デジタル証拠バッグ
特にデジタル証拠収集および解析の文脈で、デジタルデータを取得および解析するためのコンピュータ、装置、およびシステムのためのデータ構造、方法、プログラム。デジタル証拠は、インデックスファイルと、1つまたは複数の証拠ユニットとを有するデジタル証拠バック内に取得され、証拠ユニットはそれぞれ、インデックスファイルと、証拠ファイルとを備える。証拠ファイルは、生の取得されたデータのコピーを含み、関連のインデックスファイルは、証拠ファイルの内容および構造のテキスト詳細を含む。タグファイルが、データ元、および/または証拠ユニットおよび/またはデジタル証拠バック全体の来歴を記述するデータを含む。インデックス情報および証拠データは、同じまたは異なるファイル内にあってよい。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、デジタル証拠収集、追跡、および解析のためのコンピュータのための装置、方法、データ構造、およびプログラム、ならびにそれを組み込むシステムに関する。
【背景技術】
【0002】
取り調べまたは捜査の過程で犯罪現場が検証される法執行の世界において、法執行官は、その時に関連すると考えられる見つけられた証拠品目を保管するためのバッグおよびシールを使用する。その際、品目はバッグ内に入れられ、バッグは現場で封止される。シール番号が記録され、タグが付けられ、タグは、以下のような細目を含むことがある。
捜査機関/警察
証拠物件参照番号
特性参照番号
事件/容疑者名
品目の簡単な説明
品目が押収/作成された日付および時間
品目が押収/作成された場所
品目を証拠として作成した者の名前
品目を作成した者の署名
事件/犯罪参照番号
研究所参照番号
【0003】
また、タグは、他の者が品目の管理を行うときに署名することができる継続性目的のための欄を含む。これを使用して、品目が押収された時間から、品目が証拠として法廷で使用される、所有者に返される、または破壊される時間まで、継続性を提供し、来歴を保証する。
【0004】
継続性の欄は通常、以下の細目を示す。
品目の管理を行う者の名前/身分および番号
品目の管理を行う者の署名
その者が品目の管理を行う日付および時間
【0005】
犯罪現場が検証されるとき、押収される証拠のバッグが多くなることは珍しくなく、それらのバッグのサイズ、形状、およびタイプは、物品の内容およびタイプによって様々である。この理由から、様々な容量のバッグが使用される。
【0006】
また、この個別のラッピングは、様々な物品が、その品目を処理することができる様々な専門家の研究所の間で分散されることを可能にする。例えば、いくつかの品目は、指紋解析を必要とすることがあり、他のものは、DNA解析を必要とすることがあり、その一方で、他のものは、捜査官によるそれらの内容の解釈だけを必要とすることがある。
【0007】
コンピュータ技術は、より一層洗練されてきており、記憶媒体容量が増加してきているので、捜査のための科学捜査的な取得および解析デジタル証拠は、より厄介になっている。
【0008】
近年、デジタル世界において、物理的な証拠取得プロセスに最も近い等価物は、プレーン「dd」画像ファイル(例えば、“The Linux Kernel and the Forensic Acquisition of Hard Disks with an Odd Number of Sectors”−Jesse D.Kornblum,International Journal of Digital Evidence,Fall 2004,Volume 3,Issue 2参照)、または様々な科学捜査ツールベンダーによって製造される多くの独自仕様形式の1つである。
【0009】
科学捜査的なデータ取得の伝統的な方法は、デジタル媒体(例えば、コンピュータハードディスク)の全デジタル画像を単一のデジタル画像としてコピーすることを含み、この画像が、その後、解析ツールによって単一の実体として解析されなければならない。
【0010】
「dd」生ファイル取得は、取得の日付および時間、取得プロセスを行う者、または取得された物の完全性を保証する助けとなる任意の機構など、細目を取り付ける方法を含まない。これらの特徴は、取得後に生成することができるが、通常は、別個の異なる職務としてそのプロセスを人が行うという追加の処置を必要とする。
【0011】
現在利用可能な電子記憶ディスクが少なくとも250Gb(これは、将来、増加することがほぼ確実な数値である)の容量を有することがあると仮定すると、そのような大きなデータユニットを処理する作業は、管理不能になる。
【0012】
それにも関わらず、解析に使用されるベースデータが、厳密にデジタル証拠が取得された時に捜査下のシステムの内容を包括的かつ正確に反映することを保証することが法的に必要である。したがって、捜査下のシステムの全デジタル画像の取得が、その要件を満足するために必要と考えられている。
