Introduction to Digital Forensics
مفهوم الـ “Forensics” هو إستخدام الأساليب العلمية لإجراء تحقيق أو إثبات الحقائق (الأدلة) في قضية ما. ومفهوم الـ “Digital Forensics” هو عبارة عن عملية جمع الأدلة الرقمية وحفظها وتحليلها وتفسيرها وتوثيقها ومن ثم تقديم النتائج حول التحقيق الذي حدث في الحادثة.
يوضحّ هذا التعريف أهمية فهم الـ Life-Cycle لـ Digital Forensics Investigation وهي التي ذكرناها في الأعلى ، ونستذكرها مرة أخرى :
تعريف و جمع الإدلة الرقمية “Identification and Collecting”
حفظ الأدلة الرقمية “Preserving”
تحليل وتفسير الأدلة الرقمية “Analyzing and Evidence”
توثيق الأدلة الرقمية “Documenting”
وأخيراً تقديم النتائج “Presenting the Outcomes”
Digital Forensics Life-Cycle
هناك خمس خطوات مهمة يعملها المحقق أو الـ Investigator من خلالها في أي تحقيق رقمي “Digital Investigation” :
تحديد الهوية أو الـ “Identification” هنا يقوم المحقق بتحديد المعلومات التي يجب الحصول عليها.
المحافظة على الدليل أو الـ “Preservation” يمنع المحقق أي تلاعب بالأدلة أو الـ evidence. وهذا يشمل التعديل أو الإضافة أو الحذف للملفات والبيانات والخ. ومن أهم الأشياء التي يجب القيام بها في هذه الخطوة إنشاء نسخة جديدة من الدليل وإجراء التحليل على هذه النسخة.
التحليل أو الـ “Analysis” هنا يقوم المحقق بإجراء تحليلات آلية أو يدوية على الأدلة المنسوخة لإثبات أو نفي الفرضيات التي حصلت حول الحادث.التوثيق أو الـ “Documentation” هنا يقوم المحقق بتدوين وتوثيق جميع الأدلة، وكيف تم الحصول على الأدلة وتحليلها ، وما هي الأدوات التي تم استخدامها ومن قبل مين ، وأخيرًا كيف تم حفظها. يعتبر هذا جزء أساسي من العملية.
العرض أو الـ “Presentation” يجب أن يكون المحقق أو الـ Digital Forensics Investigator قادراً على عرض نتائج تحقيقه للجهة التي طلبت ذلك في شكل تقرير مفصل ومهني.
Digital Forensic Investigation
في الـ Forensic Investigation يجمع المحقق أو الـ Investigator الملاحظات من الأدلة التي حصلوا عليها للمساعدة في تحديد كيفية حدوث الجريمة ومتى ومن قام بها وبناء فرضية تشرح سبب الحادث وإجراء تقييم وتحليل للفرضية التي تؤدي إما إلى إثبات الفرضية أو نفيها.
فيه مفهوم مهم وهو إعادة بناء الجريمة أو مايُسمى بالـ “Crime Reconstruction” وهي عملية إعادة بناء الحادث بناءً على القطع أو الـ Digital Artifacts التي خلفها الجاني ، وإعادة ترتيبها لفهم كيفية ارتكاب الجريمة.
تُستخدم الأدلة هذه لتحديد تسلسل الأحداث أو مواقع الذي اهتم بها مرتكب الجريمة أو تحديد وقت ومدة الإجراءات التي اتخذها الجاني أو الـ Perpetrator.
Digital Forensics Investigation Steps
يتكون تحقيق الطب الشرعي الرقمي من خمس خطوات رئيسية وهي كالتالي :
الحصول على الإدلة أو الـ “Evidence-Acquisition”
التحقق أو الـ “Verification”
الحفظ أو الـ “Preservation”
التحليل أو الـ “Analysis”
الفاعلية أو الـ “Validation”
الأن نشرح كل خطوة بشكل مفصلة على ماذا تعني أو على ماذا تحتوي كل نوع على حدى.
Digital Forensics Investigation – Evidence-Acquisition
تتضمن هذه الخطوة إنشاء صورة جنائية أو الـ Imaging للأدلة حتى لايتم العبث بالنسخة الأصلية للأدلة.
