取证与应急响应
证据保管链
别称: CoC, 证据链
定义
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
证据保管链(CoC)用于维护数字与实物证据的完整性与可采纳性。每次交接都附带时间戳、标识符(案件号、物证编号、哈希值)与签字,物证存放在防篡改容器中,并保管于具有访问控制的场所。最佳实践遵循 ISO/IEC 27037、NIST SP 800-86 以及 ACPO/SWGDE 指南:使用写保护设备获取,复制前后计算加密哈希(SHA-256),并保存工作副本。保管链一旦断裂——缺失记录、哈希不一致、封条破损——证据可能被法庭排除,影响诉讼、保险与监管调查。
示例
- 签字的 CoC 表单记录被扣押笔记本从取证到出庭的全过程。
- SHA-256 哈希记录证明磁盘镜像自采集到分析未被篡改。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
Preservation of Evidence
Preservation of Evidence — definition coming soon.
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
写保护设备
允许对存储设备执行读取但阻止任何可能改变证据的写入操作的硬件或软件工具。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。