي دهند تا اطلاعات داخل هدر فايل را بصورتي تغيير دهيد که کامپيوتر تصور کند فايل از نوع متفاوتي است. کارآگاهاني که در جستجوي يک فرمت فايل بخصوص هستند، احتمالاًً مدارک مهمي را ناديده خواهند گرفت زيرا بنظر مي رسد که هيچ ارتباطي با جستجوي آنها ندارند.
گروه ديگري از اين برنامه ها مي توانند فايلها را به بخشهاي کوچکي تقسيم نموده و هر بخش را در انتهاي ساير فايلها مخفي کنند. فايلها غالبا داراي فضاي استفاده نشده اي تحت عنوان«Slack Space» هستند. با يک برنامه مناسب، شما مي توانيد فايلهاي مورد نظرتان را با بهره گيري از اين فضايSlackمخفي کنيد. بازيابي و سرهم بندي مجدد اطلاعات مخفي شده مي تواند يک چالش طاقت فرسا باشد.
از سوي ديگر ،امکان مخفي نمودن يک فايل در داخل يک فايل ديگر نيز وجود دارد. فايلهاي اجرايي(فايلهايي که توسط کامپيوترها بعنوان برنامه شناسايي مي شوند)، خصوصا در اين زمينه مشکل ساز هستند.برنامه هايي که تحت عنوانPackers شناخته ميشوند. مي توانند فايلهاي اجرايي را در داخل انواع ديگري از فايلها درج نمايند، در حاليکه ابزارهايBinder مي توانند چند فايل اجرايي متعدد را به يکديگر الصاق(Bind) کنند.
رمزنگاري، شيوه ديگري براي مخفي نمودن داده ها است. هنگامي که شما داده ها را رمزنگاري مي کنيد، از يک مجموعه پيچيده از قواعد که تحت عنوان الگوريتم شناخته مي شوند بهره گيري مي کنيد تا داده ها را غيرقابل قرائت نماييد. براي مثال، ممکن است الگوريتم مورد استفاده شما يک فايل متني را به يک مجموعه ظاهرا بي معني از اعداد وسمبلها تبديل کند. شخصي که مي خواهد داده ها را بخواند، به کليد رمزگذاري نياز خواهد داشت که فرآيند رمزنگاري را معکوس کرده واعداد وسمبلها را به متن تبديل مي نمايد. بدون يک کليد، کارآگاهان بايد از برنامه هاي کامپيوتري طراحي شده براي شکستن الگوريتم رمزنگاري استفاده کنند. هرچه الگوريتم پيشرفته تر و پيچيده تر باشد ،رمزگشايي آن بدون در اختيار داشتن کليد مقتضي به زمان بيشتري نياز خواهد داشت.
گروه ديگري از ابزارهايAnti-Foeensicمي توانند متاديتاي (Metadata) متصل به فايل را تغيير دهند. متاديتا شامل اطلاعاتي نظير زمان ايجاد و زمان اعمال آخرين تغييرات در فايل است. شما بطور عادي نمي توانيد اين اطلاعات را تغييردهيد ،اما برنامه هايي وجود دارند که مي توانند به يک فرد اجازه دهيد اما برنامه هايي وجود دارند که مي توانند به يک فرد اجازه دهند تا متاديتاي متصل به يک فايل را ويرايش نمايد. فرض کنيد که متاديتاي يک فايل را بررسي کرده و متوجه مي شويد که نشان مي دهد فايل تا سه سال ديگر ايجاد نخواهد شد اما آخرين دسترسي به آن، يک قرن پيش اتفاق افتاده است. اگر متاديتا در معرض خطر قرار گرفته باشد ،ارائه مدارک قابل قبول را دشوارتر خواهد نمود.
بعضي از نرم افزارهاي کاربردي کامپيوتري، داده ها را در شرايطي که يک کاربر غيرمجاز براي دسترسي به سيستم تلاش نمايد، حذف مي کنند بعضي از برنامه نويسان، نحوه کار برنامه هاي بازجويي کامپيوتري را بررسي نموده و تلاش کرده اند تا نرم افزارهاي کاربردي را تهيه کنند که عملکرد اين برنامه ها را مسدود نموده و يا خودشان به آنها حمله کنند.
افراد معدودي از Anti-Foeensic استفاده مي کنند تا نمايش دهند که داده هاي کامپيوتري تا جه اندازه مي توانند آسيب پذير و غيرقابل اعتماد باشند. اگر نتوانيد مطمئن باشيد که يک فايل در چه زماني ايجاد شده، آخرين دسترسي به آن در چه زماني بوده و يا حتي اصولا آيا وجود داشته است يا خير، چگونه مي توانيد استفاده از مدارک کامپيوتري دريک دادرسي قانوني را توجيه نماييد؟ در حاليکه اين يک پرسش معتبر است، مدارک کامپيوتري در دادگاههاي بسياري از کشورها پذيرفته مي شوند ،هرچند که استانداردهاي مربوط به شواهد و مدارک در کشورهاي مختلف تفاوت دارد.
