Судебная экспертиза

Судебная экспертиза цифровых данных зависит от контекста случая и в значительной степени зависит от знаний, опыта, опыта, тщательности, а в некоторых случаях и от любопытства практикующего, выполняющего эту работу. Хотя каждый судебно-медицинский анализ будет иметь разные аспекты, основанные на наборе данных, целях, ресурсах и других факторах, основной процесс остается принципиально одинаковым.

Соберите информацию и сделайте наблюдения. Эта фаза когда-то называется судебной экспертизой и включает проверку целостности и достоверности доказательств, проведение опроса всех доказательств, чтобы определить, как действовать наиболее эффективно, и делать некоторую предварительную обработку для спасения удаленных данных, обработки специальных файлов, фильтрации нерелевантные данные и извлекать встроенные метаданные. Этот этап может включать поиск по ключевым словам для фокусировки на определенных элементах и ​​предварительный обзор конфигурации и использования системы. Этот этап не должен ограничиваться цифровыми доказательствами и может быть дополнен интервью, показаниями свидетелей и другими материалами или разведкой.

Составьте гипотезу для объяснения наблюдений. Хотя судебные специалисты собирают информацию о расследуемом преступлении, мы разрабатываем возможные объяснения того, что мы видим в цифровых доказательствах. Хотя на такое предположение часто влияют знания и опыт судебного практикующего, мы должны защищать от предвзятых понятий, которые основаны на личных предрассудках, а не на фактах.

Оцените гипотезу. Различные предсказания будут естественным образом вытекать из какой-либо гипотезы (если гипотеза верна, тогда мы ожидаем найти X в доказательствах), и наша работа в качестве судебных практиков заключается в определении того, подтверждают ли эти ожидания доказательства. Успех судебно-медицинской экспертизы зависит от того, насколько тщательно атакована первоначальная гипотеза. Поэтому крайне важно рассмотреть другие правдоподобные объяснения и включить тесты, которые пытаются опровергнуть гипотезу (если гипотеза ложна, то мы ожидаем найти Y). Если эксперименты и наблюдения не подтверждают первоначальную гипотезу, мы пересматриваем нашу гипотезу и проводим дальнейшие тесты.

Делайте выводы и сообщайте результаты. Как только вероятное объяснение событий, связанных с преступлением, было установлено, судебные практикующие должны передать свою работу лицам, принимающим решения.

Обратите внимание, что научный метод является циклическим, что потенциально требует от криминалистов-аналитиков повторить эти шаги до тех пор, пока не будет сделан вывод. Если эксперименты опровергают первоначальную гипотезу, необходимо сформировать и оценить новую. Даже когда некоторые эксперименты поддерживают гипотезу, часто возникает новая информация, которая должна быть рассмотрена и проверена, чтобы определить, сохраняется ли гипотеза.

Дата: 11.04.2018.