В ходе уголовного расследования может потребоваться произвести сбор и анализ данных компьютерных систем, сетей, систем беспроводной связи и устройств хранения. Сбор и анализ данных с этими целями называется компьютерно-технической экспертизой. В процессе компьютерно-технической экспертизы действия производятся на основании законодательства в сфере ИТ и конкретных законов, согласно которым собранные данные могут являться доказательством в суде.
В зависимости от страны незаконное использование компьютера или сети может включать в себя:
- хищение персональных данных
- использование компьютера для продажи контрафактных товаров
- использование нелицензионного ПО на компьютере или в сети
- использование компьютера или сети для создания неавторизованных копий материалов, защищенных авторским правом: фильмов, телевизионных программ, музыки и видеоигр
- использование компьютера или сети для продажи неавторизованных копий материалов, защищенных авторским правом
- порнография
Этот список не является исчерпывающим.
При проведении процедур компьютерно-технической экспертизы осуществляется сбор двух основных типов данных: данных длительного хранения и кратковременных данных.
Данные длительного хранения — это данные, хранящиеся на локальном диске (на внутреннем или внешнем жестком диске или на оптическом диске). При выключении питания компьютера эти данные сохраняются.
Кратковременные данные — данные, которые содержатся в ОЗУ, кэш-памяти и реестрах. Данные, которые находятся в процессе передачи между носителем и ЦП, также являются кратковременными. Важно знать, каким образом можно получить эти данные, поскольку они исчезают сразу же после выключения компьютера.