يکي از چالشهايي که تحقيقات کامپيوتري با آن مواجه مي باشد اين است که جرايم کامپيوتري هيچ رمزي نمي شناسند، اما اين موضوع در مورد قوانين صادق نيست .چيزي که در يک کشور غيرقانوني است، مي تواند در کشور ديگري قانوني باشد بعلاوه هيچ مقررات کامپيوتري استانداردسازي شده اي در رابطه با جمع آوري مدارک کامپيوتري وجود ندارد. بعضي از کشورها تلاش مي کنند تا اين وضعيت را تغيير دهند.
گروهG8که از کشورهاي آمريکا، کانادا،فرانسه، آلمان، انگلستان، ژاپن، ايتاليا و روسيه تشکيل شده، 6 راهبرد عمومي را در رابطه با جرم شناسي رايانه اي پيش بيني نموده است. اين راهبردها بر حفظ سلامت مدارک ،متمرکز هستند.
اگر ماموران تحقيق به اين نتيجه برسند که سيستم کامپيوتري تنها بعنوان يک ابزار ذخيره سازي عمل مي کند، معمولا اجازه ندارند تا خود سخت افزار را توقيف نمايند. اين وضعيت، هرگونه تحقيقاتي را محدود مي نمايد. از سوي ديگر اگر ماموران تحقيق به اين نتيجه برسند که خود سخت افزار نيز جزئي از شواهد و مدارک به حساب مي آيد مي توانند سخت افزار را توقيف نموده و آن را به محل ديگري انتقال دهند. براي مثال اگر کامپيوتر مسروقه باشد ،ماموران تحقيق مي توانند سخت افزار آن را توقيف کنند.
بمنظور استفاده از مدارک يک سيستم کامپيوتري در جريان دادرسي، تعقيب کننده بايد اعتبار مدارک را تاييد نمايد. بعبارت ديگر، تعقيب کننده بايد بتواند ثابت کند که اطلاعات ارائه شده بعنوان مدرک، از کامپيوتر متهم جمع آوري شده و دست نخورده (و بدون تغيير) باقي مانده اند.
با وجود آنکه عموم مردم مي دانند که دستکاري داده هاي کامپيوتري امکان پذير بوده و کار نسبتا ساده اي است، دادگاههاي آمريکا تاکنون مدارک کامپيوتري را بطور کامل رد نکرده اند .در مقابل ،دادگاهها براي رد مدارک کامپيوتري به دلايل قطعي و يا مدارک دستکاري داده ها نياز دارند.
موضوع ديگري که دادگاهها را در رابطه با مدارک کامپيوتري در نظر مي گيرند، شايعات استHearsay(شايعه) عبارتي است که به اظهار نظرهاي انجام شده در خارج از يک دادگاه اشاره دارد.
دراکثرموارد، دادگاهها نمي توانند شايعات را بعنوان مدرک بپذيرند. دادگاه در اکثر موارد بايد تعيين کند که اطلاعات موجود بر روي يک کامپيوتر از شايعات تشکيل نشده و به همين دليل قابل قبول است.
اگر سوابق کامپيوتري شامل گفته هاي انساني نظير پيامهايe-mailباشد دادگاه پيش از پذيرفتن آنها بايد تعيين کند که آيا اين گفته ها مي توانند قابل اعتماد باشند يا خير. دادگاهها اين موضوع را براي هر پرونده بطور جداگانه بررسي مي کنند.
Liuنگران است که ابزارهاي بازجويي کامپيوتري کاملا«بدون خطا» نيستند و تکيه بر شواهد و مدارک کامپيوتري يک اشتباه واقعي است.
تعدادي از ابزارها و برنامه هاي جرم شناسي رايانه اي که امکان تحقيقات کامپيوتري را بوجود مي آورند، عبارتند از:
* نرم افزار تصويربرداري(Imaging) از ديسک که ساختار و محتواي يک درايو ديسک سخت را ضبط و بايگاني مي نمايد. با چنين نرم افزاري نه تنها امکان کپي برداري از اطلاعات داخل يک درايو وجود خواهد داشت بلکه حفظ سازماندهي فايلها و رابطه آنها با يکديگر نيز امکانپذير خواهد بود.
* ابزارهاي سخت افزاري يا نرم افزاري«Write» که در درايوهاي ديسک سخت را بصورت بيت به بيت کپي نموده و بازسازي مي کنند هردو گروه ابزارهاي سخت افزاري و نرم افزاري از تغيير اطلاعات موجود اجتناب مي نمايند. بعضي از اين ابزارها، ماموران تحقيق را ملزم مي کنند که پيش از تهيه يک کپي، درايو ديسک سخت را از کامپيوتر متهم جدا نمايند.
