电子数据取证-数据校验

①电子取证时，要防止物理上的破坏。 采取防范措施，防止静电向电子设备放电， 标记和编号每个电缆，端口和其他连接口，并在日志中记录。

②选择存储数字证据的介质通常取决于保存证据需要多长时间。 理想的存储介质是CD、DVD、USB驱动器、外部固态设备或场外存储。 也可以使用磁带，如4毫米DAT和DLT磁带。

③哈希值用于验证数据或存储介质没有被更改。 目前用于取证的两种最常见的散列算法是MD5和SHA-1。 每个文件有唯一的哈希值，如果文件更改，哈希值必须更改。

⑤取证的目标是保持证据的完整性，这意味着不能在收集和编目证据时修改证据。 现场要拍照，现场物品贴上标签，放入证据袋。收集，保存，记录，分析，鉴定，整理证据

自动指纹识别系统(AFIS)一种连接中央数据库的识别指纹的电脑系统;用于快速识别犯罪嫌疑人和审查数千个指纹样本。

计算机生成记录计算机生成的数据，如系统日志文件、代理服务器日志等。

计算机存储的记录由人生成的数字文件，如电子表格。隐蔽监视在不被发现的情况下观察人或地方，通常使用电子设备，如摄像机或击键/屏幕捕捉程序。

循环冗余校验(CRC)一种将文件转换为唯一十六进制值的数学算法。

数字证据以电子形式存储或传输的信息组成的证据。广泛响应现场工具包一种便携式工具包，设计用于在涉及计算机的犯罪或事故现场处理多台计算机和各种操作系统。这个工具包应该包含两种或两种以上类型的软件或硬件计算机取证工具，例如额外的存储驱动器。

哈希值标识文件或驱动器的唯一十六进制值。

有害物质(HAZMAT):对人体有害的化学、生物或放射性物质。

现场初始响应工具包一种便携式工具包，只包含在现场进行磁盘采集和初步法医分析所需的最低工具。

不能作为犯罪或违法证据的无辜信息数据。key hash设置 加密实用程序的密钥创建的值。

低级调查比重大刑事案件调查工作量少的公司案件。