簡介
信息鑑識便是設法查找跟該信息相關的各潛在信息源,藉此了解該信息的生產者與信息的基本接收對象(Who)、信息產生的動機(Why)、信息產生的時間(When)、該信息最初的信息源(Initial Information Source)(Where)、傳遞的方式(How)與及對接收者以至現實社會 / 虛擬社區之間產生什麼影響(What / Which)。
信息鑑識便是這樣的一門科學。而在同一件事物在網路上出現兩個或者更多個不同的所謂“真相”時,也可透過信息鑑識來蒐集其他相關的數據和信息。
很多人會把信息鑑識與“計算機鑑識”混為一談,其實是兩種不同的東西。電腦鑑識的概念源自電腦 / 網路保全與及刑事偵查,主要是用作調查電腦犯罪時,查找相關證據或是用來證明損害的證據。由於信息技術發達,虛擬世界裡的電子紀錄很容易便可遭修改。電腦鑑識也用來創建證物保護方式,確保鑑識前後的電子證據沒有遭竄改,令經鑑識分析後的證據更可信及具有法律地位。
信息載體與信息源
信息載體
信息本身不是實體,只是訊息、情報、指令、數據和信號中所包含的內容,必須依靠某種媒介進行傳遞。信息載體的演變,推動著人類信息活動的發展。從某種意義上說,信號革命就是信息載體的革命。
信息載體(Information carrier)是在信息傳播中攜帶信息的媒介,是信息賴以附載的物質基礎,即用於記錄、傳輸、積累和保存信息的實體。信息載體包括以能源和介質為特徵,運用聲波、光波、電波傳遞信息的無形載體和以實物形態記錄為特徵,運用紙張、膠捲、膠片、磁帶、磁碟傳遞和貯存信息的有形載體。
信息源
產生信息或信息序列的源,信息源有四大特徵:①範圍廣大,物質世界中任何運動著的事物都是信息源;②信息源既有連續信息源,也有離散信息源,而且,物質世界中各個信息源彼此之間沒有直接聯繫,相互之間不能組成一個信息源;③自然界物質運動是一種無意識的自發的運動過程,運動過程中產生的信息是主動傳送,不管有無接收者,總是自發地、盲目地傳送;④自然信息源傳送的信息相對紊亂一些,有序程度比較低。以上指在沒有接受者或沒有人參與的情況下的特徵。如果一旦有人參與,則信息源就會因接受者的不同需要,而各具特徵。
計算機鑑識
計算機鑑識簡單來說,系指利用科技與嚴謹的檢查程式,自電腦系統或其它類似的存儲媒體中,查找罪行相關物證或間接物證。對於電腦鑑識專家來說,必需要能夠了解嫌疑犯世故的程度,懂得對方在信息專業方面的認知多寡,如果我們不清楚嫌疑犯的程度時,先將對方視為專家,並假設對方已經為有電腦鑑識之可能,做好事前準備。
待鑑識的已引導設備是否要關機以方便運送,或是保持引導狀態以避免變更原始數據,如同一把兩面刃的刀一樣,各有優劣。沒有關機的電腦,是不方便運送的,此外還有嫌疑犯啟動程式以銷毀重要數據的問題;但另一方面,關閉電腦後,諸如存儲器內部可能存有的重要密碼等易消失的數據,隨著關機便灰飛煙滅,其中的取決是一門臨場判斷的學問。電腦鑑識與傳統鑑識間,存在有許多差異點。巨觀來看,傳統鑑識著眼於鑑定與個化。兩者的鑑識過程中,均在於將犯罪現場的各個項目與物質,分析後再予以分類,甚至鑑識出其原由(如紅色的汁液,可能被分類為血或果汁等,甚至找出所有人。)。相對於傳統鑑識,電腦鑑識會著重於找出物證,並予以分析,這樣的過程相較於傳統鑑識來說類似犯罪現場調查。
乙太網中是基於廣播方式傳送數據的,也就是說,所有的實體信號都要經過我的機器,網卡可以置於一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠接收到一切通過它的數據,而不管實際上數據的目的地址是不是他。這實際上就是我們 Sniffer 工作的基本原理讓網卡接收一切他所能接收的數據。