* ابزارهايHashingکه درايوهاي ديسک سخت اصلي را با کپي هاي تهيه شده مقايسه مي کنند. اين ابزارها، داده ها را آناليز نموده و يک شماره منحصربفرد را به آن تخصيص مي دهند. اگر اعداد Hashبر روي يک درايو اصلي وکپي آن با يکديگر انطباق داشته باشند کپي يک «تکرار»بي نقص از داده هاي اصلي است.
* ماموران تحقيق از برنامه هاي بازيابي براي جستجو و بازيابي داده هاي حذف شده استفاده مي کنند. اين برنامه ها، داده هايي که توسط کامپيوتر براي حذف علامتگذاري شده اما هنوز رونويسي نشده اند را مکان يابي مي نمايد. نتيجه اين جستجو در بعضي از موارد يک فايل ناقص است که تجزيه و تحليل آن دشوارتر خواهد بود.
* برنامه هاي مختلفي وجود دارند که براي حفظ اطلاعات داخل حافظه اصلي(RAM) يک کامپيوتر طراحي شده اند. برخلاف اطلاعات موجود بر روي يک درايو ديسک سخت، داده هاي داخل RAM به محض خاموش شدن کامپيوتر از بين خواهند رفت. بدون نرم افزار، مناسب اين اطلاعات به آساني ازدست خواهند رفت.
* نرم افزارهاي آناليز که به بررسي تمام اطلاعات موجود بر روي يک درايو ديسک سخت پرداخته و محتويات خاصي را جستجو مي کنند.
ازآنجاييکه کامپيوترهاي مدرن مي توانند چندين گيگابايت از اطلاعات را در خود نگهداري نمايند، جستجوي فايلهاي کامپيوتري بصورت دستي بسيار دشوار و وقتگير خواهد بود. براي مثال، بعضي از برنامه هاي تحليلگر به جستجو و ارزيابي کوکي هاي اينترنتي مي پردازند که مي توانند براي تشخيص فعاليتهاي اينترنتي متهم به ماموران تحقيق کمک کنند. گروه ديگري از برنامه ها، به ماموران تحقيق اجازه مي دهند تا مندرجات خاصي را جستجو نمايند که مي توانند بر روي سيستم کامپيوتري متهم وجود داشته باشند.
* نرم افزار کدگشائي رمزنگاري و نرم افزار مخصوص شکستن کلمه عبور براي دسترسي به داده هاي محافظت شده ،مفيد خواهند بود.
* اين ابزارها صرفاً تا زماني مفيد خواهند بود که ماموران تحقيق از رويه هاي صحيح پيروي کنند. در غير اين صورت ،يک وکيل مدافع خبره مي تواند ادعا کند که مدارک جمع آوري شده در طي تحقيقات کامپيوتري قابل اعتماد نيستند. البته، يک متخصصAnti-Forensicsاعتقاد دارد که هيچ مدرک کامپيوتري کاملا قابل اعتماد به حساب نمي آيد.
بايد ديد دادگاهها تا چه زماني مدارک کامپيوتري را«قابل اعتماد» در نظر مي گيرند. متخصصينAnti-Forensicsمعتقدند ثابت شدن اين موضوع در يک دادگاه که دستکاري داده هاي کامپيوتر بدون اينکه تشخيص داده شود کاملا امکانپذير و باور کردني است، تنها به زمان بستگي دارد .در چنين شرايطي ،دادگاهها به سختي مي توانند درج مدارک کامپيوتري در يک دادرسي يا تحقيقات را توجيه نمايند.
منبع:نشريه بزرگراه رايانه- ش133
سنجشهاي خاصي براي انجام تحقيقات جرم شناسي وجود دارد که نتايج آن مي تواند در دادگاه مورد استفاده قرار گيرد. هدف تکنيکهاي جرم شناسي رايانه اي، جستجو، حفظ و آناليز اطلاعات موجود بر روي سيستم هاي کامپيوتري به منظور يافتن شواهد ومدارک احتمالي براي يک دادرسي است. بسياري از تکنيکهايي که کارآگاهان از آنها در تحقيقات صحنه جرم استفاده مي کنند داراي المثني ديجيتالي هستند، اما تحقيقات کامپيوتري داراي برخي جنبه هاي منحصربفرد نيز مي باشد. براي مثال، تنها باز کردن يک فايل کامپيوتري باعث تغيير آن مي شود(کامپيوتر، زمان و تاريخ دسترسي به فايل را بر روي خود آن ثتب مي کند).
اگر کارآگاهان يک کامپيوتر را توقيف نموده و سپس شروع به باز کردن فايلها نمايند، هيچ راهي وجود نخواهد داشت که مطمئن باشند چيزي را تغيير نداده اند. وکلاي مدافع مي توانند در هنگام رجوع پرونده به دادگاه به اعتبار اين مدارک اعتراض نمايند.