【0013】
これらの方法は、一般に、証拠全体を単一のフリーサイズ(one size fits all)データ「実体」として取得する。現代のハードディスクドライブのますます大きくなる容量を仮定してしばしばそうであるように、取得された品目が1つのファイル内に収まるには大きすぎる場合、ファイルは、「チャンク」に分割される。これは、ファイルが後でバックアップされることを可能にするため、または、取得の時間に不十分な容量の単一の記憶デバイスが利用可能でない場合に、ファイルが複数のより小さな媒体の間で分割されることを可能にするためである。しかし、これらのタイプのデータ取得出力のうちいずれかの内容を処理できるようにするためには、通常、細分化されたファイルの総体が、その証拠を処理するために使用されることになる単一のアプリケーションで再び利用可能にならなければならない。
【0014】
その結果、例えば、金銭的不正の捜査に関しては、いくつかの種類のファイル(例えば、スプレッドシート、およびレターおよびメモ形式)の解析のみが最も適切で効率的であることがあり、音楽著作権侵害の捜査に関しては、音楽ダウンロードファイル形式およびウェブログファイルの解析が最も適切であることを捜査者が知っているにも関わらず、知られているデジタル証拠解析ツールは、これらの大きなデジタルダンプファイルに対してのみ動作するように設計される。それにも関わらず、現在の証拠取得は、捜査されるシステムのデジタルダンプの取得と、単一の実体としてのそのダンプ全体の後続の解析との形でのフリーサイズソリューションのみを提供する。
【0015】
法廷証拠として提出される任意のデジタル証拠の来歴の証拠を提供することができることがさらに必要である。これは、すなわち、提出されるデジタル画像が、実際に解析下のシステムの忠実で完全なコピーであること、およびそれが改竄されていないことの証拠である(例えば、“Digital Provenance−Interpretation,Verification & Corroboration”−Phillip Turner,Digital Investigation,2005参照)。
【0016】
図1を参照すると、EnCase(登録商標)Legal Journalシステム(Guidance Software発行 December 2004−sections5.0−5.5)に記載されるシステムが、証拠ファイル10内にデジタル証拠1をダウンロードすることができるシステムを提供する。データは、圧縮アルゴリズムが元のデータの詳細全てを保存すると仮定して、空間効率のために任意選択で圧縮されることもある。CRCディジットが、バイナリダンプにわたって個々のセクタに付加され、ファイルにわたって分散される個別のブロック11として記憶される。これらのチェックディジットは、個々のブロックが改竄されておらず、不慮に破損されてもいないことを確認する手段を提供する。また、それらをバイナリダンプ全体のサブブロックと関連付けることによって、どのような原因からのものであれ、そのような破損の証拠に関わる影響を緩和し、それにより、同じファイルからの他の破損されていないブロックが、証拠として引き続き認められることを可能にする。また、バイナリ画像全体のMD5ハッシュ121が、証拠ファイルのフッターコンポーネント12内に記憶され、それにより、破損または改竄から保護するためにさらなるデータ完全性チェックを提供する。
【0017】
来歴(または「管理の連鎖」)情報を提供するために、各EnCase(登録商標)証拠ファイルは、管理情報を含むヘッダセクション13も備える。この管理情報は、例えば、獲得の時間での取得されたデータに関するMD5ハッシュ値に加えて、検査されるコンピュータの識別、証拠画像取得の日付および時間、画像を作成する捜査者の識別などである。しかし、この来歴情報は、EnCase(登録商標)ソフトウェア内部から変更することはできず、したがって、証拠ファイルに対して行われる管理または解析の後続の変更を追跡するためには使用することはできない。来歴情報は、単にデータ取得の瞬間での来歴を表すように設計される。
【0018】
さらに、Encase(登録商標)システムは、証拠ファイル10内部に、元のデータ元からのものとは異なるデータ(例えば、ヘッダー13、フッター12、およびCRCチェックディジット11)を埋め込むので、一般に、それらの証拠ファイルに他のCOTS解析ツールを適用することは実用的でない。これは、それらの解析ツールが、そのような独自仕様のファイル構造化を考慮するようには設計されていないからである。そうではなく、捜査者が、EnCase(登録商標)画像から物理デバイスを初めに復元し、次いで、その画像に他の解析ツールを適用することが推奨される。このプロセスは、場合によっては非常に時間がかかり、また、証拠ファイル内部から画像データを抽出することによって、場合によっては、元のデータからの来歴連鎖を切る。