عملية التصوير أو الـ Imaging هي بالضبط عمل نسخ للأدلة إلى جانب التقاط جميع بيانات الأدلة ، مثل الملفات والمجلدات ايضاً الـ Metadata وهي عبارة مجموعة من البيانات التي توفر معلومات حول البيانات الأخرى مثل حينما انشئ ملف بإسم شخص أو مثلاً تاريخ إنشاء الملف أو تاريخ التعديل وهذه تُعتبر من معلومات الملف الأساسي، فحينما يأتي شخص يبحث عن ملف من الممكن يبحث عنه من خلال المؤلف مثلاً فالبتالي يسهل على الشخص بأن يحصل على موقع المستند أو الملف ..
ايضاً من البيانات المهمة الذي يجب إلتقاطها هي الـ Data in Unallocated Spaces وهي تُشير المساحة غير المخصصة إلى جزء القرص الصلب أو الـ “Hard Disk Drive” الذي يمكن للأشخاص استخدامه لحفظ الملفات الجديدة. يُعرف أيضًا باسم "المساحة الحرة" لأنه يمكن استخدامه بحرية لتخزين أي نوع من البيانات.
في حالة وجود محرك الأقراص الثابتة أو الـ Hard Disk Drive فإن الـ Forensic Imaging أو التصوير الجنائي هو عملية إنتاج نسخة طبق الأصل من محرك الأقراص عن طريق عمل نسخة bit-for-bit من الدليل أو الـ Evidence لكن قبل عمل الـ Capturing للـ Forensic Imagie لابد من إرفاق مانع الكتابة أو مايُسمى بالـ Write Blocker وهو جهاز يمنع أي تعديلات على الدليل الأصلي الـ Original Evidence.
Digital Forensics Investigation – Verification
هنا يجب إنشاء الـ Hash Signature لكل من صورة الطب الشرعي أو الـ Forensic Image والأدلة الأصلية أو الـ Original Evidence للتحقق من أنها نسخة طبق الأصل صحيحة.
الـ Hash Signature يشبه نظام الإخطار فإذا حدث أي تعديل طفيف للأدلة فسيتم تغيير الـ Hash Signature الخاص به.
لذلك يجب على المحقق مقارنة الـ hashes بصورة الطب الشرعي والأدلة الأصلية للتأكد من أن كلا الـ hash signatures متماثلان. إذا لم تكن هي نفسها ، فإن صورة الطب الشرعي أو الـ forensic image غير صالحة ويجب إنشاء صورة جديدة متطابقة. من المستحسن عمل نسخ متعددة من الـ forensic image بحيث إذا تم تعديل نسخة واحدة ، يجوز للمحقق أو الـ investigator استخدام نسخة أخرى إذا لزم الأمر.
Digital Forensics Investigation – Preservation
بمجرد إنشاء الـ forensic image ، يمكن تخزين الأدلة الأصلية في مكان آمن بعيدًا عن الأفراد غير المصرح لهم. يجب حمايته من الرطوبة ودرجات الحرارة المرتفعة والعبث وأي عوامل أخرى قد تغيرها أو تضر بها وهذا لضمان أن الأدلة التي حصل عليها المحقق مقبولة.
Digital Forensics Investigation – Analysis
ثم يتم تحليل الـ forensic image لإستخراج الـ artifacts ذات الصلة التي قد تجيب على أسئلة التحقيق الستة: من الفاعل؟ ومتى؟ وماذا؟ وأين؟ وكيف؟ ولماذا؟ في بعض الحالات سيتم استخدام نتائج التحليل الذي تقوم بإجرائه لإثبات عدم وقوع أي حادث على الإطلاق.
Digital Forensics Investigation – Validation
يجب التحقق من صحة أي نتائج أو أدوات رقمية يتم العثور عليها أثناء التحليل للتأكد من سلامتها. يمكن القيام بذلك عن طريق حساب قيم الـ hash signature وتكرار إجراء التحليل. يجب أن يكون التحليل الذي تم إجراؤه في البداية قابلاً للتكرار للحصول على نفس النتائج مما يعني أنه إذا كرر محقق آخر نفس خطوات التحليل فيمكن تأكيد التحقيق.
What is Digital Evidence?
يُعرَّف الدليل الرقمي بأنه أي معلومات رقمية يتم تخزينها أو نقلها أو إنشاؤها في الأجهزة الإلكترونية و / أو البرامج. تُعرف الـ digital evidence أيضًا بالـ digital artifacts.
معالجة الأدلة أو ما يُسمى بالـ Evidence Handling تُعتبر هشة وبالتالي يجب الحصول عليها وتحليلها وحفظها باستخدام الأساليب العلمية التي تحافظ على الأدلة مقبولة قانونًا. فلذلك يجب على المحقق فهم الأنواع المختلفة من الأدلة الرقمية وأنواع مختلفة من الأجهزة الرقمية وترتيب الـ volatility وكيفية عمل أجهزة الكمبيوتر والـ tools.