بعضي از مردم معتقداند که استفاده از اطلاعات ديجيتال بعنوان شواهد و مدارک يک پرونده ايده چندان خوبي نيست اگر تغيير دادهاي کامپيوتري تا اين اندازه آسان است، چگونه مي توان از آنها بعنوان يک مدرک قابل اعتماد استفاده کرد؟ بسياري از کشورها ،استفاده از مدارک کامپيوتري در طول دادرسيها را مجاز مي دانند، اما اگر مدارک کامپيوتري در پرونده هاي آتي غير قابل اعتماد به نظر برسند اين وضعيت احتمالاًً تغيير خواهد کرد.
کامپيوترها دائما قدرت بيشتري پيدا مي کنند، بنابراين حوزه جرم شناسي رايانه اي بايستي طور مستمر رشد و تکامل پيدا کند. در روزهاي اوليه دوران کامپيوتر، اين امکان براي يک کارآگاه تنها وجود داشت تا تمام فايلها را بررسي و دسته بندي نمايد زيرا ظرفيت ذخيره سازي در آن زمان بسيار محدود بود.
امروزه با پيدايش درايوهاي ديسکهاي سختي که قادر به نگهداري چند ترابايت اطلاعات درايوهاي ديسک سختي که قادر به نگهداري چند ترابايت اطلاعات هستند، اينکار به يک تلاش طاقت فرسا تبديل مي شود. کارآگاهان بايد شيوه هاي جديدي را براي جستجوي شواهد و مدارک پيدا کنند، بدون آنکه نيازي به تخصيص منابع بيش از حد به اين فرآيند داشته باشند.
اما اصول جرم شناسي رايانه اي چيست؟ تيم تحقيق قادر به جستجوهاي چه مواردي است وکجا به جستجوي اين موارد مي پردازد؟ در ادامه با بررسي پاسخ اين پرسشها مي پردازيم.
مباني جرم شناسي رايانه اي
دادگاهها آموختند که مدارک کامپيوتري به آساني تحريف مي شوند، از بين مي روند ويا تغيير مي کنند.
ماموران تحقيق متوجه شده اند که بايد ابزارهاي وفرآيندهاي خاصي را که براي جستجوي کامپيوترها به منظور يافتن مدارک و شواهد، آن هم بدون تاثيرگذاري برخود اطلاعات، توسعه دهند.
کارآگاهان براي تشريح رويه ها و ابزارهاي مناسبي که بايستي از آنها براي بازيابي مدارک از يک کامپيوتر استفاده نمايند، با متخصصين کامپيوتري همکاري کردند. آنها تدريجا رويه هايي را توسعه دادند که اکنون حوزه جرم شناسي رايانه اي را تشکيل مي دهند.
کارآگاهان معمولا بايد يک مجوز را براي جستجوي کامپيوتر متهم جهت يافتن مدارک احتمالي دريافت کنند. اين مجوز بايد مکانهايي که کارآگاهان مي توانند جستجو کنند و نوع مدارکي که مي توانند به جستجوي آنها بپردازند را مشخص نموده باشد. بعبارت ديگر ،يک کارآگاه نمي تواند صرفاً يک مجوز را ارائه نموده وسپس به هرجايي که مايل است سرک بکشد تا موارد مشکوکي را پيدا کند .بعلاوه، شرايط مجوز نمي توانند بيش از حدکلي باشند. اکثر قضات ،کارآگاهان را ملزم مي کنند تا در هنگام درخواست يک مجوز براي اينگونه تحقيقات تا حد امکان صريح باشند.
به همين دليل، براي کارآگاهان بسيار مهم است که پيش از درخواست يک مجوز تا حدامکان درباره متهم تحقيق نمايند. اين مثال را در نظر بگيريد: يک کارآگاه يک مجوز را براي جستجوي کامپيوتر لپ تاپ يک متهم دريافت مي کند. کارآگاه به منزل متهم مي رسد و مجوز را ارائه مي نمايد. کارآگاه پس از ورود به منزل متهم متوجه مي شود که او يک کامپيوتر دسک تاپ نيز دارد. کارآگاه قانونا نمي تواندPC دسک تاپ متهم را جستجو نمايد زيرا در مجوز اوليه به آن اشاره نشده است.
هر تحقيق کامپيوتري ،تا حدودي منحصربفرد است. ممکن است تکميل بعضي از تحقيقات کامپيوتري تنها به يک هفته زمان نياز داشته باشد، اما گروه ديگري از اين پرونده ها مي توانند ماهها طول بکشند. بعضي از عواملي که مي توانند بر طول يک تحقيق تاثير بگذارند عبارتند از:
* مهارت کارآگاهان
* تعداد کامپيوترهايي که بايد جستجو شوند
* حجم انباره ذخيره سازي که کارآگاهان بايد به بررسي و دسته بندي آن بپردازند (درايوهاي ديسک سخت،CDها، DVDها و درايوهاي Flash)
* آيا متهم تلاش مي کند تا اطلاعات را حذف يا مخفي نمايد يا خير
* وجود فايلهاي رمزگذاري شده و يا فايلهايي که با کلمه عبور محافظت شده اند.