【0019】
論文“Breaking the Performance Wall:The case for Distributed Digital Forensics”(Vassil Roussev,Golden G.Richard III,Department of Computer Science,University of New Orleans,LA70148)が、デジタル証拠の解析の分散を論じている。
【0020】
特許出願US2004/0260733A1が、目標計算デバイスに記憶されることがあるコンピュータ証拠を収集して解析するために、目標計算デバイスにユーザが遠隔で問い合わせることを可能にするための技法を開示する。
【0021】
特許出願EP0893763A1は、コンピュータメモリからコピーされるデータの完全性を検証して認証するためのシステムを開示する。これは、コピーされたデータの個々のブロックに関して計算されたハッシュ値を採用し、ハッシュ値は、外部媒体(例えばフロッピー(登録商標)ディスク)に暗号化されて記憶される。
【発明の開示】
【発明が解決しようとする課題】
【0022】
解析に使用されるベースデータが、厳密にデジタル証拠が取得された時に捜査下のシステムの内容を包括的かつ正確に反映することを保証することが法的に必要である。したがって、捜査下のシステムの全デジタル画像の取得が、その要件を満足するために必要と考えられている。
【課題を解決するための手段】
【0023】
本発明の第1の態様によれば、デジタルデータを取得する方法であって、デジタルデータをデータ元から1つまたは複数の証拠ファイルにコピーするステップと、各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するステップと、タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するステップとを含む、方法が提供される。
【0024】
デジタルデータが、複数の証拠ファイル内にコピーされることがある。
【0025】
デジタルデータが、データ元から選択的にコピーされることがある(すなわち、所与のデータ元からの全てのデータが、任意の所与の証拠ファイル内にコピーされる必要はない)。
【0026】
各証拠ファイルに関して、データ元とデジタルデータの内容との一方を記述するデータが、証拠ファイルとは異なるインデックスファイル内に記憶されることがある。
【0027】
異なるインデックスファイルが、各証拠ファイルに関して作成されることがある。
【0028】
データ元とデジタルデータの内容との一方を記述するデータが、デジタルデータのデジタル指紋を備えることがある。
【0029】
タグファイルが、少なくとも1つの証拠ファイルのデジタル指紋を備えることがある。
【0030】
タグファイルが、データ元とデジタルデータの内容との一方を記述するデータの形式の記述を備えることがある。
【0031】
データ元がデータ記憶媒体(または、他の静的データ媒体)であってよい。
【0032】
データ元がデータ伝送媒体(または、他の動的データ媒体)であってよい。
【0033】
いくつかの実施形態では、来歴の複数の表示が、1つまたは複数の証拠ファイル内のデジタルデータの少なくとも1つの所与の項目と関連付けられる。
【0034】
本発明の第2の態様によれば、本発明の他の態様の方法のステップを行うために、当該のコード部分およびデータ構造を有するコンピュータのためのプログラムが提供される。
【0035】
本発明の第3の態様によれば、デジタルデータを取得するための装置であって、デジタルデータをデータ元から1つまたは複数の証拠ファイル内にコピーするための手段と、各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するための手段と、タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するように構成された手段とを備える、装置が提供される。
【0036】
本発明の第4の態様によれば、デジタルデータを取得するためのデータ構造であって、データ元からコピーされたデジタルデータを含むための少なくとも1つの証拠ファイルと、データ元と少なくとも1つの証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを含む少なくとも1つのインデックスファイルと、少なくとも1つの証拠ファイル内のデジタルデータの来歴を示すデータを含むタグファイルとを備える、データ構造が提供される。