فمثلاً الـ volatility يحدد ترتيب جمع الأدلة ، على سبيل المثال توجد البيانات في ذاكرة الوصول العشوائي أو الـ RAM وهي مثال على تخزين البيانات المتقلبة بمعنى هذه البيانات المتقلبة ليست دائمة بل هي مؤقتة ويمكن أن تفقد هذه البيانات في حالة انقطاع التيار الكهربائي ، أي عندما يفقد الكمبيوتر اتصاله. وبالتالي يجب الحصول عليها أولاً قبل البيانات الموجودة على محرك الأقراص الثابتة أو الـ Hard Disk drive على سبيل المثال النوع الآخر تُعتبر بيانات غير المتطايرة أو الـ Nonvolatile وهي نوع من المعلومات تحفظ في داخل نظام ملفات يتم الاحتفاظ بها في حالة معينة حتى عند فصل الإنترنت أو فصل الجهاز عن الطاقة.
Types Of Evidence - Volatile
تشمل البيانات المتطايرة أو مايُسمى بالـ Volatile وهي البيانات الموجودة في الذاكرة ، وذاكرة التخزين المؤقت ، وعلامة تبويب التوجيه وما إلى ذلك. هذه البيانات متقلبة مما يعني أنها ستفقد بمجرد إيقاف تشغيل الجهاز ولا يمكن الحصول عليها إلا أثناء تشغيل الجهاز.
البيانات المتقلبة أو الـ Volatile data تحتوي على معلومات حيوية من شأنها أن تساعد في تقدم المحقق. على سبيل المثال يمكن أن تحتوي الذاكرة على الـ digital artifacts بما في ذلك ملفات ذاكرة التخزين المؤقت المؤقتة وكلمات المرور ومعلومات المستعرض الخاص والمستندات التي لم يتم حفظها على القرص.
Types Of Evidence - NON-Volatile
البيانات غير المتطايرة أو الـ Non-volatile data, أو البيانات الدائمة وهي البيانات التي ستبقى محفوظة حتى إذا تم إيقاف تشغيل النظام أو الجهاز.
يمكن العثور على هذا النوع من الأدلة على محركات الأقراص الثابتة الـ Hard Disk Drives أو الأقراص الـ Disks أو الـ USB أو الـ Flash Drives أو الـ CDs أو الـ DVDs وآلخ..
Type Of Evidence
الدليل الذي يصنعه المستخدم هو أشياء مثل: الـ text files ملفات نصية ، وإشارات مرجعية أو الـ bookmarks . قواعد البيانات الـDataBase أو الصور والفيديو وملفات الصوت.
الأدلة التي ينشئها النظام هي أشياء مثل: الـ activity logs ، والـ configuration files ، والبيانات الوصفية أو الـ Metadata ، والـ registry files ، والـ swap files.
Digital Devices
أثناء تحقيق الرقمي أو الـ digital forensics investigation سيتم العثور على الأدلة في أنواع مختلفة من الأجهزة الرقمية. يجب على محقق “investigator” فحص جميع الأجهزة ذات الصلة للتأكد من أن الأدلة قد تم جمعها بالكامل.
ملاحظة: يجب عليك أيضًا التأكد من حصولك على الضمانات المناسبة أو مذكرات الإستدعاء “أذن مُصرّح به” تسمح لك على استحواذك على الأجهزة المعنية.
Digital Devices - Computers
محركات الأقراص الثابتة أو الـ Hard Disk drives (أو "HDDs") عبارة عن مزيج من الأجزاء المتحركة التي تعمل معًا لتخزين البيانات وقراءتها باستخدام التخزين المغناطيسي أو مايُسمى بالـ magnetic storage.
محركات الأقراص المزودة بذاكرة مصنوعة من مكونات صلبة أو الـ Solid State Drives (SSD) هي محركات أقراص صلبة لا تحتوي على أجزاء متحركة ، يستخدمون عملية تسمى Flash Memory لكتابة البيانات وقراءتها. تعمل ذاكرة الفلاش باستخدام الإشارات الكهربائية لتخزين البيانات.
تعد محركات الأقراص ذات الحالة الثابتة أو الـ SSDs أسرع أثناء تشغيل البيانات وقراءتها وكتابتها. بشكل عام لديها أداء أفضل مقارنةً بمحركات الأقراص الصلبة (HDDs).