روال قانوني تحقيقات
* ضبط سيستم کامپيوتري، براي تضمين اينکه تجهيزات و داده هاي آن در امنيت قرار دارند. اين بدان معني است که کارآگاهان بايد مطمئن شوند که هيچ فرد غيرمجازي نمي تواند به کامپيوتر و ابزارهاي ذخيره سازي مورد بحث تحقيقات، دسترسي پيدا کند. اگر سيستم کامپيوتري به اينترنت متصل است کارآگاهان بايد اين ارتباط را قطع نمايند.
* يافتن هر فايلي که بر روي سيستم کامپيوتري قرار دارد، شامل فايلهاي رمزنگاري شده، فايلهايي که با کلمه عبور محافظت شده اند، فايلهاي مخفي و فايلهايي که حذف گرديده اما هنوز اطلاعاتي بر روي آنها نوشه نشده است.
کارآگاهان بايد از تمام فايلهاي موجود بر روي سيستم، يک کپي تهيه کنند. اين کپي، فايلهاي موجود بر روي درايو ديسک سخت کامپيوتر و يا ساير ابزارهاي ذخيره سازي آن را در بر مي گيرد. از آنجاييکه دسترسي به يک فايل مي تواند آن را تغيير دهد، بسيار مهم است که کارآگاهان در هنگام جستجو براي يافتن مدارک و شواهد تنها از کپي هاي فايلها استفاده نمايند. سيستم اصلي بايستي دست نخورده و محافظت شده باقي بماند.
* بازيابي اطلاعات حذف شده تا حد امکان با استفاده از نرم افزارهاي کاربردي که داده هاي حذف شده را تشخيص داده و بازيابي مي نمايند.
* آشکار نمودن محتواي تمام فايلهاي مخفي با برنامه هايي که براي تشخيص وجود داده هاي مخفي طراحي شده اند.
* رمزگشايي و دسترسي به فايلهاي محافظت شده
* آناليز نواحي خاص ديسکهاي کامپيوتر، شامل بخشهايي که معمولا غير قابل دسترسي هستند(در زبان کامپيوتري، فضاي بلااستفاده بر روي درايو يک کامپيوتر را فضايUnallocatedمي نامند) اين فضا مي تواند حاوي فايلها و يا قطعاتي از فايلهايي باشد که به پرونده مورد نظر ارتباط دارند.
* مستند سازي تمام مراحال فرآيند جستجو. براي کارآگاهان بسيار مهم است که اثبات کنند تحقيقات آنها تمام اطلاعات موجود را بر روي سيستم کامپيوتري را بدون تغيير و يا آسيب ديدگي حفظ کرده است. ممکن است يک فاصله چند ساله در بين فرآيند تحقيق و دادرسي وجود داشته باشد و بدون مستندسازي صحيح، مدارک قابل استفاده نخواهند بود.
Robbinsمعتقد است که مستندسازي بايستي نه تنها تمام فايلها و داده هاي بازيابي شده از سيستم را در بر گيرد، بلکه بايد شامل يک گزارش در مورد چيدمان فيزيکي سيستم و اينکه آيا فايلهايي رمزگذاري يا مخفي شده بوده اند يا خير نيزباشد.
*آمادگي براي شهادت در دادگاه به عنوان يک شاهد خبره در بازجويي کامپيوتري . حتي زمانيکه تحقيقات به پايان مي رسد ،وظيفه کاراگاهان تمام نشده است .ممکن است هنوز براي ارائه شهادت در دادگاه به حضور آنها نياز باشد.
تمام اين مراحل داراي اهميت هستند اما اولين قدم بسيار تعيين کننده خواهد بود. اگر ماموران تحقيق نتوانند ثابت کنند که سيستم کامپيوتري را دست نخورده حفظ نموده اند، مدارکي که پيدا مي کنند قابل قبول نخواهند بود.
در روزهاي آغازين عصر کامپيوتر، سيستم مي توانست شامل يکPC و چند ديسک فلاپي باشد. امروزه يک سيستم مي تواند شامل چندين کامپيوتر، ديسک، درايوهاي Flash، درايوهاي خارجي، تجهيزات جانبي و سرورهاي وب باشد.
امکان بازيابي داده ها
بعضي از مجرمين ،راههايي را پيدا کرده اند تا کار ماموران تحقيق را براي يافتن اطلاعات برروي سيستمهاي خود بيش از پيش دشوار نمايند. آنها از برنامه ها و نرم افزارهاي کاربردي استفاده مي کنند که تحت عنوانAnti-Forensicشناخته مي شوند. اگر کارآگاهان بخواهند به اطلاعات موجود در سيستمهاي کامپيوتري مجهز به اينگونه ابزارها دسترسي پيدا کنند ،بايد از وجود و نحوه غيرفعال نمودن آنها آگاهي داشته باشند.
p class="p2"> Anti-Forensic<
ابزارهايAnti-Forensic مي توانند بدترين کابوس يک کارآگاه کامپيوتري باشند. برنامه نويسان ابزارهاي Anti-Forensicرا طراحي مي کنند تا بازيابي اطلاعات در طول يک تحقيق را دشوار و يا غير ممکن نمايند.