【0037】
本発明の第5の態様によれば、アクセスされるべき1つまたは複数の証拠ファイルを識別するステップと、データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するステップと、証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するステップとを含む、第4の態様に記載のデータ構造にアクセスする方法が提供される。
【0038】
証拠ファイルアクセスの詳細が、証拠ファイルアクセスを行うアプリケーションの識別と、証拠ファイルアクセスを要求するユーザの識別と、証拠ファイルアクセスの時間の識別との少なくとも1つを備えることがある。
【0039】
完全性チェックがデジタル指紋、例えば、CRCディジット、MD5ハッシュ、およびSHAハッシュの1つであってよい。
【0040】
本発明の第6の態様によれば、アクセスされるべき1つまたは複数の証拠ファイルを識別するための手段と、データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するための手段と、証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するための手段とを備える、第4の態様に記載のデータ構造にアクセスするための装置が提供される。
【0041】
本発明の第7の態様によれば、データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするステップと、新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出された証拠データを処理するステップと、既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するステップと、新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するステップとを含む、第4の態様に記載のデータ構造を更新する方法が提供される。
【0042】
本発明の第8の態様によれば、データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするための手段と、新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出される証拠データを処理するための手段と、既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するための手段と、新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するための手段とを備える、第4の態様に記載のデータ構造を更新するための装置が提供される。
【0043】
有利には、異種のタイプおよびサイズのデジタルデータ/証拠を取得するための共通の形式の使用が、そのようなデジタル証拠の来歴の追跡を容易にし、それと同時に、異種の解析方法およびツールによるデータの効率的および選択的な解析も容易にする。そのような解析はまた、証拠データのコピーに並行して行われることもあり、その証拠データの元のデータからの来歴は、追跡して検証することができる。
【0044】
本発明はまた、他の追加の装置と共に、本発明を採用する装置の1つまたは複数の実例を備えるデジタルデータ/証拠取得および解析の目的のためのシステムも提供する。
【0045】
本発明はまた、機械読取り可能な形態で、操作時に装置および/または方法のあらゆる機能を実施するように構成されたコンピュータソフトウェアも提供する。
【0046】
好ましい特徴は、当業者に明らかなように適宜組み合わされることがあり、本発明の態様の任意のものと組み合わされることがある。
【0047】
本発明が実行される様子を示すために、次に、本発明の実施形態を単に例として、かつ添付図面を参照して以下に説明する。
【発明を実施するための最良の形態】
【0048】
次に図2を参照すると、デジタル証拠バッグ(DEB)20は、任意のタイプのデジタルベースの証拠または情報のための構造化されたラッパーである。DEBは、任意に大きな容量を有していてよく、当然、それを担うために利用可能な記憶媒体の物理的な限界による。ユーザ要件に依存して、DEBは、静的環境で取得することができる情報(例えば、磁気または光学記憶媒体の画像)、またはリアルタイム環境で取得することができる情報(例えば、通信媒体を介するデジタルトラフィックの記録)を記憶することがある。
【0049】