Digital Devices - Mobile Devices
هذه هي الأجهزة المحمولة التي تحتوي على ذاكرة الوصول العشوائي (RAM) والتخزين (storage) ، والمعالجات (processors) ، ويمكنها تثبيت تطبيقات متعددة ، ولكنها صغيرة بما يكفي لتناسب الجيب.
يمكن تشغيل العديد من أنظمة التشغيل على الأجهزة المحمولة مثل iOS و Android و Windows والـ Smart Phones والـ Tablets والعديد من الأجهزة الأخرى تُعتبر mobile devices
Digital Devices - IOT Devices
أجهزة الحوسبة غير القياسية أو مايُسمى بالـ Non standard computing devices والتي تستخدم الاتصال اللاسلكي للإتصال ونقل البيانات عبر شبكة إنترنت الأشياء.
من أمثلة أجهزة إنترنت الأشياء : أجهزة الاستشعار ، والمشغلات، وأجهزة الترموستات الذكية ، وأجهزة المنزل الذكي.
Data Storage - Hard Drives
تُستخدم محركات الأقراص الثابتة أو الـ Hard Drives لتخزين البيانات على أجهزة الكمبيوتر والأجهزة الرقمية الأخرى.
هناك نوعان رئيسيان من محركات الأقراص الثابتة :
Hard Disk Drives (HDDs)
(SSD)Solid State Drives
Data Storage - RAID
تُسمى بالـ المصفوفة زائدة عن الأقراص المستقلة أو الـ Redundant Array of Independent Disks وأيضًا تُسمى بالـ مجموعة أقراص زائدة عن الحاجة أو الـ Redundant Array of Inexpensive Disks
فكرة الـ RAIDS هي دمج عدة أقراص في مصفوفة لتكرار البيانات أو تحسين الأداء.
Data Storage - Removable Media
الوسائط القابلة للإزالة هي أي نوع من أجهزة التخزين التي يمكن إزالتها أثناء تشغيل النظام. يتضمن ذلك الـ flash-drives والـ Solid State drives
يتم استخدام هذه الأجهزة من قبل الأشخاص لتخزين المعلومات أو التطبيقات أو لاستخدامها على أنظمة أخرى أو حتى لنسخ الملفات من كمبيوتر إلى آخر ، يمكن أن تحتوي هذه الأجهزة على معلومات قيمة.
هذه أنواع ايضاً تُعتبر من الأجهزة الشائعة في الـ Removable Media وهي كالتالي :
الـ Thumb drives وهي أجهزة تخزين صغيرة تستخدم لنقل الملفات يمكن إخفاؤها ونقلها بسهولة فـ لذلك قد يستخدمها المشتبه به لإخفاء الملفات المهمة.
الـ Memory cards يمكن العثور عليها في العديد من الأجهزة مثل الكاميرات الرقمية والهواتف المحمولة وحتى مع صغر حجمها قد تجد كمية كبيرة من البيانات المخزنة على هذه البطاقات مثل الصور والملفات الأخرى.
Data Storage - RAM
تعتبر ذاكرة الوصول العشوائي (RAM) أو الـ Random Access Memory نوع فائق السرعة وهي من نوع الـ volatile type لتخزين البيانات على ما يصل إليه الكمبيوتر حاليًا في لحظة معينة. كلما زاد حجم ذاكرة الوصول العشوائي في جهاز الكمبيوتر زاد عدد البرامج التي يمكن للكمبيوتر تشغيلها في وقت واحد.
نظرًا لاحتوائه على ما كان المستخدم يعمل عليه أو يعمل عليه حاليًا تعد ذاكرة الوصول العشوائي الـ (RAM) جزءًا مهمًا من الأدلة في التحقيق.
Data Storage - Cloud Storage
التخزين السحابي هو عبارة عن نموذج لتخزين البيانات داخل أجهزة الكمبيوتر حيث تقوم التجمعات المنطقية أو الـ logical pools أو مايُسمى بالشبكة السحابية للكمبيوتر بتخزين البيانات الرقمية ماديًا أو Physically يتم تخزين البيانات الرقمية عبر خوادم متعددة يديرها مزود خدمة بالإضافة إلى ذلك يتم استخدام التخزين السحابي لنسخ البيانات إحتياطيًا مما يعني انه يمكن أن يحتوي على معلومات قيمة لإجراء تحقيق.