Anti-Forensic اساسا به هر تکنيک، ابزار و يا نرم افزار طراحي شده براي مختل نمودن تحقيقات کامپيوتري اشاره دارد.
راههاي متعددي وجود دارند که افراد مي توانند اطلاعات خود را از طريق آنها مخفي کنند. بعضي از برنامه ها مي توانند کامپيوترها را با تغيير اطلاعات داخل هدر فايلها فريب دهند. يک هدر فايل معمولا براي انسانها غير قابل مشاهده است. اما از اهميت فوق العاده اي برخوردار مي باشد(هدر فايل به کامپيوتر مي گويد که به جه نوع فايلي تعلق دارد). اگر يک فايلMP3 را بصورتي تغيير نام دهيد که يک پسودندgif داشته باشد، کامپيوتر بخاطر وجود اطلاعات داخل هدر هنوز مي داند که فايل در واقع از نوعMP3 است.
بعضي از برنامه ها به شما اجازه مي دهند تا اطلاعات داخل هدر فايل را بصورتي تغيير دهيد که کامپيوتر تصور کند فايل از نوع متفاوتي است. کارآگاهاني که در جستجوي يک فرمت فايل بخصوص هستند، احتمالاًً مدارک مهمي را ناديده خواهند گرفت زيرا بنظر مي رسد که هيچ ارتباطي با جستجوي آنها ندارند.
گروه ديگري از اين برنامه ها مي توانند فايلها را به بخشهاي کوچکي تقسيم نموده و هر بخش را در انتهاي ساير فايلها مخفي کنند. فايلها غالبا داراي فضاي استفاده نشده اي تحت عنوان«Slack Space» هستند. با يک برنامه مناسب، شما مي توانيد فايلهاي مورد نظرتان را با بهره گيري از اين فضايSlackمخفي کنيد. بازيابي و سرهم بندي مجدد اطلاعات مخفي شده مي تواند يک چالش طاقت فرسا باشد.
از سوي ديگر ،امکان مخفي نمودن يک فايل در داخل يک فايل ديگر نيز وجود دارد. فايلهاي اجرايي(فايلهايي که توسط کامپيوترها بعنوان برنامه شناسايي مي شوند)، خصوصا در اين زمينه مشکل ساز هستند.برنامه هايي که تحت عنوانPackers شناخته ميشوند. مي توانند فايلهاي اجرايي را در داخل انواع ديگري از فايلها درج نمايند، در حاليکه ابزارهايBinder مي توانند چند فايل اجرايي متعدد را به يکديگر الصاق(Bind) کنند.
رمزنگاري، شيوه ديگري براي مخفي نمودن داده ها است. هنگامي که شما داده ها را رمزنگاري مي کنيد، از يک مجموعه پيچيده از قواعد که تحت عنوان الگوريتم شناخته مي شوند بهره گيري مي کنيد تا داده ها را غيرقابل قرائت نماييد. براي مثال، ممکن است الگوريتم مورد استفاده شما يک فايل متني را به يک مجموعه ظاهرا بي معني از اعداد وسمبلها تبديل کند. شخصي که مي خواهد داده ها را بخواند، به کليد رمزگذاري نياز خواهد داشت که فرآيند رمزنگاري را معکوس کرده واعداد وسمبلها را به متن تبديل مي نمايد. بدون يک کليد، کارآگاهان بايد از برنامه هاي کامپيوتري طراحي شده براي شکستن الگوريتم رمزنگاري استفاده کنند. هرچه الگوريتم پيشرفته تر و پيچيده تر باشد ،رمزگشايي آن بدون در اختيار داشتن کليد مقتضي به زمان بيشتري نياز خواهد داشت.
گروه ديگري از ابزارهايAnti-Foeensicمي توانند متاديتاي (Metadata) متصل به فايل را تغيير دهند. متاديتا شامل اطلاعاتي نظير زمان ايجاد و زمان اعمال آخرين تغييرات در فايل است. شما بطور عادي نمي توانيد اين اطلاعات را تغييردهيد ،اما برنامه هايي وجود دارند که مي توانند به يک فرد اجازه دهيد اما برنامه هايي وجود دارند که مي توانند به يک فرد اجازه دهند تا متاديتاي متصل به يک فايل را ويرايش نمايد. فرض کنيد که متاديتاي يک فايل را بررسي کرده و متوجه مي شويد که نشان مي دهد فايل تا سه سال ديگر ايجاد نخواهد شد اما آخرين دسترسي به آن، يک قرن پيش اتفاق افتاده است. اگر متاديتا در معرض خطر قرار گرفته باشد ،ارائه مدارک قابل قبول را دشوارتر خواهد نمود.
بعضي از نرم افزارهاي کاربردي کامپيوتري، داده ها را در شرايطي که يک کاربر غيرمجاز براي دسترسي به سيستم تلاش نمايد، حذف مي کنند بعضي از برنامه نويسان، نحوه کار برنامه هاي بازجويي کامپيوتري را بررسي نموده و تلاش کرده اند تا نرم افزارهاي کاربردي را تهيه کنند که عملکرد اين برنامه ها را مسدود نموده و يا خودشان به آنها حمله کنند.
افراد معدودي از Anti-Foeensic استفاده مي کنند تا نمايش دهند که داده هاي کامپيوتري تا جه اندازه مي توانند آسيب پذير و غيرقابل اعتماد باشند. اگر نتوانيد مطمئن باشيد که يک فايل در چه زماني ايجاد شده، آخرين دسترسي به آن در چه زماني بوده و يا حتي اصولا آيا وجود داشته است يا خير، چگونه مي توانيد استفاده از مدارک کامپيوتري دريک دادرسي قانوني را توجيه نماييد؟ در حاليکه اين يک پرسش معتبر است، مدارک کامپيوتري در دادگاههاي بسياري از کشورها پذيرفته مي شوند ،هرچند که استانداردهاي مربوط به شواهد و مدارک در کشورهاي مختلف تفاوت دارد.
مستندات رايانه اي قانوني
يکي از چالشهايي که تحقيقات کامپيوتري با آن مواجه مي باشد اين است که جرايم کامپيوتري هيچ رمزي نمي شناسند، اما اين موضوع در مورد قوانين صادق نيست .چيزي که در يک کشور غيرقانوني است، مي تواند در کشور ديگري قانوني باشد بعلاوه هيچ مقررات کامپيوتري استانداردسازي شده اي در رابطه با جمع آوري مدارک کامپيوتري وجود ندارد. بعضي از کشورها تلاش مي کنند تا اين وضعيت را تغيير دهند.
گروهG8که از کشورهاي آمريکا، کانادا،فرانسه، آلمان، انگلستان، ژاپن، ايتاليا و روسيه تشکيل شده، 6 راهبرد عمومي را در رابطه با جرم شناسي رايانه اي پيش بيني نموده است. اين راهبردها بر حفظ سلامت مدارک ،متمرکز هستند.
اگر ماموران تحقيق به اين نتيجه برسند که سيستم کامپيوتري تنها بعنوان يک ابزار ذخيره سازي عمل مي کند، معمولا اجازه ندارند تا خود سخت افزار را توقيف نمايند. اين وضعيت، هرگونه تحقيقاتي را محدود مي نمايد. از سوي ديگر اگر ماموران تحقيق به اين نتيجه برسند که خود سخت افزار نيز جزئي از شواهد و مدارک به حساب مي آيد مي توانند سخت افزار را توقيف نموده و آن را به محل ديگري انتقال دهند. براي مثال اگر کامپيوتر مسروقه باشد ،ماموران تحقيق مي توانند سخت افزار آن را توقيف کنند.
بمنظور استفاده از مدارک يک سيستم کامپيوتري در جريان دادرسي، تعقيب کننده بايد اعتبار مدارک را تاييد نمايد. بعبارت ديگر، تعقيب کننده بايد بتواند ثابت کند که اطلاعات ارائه شده بعنوان مدرک، از کامپيوتر متهم جمع آوري شده و دست نخورده (و بدون تغيير) باقي مانده اند.
با وجود آنکه عموم مردم مي دانند که دستکاري داده هاي کامپيوتري امکان پذير بوده و کار نسبتا ساده اي است، دادگاههاي آمريکا تاکنون مدارک کامپيوتري را بطور کامل رد نکرده اند .در مقابل ،دادگاهها براي رد مدارک کامپيوتري به دلايل قطعي و يا مدارک دستکاري داده ها نياز دارند.
موضوع ديگري که دادگاهها را در رابطه با مدارک کامپيوتري در نظر مي گيرند، شايعات استHearsay(شايعه) عبارتي است که به اظهار نظرهاي انجام شده در خارج از يک دادگاه اشاره دارد.
دراکثرموارد، دادگاهها نمي توانند شايعات را بعنوان مدرک بپذيرند. دادگاه در اکثر موارد بايد تعيين کند که اطلاعات موجود بر روي يک کامپيوتر از شايعات تشکيل نشده و به همين دليل قابل قبول است.
اگر سوابق کامپيوتري شامل گفته هاي انساني نظير پيامهايe-mailباشد دادگاه پيش از پذيرفتن آنها بايد تعيين کند که آيا اين گفته ها مي توانند قابل اعتماد باشند يا خير. دادگاهها اين موضوع را براي هر پرونده بطور جداگانه بررسي مي کنند.