Legal Aspects
لابد من التركيز على الجوانب القانونية في عملية التحقيق حتى يتم قبول الأدلة.
العوامل التي تؤثر على قبول الأدلة أو مايُسمى بالـ admissibility of evidence في المحكمة هي كالتالي :
الـ Inadequate Chain of Custody
هذا يعتبر مصطلح قانوني يشير إلى الترتيب والطريقة التي يتم بها إستخدام الأدلة.
إجراءات التحقيق غير القانونية مثل:
إستخدام أدوات وأساليب غير مقبولة في المحكمة.
الحصول على الأدلة دون الحصول على أمر تفتيش من الجهة المختصة.
أوجه القصور في سلامة الأدلة
جودة الأدلة
طريقة تقديم الدليل
يجب على المحققين تقديم الدليل الرقمي بطريقة يمكن لأي شخص حتى لو لم يكن لديه خلفية تقنية فهمها.
Chain Of Custody
تُسمى بالـ سلسلة التتبع أو Chain of Custody (CoC) وهي وثيقة تحتوي على معلومات مفصلة حول الأدلة الرقمية وتتبع المحققين الذين لديهم هذه أدلة ومكان تخزينها والتحليلات التي أجريت عليها والأدوات التي تم استخدامها. مع ملاحظة أن أي نقص أو تناقض في معلومات الـ COC سيجعلها غير مقبولة في المحكمة.
وهنا صورة للوثيقة كمثال عليها :
Types Of Digital Forensics Investigations
الأنواع الرئيسية لتحقيقات الطب الشرعي الرقمي هي كالتالي :
التحقيقات الجنائية وهي الـ Criminal Investigations
التحقيقات المدنية وهي الـ Civil Investigations
التحقيقات الإدارية وهي الـ Administrative Investigations
المباحث العسكرية وهي الـ Military Investigations
Investigations Type -Criminal
الـ Criminal Investigations أو التحقيقات الجنائية تختص بقضايا انتهاك القانون الجنائي. بمعنى هي الجريمة التي تستلزم تحقيقًا جنائيًا هي التي يخالف فيها المشتبه به القانون (قانون الدولة) ويرتكب جناية. فـ يجب أن يلتزم المحقق في إجراءات التعامل مع الأدلة والتحقيق بالقوانين التي تحددها المحاكم ..
Investigations Type -Civil
الـ Civil Investigations أو التحقيقات المدنية تختص بالقضايا التي تنطوي على مخالفة القانون المدني - والتي تشمل أي قانون غير مصنف كقانون جنائي. في القضايا المدنية لا يوجد حكم "مذنب" أو "غير مذنب" ، لا يوجد سوى “اللوم” أو "الأضرار".
بعض الأمثلة لقضايا القانون المدني هي:
الإخلال بالعقد.
دعاوى قضائية.
القضايا المتعلقة بملكية الممتلكات.
Investigations Type - Administrative
الـ Administrative Investigations أو التحقيقات الإدارية وهي نوع من التحقيقات المدنية التي تحدث داخل مؤسسة خاصة أو مملوكة ملكية عامة.
يمكن إستكمال التحقيقات الإدارية من قبل فريق تحقيق داخلي بالكامل أو الإستعانة بمصادر خارجية لشركات إستشارية ، ويمكن أن تؤدي هذه التحقيقات إلى إتخاذ إجراءات تأديبية أو تعليق أو حتى فقدان الوظيفة للجاني.
What is the role of the Digital Forensics Investigator?
دور المحقق أو الـ Investigator هو كالتالي :
يُقّدم الدليل الذي يثبت / ينفي أن المشتبه به قد انتهك سياسة الشركة (التحقيقات المدنية) أو ارتكب جريمة (التحقيقات الجنائية).
تحديد موقع البيانات التي تم الحصول عليها.
يتّبع الإجراءات القانونية المقبولة في التحقيق.
الإحتفاظ بالأدلة وإظهار القدرة على شرح التحليل والنتائج وتكرارها إذا لزم الأمر.