درجه اعتبار دادرسي ها
Liuنگران است که ابزارهاي بازجويي کامپيوتري کاملا«بدون خطا» نيستند و تکيه بر شواهد و مدارک کامپيوتري يک اشتباه واقعي است.
ابزارهاي جرم شناسي رايانه اي
تعدادي از ابزارها و برنامه هاي جرم شناسي رايانه اي که امکان تحقيقات کامپيوتري را بوجود مي آورند، عبارتند از:
* نرم افزار تصويربرداري(Imaging) از ديسک که ساختار و محتواي يک درايو ديسک سخت را ضبط و بايگاني مي نمايد. با چنين نرم افزاري نه تنها امکان کپي برداري از اطلاعات داخل يک درايو وجود خواهد داشت بلکه حفظ سازماندهي فايلها و رابطه آنها با يکديگر نيز امکانپذير خواهد بود.
* ابزارهاي سخت افزاري يا نرم افزاري«Write» که در درايوهاي ديسک سخت را بصورت بيت به بيت کپي نموده و بازسازي مي کنند هردو گروه ابزارهاي سخت افزاري و نرم افزاري از تغيير اطلاعات موجود اجتناب مي نمايند. بعضي از اين ابزارها، ماموران تحقيق را ملزم مي کنند که پيش از تهيه يک کپي، درايو ديسک سخت را از کامپيوتر متهم جدا نمايند.
* ابزارهايHashingکه درايوهاي ديسک سخت اصلي را با کپي هاي تهيه شده مقايسه مي کنند. اين ابزارها، داده ها را آناليز نموده و يک شماره منحصربفرد را به آن تخصيص مي دهند. اگر اعداد Hashبر روي يک درايو اصلي وکپي آن با يکديگر انطباق داشته باشند کپي يک «تکرار»بي نقص از داده هاي اصلي است.
* ماموران تحقيق از برنامه هاي بازيابي براي جستجو و بازيابي داده هاي حذف شده استفاده مي کنند. اين برنامه ها، داده هايي که توسط کامپيوتر براي حذف علامتگذاري شده اما هنوز رونويسي نشده اند را مکان يابي مي نمايد. نتيجه اين جستجو در بعضي از موارد يک فايل ناقص است که تجزيه و تحليل آن دشوارتر خواهد بود.
* برنامه هاي مختلفي وجود دارند که براي حفظ اطلاعات داخل حافظه اصلي(RAM) يک کامپيوتر طراحي شده اند. برخلاف اطلاعات موجود بر روي يک درايو ديسک سخت، داده هاي داخل RAM به محض خاموش شدن کامپيوتر از بين خواهند رفت. بدون نرم افزار، مناسب اين اطلاعات به آساني ازدست خواهند رفت.
* نرم افزارهاي آناليز که به بررسي تمام اطلاعات موجود بر روي يک درايو ديسک سخت پرداخته و محتويات خاصي را جستجو مي کنند.
ازآنجاييکه کامپيوترهاي مدرن مي توانند چندين گيگابايت از اطلاعات را در خود نگهداري نمايند، جستجوي فايلهاي کامپيوتري بصورت دستي بسيار دشوار و وقتگير خواهد بود. براي مثال، بعضي از برنامه هاي تحليلگر به جستجو و ارزيابي کوکي هاي اينترنتي مي پردازند که مي توانند براي تشخيص فعاليتهاي اينترنتي متهم به ماموران تحقيق کمک کنند. گروه ديگري از برنامه ها، به ماموران تحقيق اجازه مي دهند تا مندرجات خاصي را جستجو نمايند که مي توانند بر روي سيستم کامپيوتري متهم وجود داشته باشند.
* نرم افزار کدگشائي رمزنگاري و نرم افزار مخصوص شکستن کلمه عبور براي دسترسي به داده هاي محافظت شده ،مفيد خواهند بود.
* اين ابزارها صرفاً تا زماني مفيد خواهند بود که ماموران تحقيق از رويه هاي صحيح پيروي کنند. در غير اين صورت ،يک وکيل مدافع خبره مي تواند ادعا کند که مدارک جمع آوري شده در طي تحقيقات کامپيوتري قابل اعتماد نيستند. البته، يک متخصصAnti-Forensicsاعتقاد دارد که هيچ مدرک کامپيوتري کاملا قابل اعتماد به حساب نمي آيد.
بايد ديد دادگاهها تا چه زماني مدارک کامپيوتري را«قابل اعتماد» در نظر مي گيرند. متخصصينAnti-Forensicsمعتقدند ثابت شدن اين موضوع در يک دادگاه که دستکاري داده هاي کامپيوتر بدون اينکه تشخيص داده شود کاملا امکانپذير و باور کردني است، تنها به زمان بستگي دارد .در چنين شرايطي ،دادگاهها به سختي مي توانند درج مدارک کامپيوتري در يک دادرسي يا تحقيقات را توجيه نمايند.
تلفنهاي همراه
منبع:نشريه بزرگراه رايانه- ش133