Challenges Of Digital Forensics
خلال التحقيقات الرقمية يواجه المحققون العديد من التحديات بما في ذلك على سبيل المثال لا الحصر مايلي :
قضايا قانونية أو الـ Legal issues
التحديات مع الحصول على الأدلة أو الـ evidence-acquisition
أنواع الأدلة
إخفاء البيانات وتقنيات التشفير
حجم وتوزيع الأدلة
Digital Forensic Challenges - Legal Challenges
التحديات القانونية هنا بأن المحققون يحتاجون إلى التأكد من أن الأدلة التي يجمعونها هل ستكون مقبولة في المحكمة أم لا. يبدأ ضمان المقبولية باتباع نطاق أمر التفتيش. على سبيل المثال قد يتم إصدار مذكرة لجهاز معين أو نوع معين من الملفات داخل جهاز الكمبيوتر. هذا يعني أن الـ digital artifacts الأخرى التي تم جمعها لم يتم تضمينها في الأمر ولن يتم قبولها ما لم يتم تضمينها في مذكرة أخرى.
Digital Forensic Challenges - Evidence-Acquisition
كيفية الحصول على الأدلة فقد يكون الدليل المطلوب في جهاز به واجهات أجهزة غير مدعومة أو نظام تشغيل غير مدعوم. قد يكون حجم الدليل كبيرًا جدًا. في بعض الحالات لا يستطيع المحقق إيقاف تشغيل الجهاز أو قد يحتاج إلى إجراء عملية استحواذ عن بُعد أو مايُسمى بالـ remote acquisition
برامج ضارة خاصة بالذاكرة فقط أو مايُسمى بالـ Memory-only malware
يتم تحميل هذه البرامج الضارة في ذاكرة الوصول العشوائي الـ RAM ولا تترك أي دليل على وجودها على القرص الصلب (Hard Disk). يتمثل الحل في عمل التقاط أو capture لذاكرة الوصول العشوائي الـ RAM للنظام قبل إيقاف تشغيل الجهاز أو إجراء تحليل مباشر للنظام مع ذلك لا يلتقط كل شيء دائمًا ، لأنه يتغير باستمرار أيضًا يمكن أن يصبح التحليل المباشر صعبًا للغاية إذا كانت إنتاجية الجهاز وعملياته لا تزال قيد الاستخدام.
Digital Forensic Challenges - Type Of Digital Evidence
مع التغيرات السريعة في التكنولوجيا يأتي إحتمال أن الأدوات والأساليب المستخدمة في التحقيقات الحالية أو الـ forensic investigations قد لا تعمل في المستقبل القريب. تتطور الأجهزة الرقمية على أساس سنوي أو شهري مع إنشاء إصدارات وأنظمة تشغيل جديدة باستمرار. يأتي مع هذا مجموعة كبيرة ومتنوعة من إصدارات التطبيق وتنسيقات الملفات المستخدمة في كل إصدار جديد فـ قد يتطلب تحليل كل تطبيق أدوات مختلفة..
Digital Forensic Challenges - Hiding Data And Encryption -Techniques
حماية البيانات الشخصية باستخدام تقنيات إخفاء مختلفة ، مثل التشفير (encryption) أو إخفاء المعلومات (steganography) يتم استخدام أشياء مثل هذه في كثير من الأحيان من قبل المستخدم العادي فـ يمكن أن يضيف هذا تحديًا للمحلل الذي يحاول إسترداد الـ digital artifacts.
Digital Forensic Challenges - Size And Distribution Of Digital Evidence
قد يكون حجم البيانات ذات الصلة التحدي الأكبر للمحققين أو الـ investigators في الـ digital forensics الذين يحتاجون إلى تحليل كمية كبيرة من البيانات في إطار زمني محدود - أحيانًا حتى مع محدودية الموارد المتاحة في بعض الحالات قد تواجه بيانات ذات أحجام ملفات كبيرة لتحليلها وقد يكون من المستحيل إنشاء صورة جنائية أو الـ forensic image للأدلة إذا كانت كبيرة جدًا فـ الحل هو تحديد الأدلة ذات الصلة التي سيتم جمعها قبل بدء التحقيق أو على الأقل حصر التحقيق في العثور على الأدلة التي من المرجح أن تساعد في تجريم المشتبه به أو تبرئته.
Digital Forensic Challenges - Evidence Dynamic
الدليل الديناميكي أو الـ Evidence Dynamic هو أي إجراء قد يعدّل الأدلة أو ينقلها أو يحجبها أو يمسحها من وقت نقل الأدلة حتى إنتهاء القضية. قد يكون هذا الإجراء مقصودًا أو غير مقصود.
على سبيل المثال قد يقوم المشتبه به بحذف ملف عن قصد أو الكتابة فوق البيانات أو تشفير البيانات التي قد تدينهم. من ناحية أخرى قد يحاول مسؤول النظام معالجة حادثة ما ولكنه قد يفسد الأدلة الهامة عن طريق الخطأ.