DEBは、タグファイル21と、1つまたは複数の証拠ユニット(EU)22a、22bとを備える。さらに、各証拠ユニットは、インデックス情報221と、デジタル証拠のユニット222とを備える。インデックス情報とデジタル証拠自体とは、好ましくは、例示されるように別個のファイル(インデックスファイルおよび証拠ファイル)内に含まれるが、別法として、インデックス情報が、例えば認識可能なファイルヘッダとして、デジタル証拠と同じファイル内に記憶されてもよい。
【0050】
さらに、各証拠ファイルは、完全性保証情報を備えたそれ独自のタグ情報を含む。
【0051】
そのようなDEBは、ほぼ任意のサイズの、任意の情報元からのデジタル情報が、科学捜査的に有効な様式で記憶されることを可能にする。さらに、このモデルは、DEB内に記憶された証拠が様々なアプリケーションに分散されることを可能にし、それらのアプリケーションが、証拠ファイルの内容に対して様々なタスクを行うこともある。また、この手法は、アプリケーションを独立させ、同じタスクを行うアプリケーションが、異なる様式(例えば代替のキーワードサーチアルゴリズム)であっても、場合によっては並行して同じ証拠に対して作業できるようにする。
【0052】
タグファイル21は、好ましくはプレーンテキストファイルであり、しかし他のより複雑なファイル形式(例えば、Microsoft(登録商標) Word形式)が採用されることもあり得る。タグファイルは、それが一部を成すDBE内部に含まれる証拠ユニットの記述詳細を含む。タグファイル内に含まれる情報は、物理的な証拠が押収されるときに物理的な証拠に付けられる物理的なタグに見られることがある情報と類似しており、例えば、以下の、または同様の項目の1つまたは複数を備えることがある。
捜査識別子;
証拠識別子または参照;
情報を習得する個人の識別;
取得プロセスが起こったときの日付および時間;
DEBの内容のテキスト記述;
継続性情報。
【0053】
しかし、デジタル環境では、証拠に関する情報を記録して、その完全性を保つために、物理的な世界において存在するよりも多くの余地が存在する。したがって、タグファイルは、DEB内の情報の来歴を記憶するため、およびDEB内部に含まれる情報の継続性記録を提供するために使用されることもある。また、DEB内のタグファイルは、DEB解析アプリケーションがDEBにアクセスする時を記録するため、また、DEB内の任意のEUに対してどの解析が行われたかを記録するために使用されることもある。
【0054】
次に図3および4を参照すると、タグファイル21aはまた、以下のものを備えることもある。
DEB内のEUの数のカウント45;
証拠ファイル内の取得された証拠データの完全性チェック42、44(例えば、CRCディジットまたはハッシュ);および
インデックスファイルまたはその各々の完全性チェック41、43(例えば、CRCディジットまたはハッシュ);および
今までのタグファイルのハッシュを備えるタグシール完全性チェック(例えば、ハッシュ数)31。
【0055】
また、タグファイル21aは、1つまたは複数のタグ継続性ブロック(TCB)32を備えることもある。TCBは、アプリケーションがDEB全体に対して機能を実施する、またはDEB内部の1つまたは複数のEUに対して機能を実施するたびに、タグファイル21bに付加(あるいは別途に追加)される。TCBは、以下の、または同様のDEBアクセスデータのいくつかまたは全てを取得することがある。DEBまたはEUに適用されたアプリケーションの日付および時間46、バージョン47、アプリケーションID47、アプリケーション署名(ハッシュ)49、および機能50。各新たなTCBがタグファイルに付加されるとき、新たなタグシールハッシュ数321も付加され、新たに付加されたTCB32の先行内容を含むタグファイル21bの更新された内容と、タグファイル内に事前に存在する任意の事前に記録されたタグシールハッシュ数31とに関して計算される。
【0056】
多様な情報元から取得された情報(すなわち、静的、リアルタイム、または選択的データ)を保持するためにDEBに柔軟性を提供する重要なコンポーネントは、DEBヘッダ内部で使用されるメタタグ構造51である。いくつかの状況では、DEB全体または一部(EU)の内容を圧縮または暗号化することが有利であることがある。これは、暗号化または圧縮された内容の形式タイプを記録することによって、インデックスファイルに反映される。
【0057】
インデックスの内容および内容の形式を定義するために、構造がタグファイル内で定義される。構造定義は、一連のメタタグ(MT)を備える。MTは、フィールドのシーケンスとインデックスの内容タイプとの両方を定義するために使用される。さらに、インデックスは、バッグの内容に関係する情報を保持する。メタタグ定義の例は、以下のものを含み、しかしそれらに限定されない。
<F>=ファイル名
<Fx>=ファイル名拡張/タイプ
<Fa>=ファイル属性(例えば、システム、読取り、アーカイブ、隠し)
<Fmft>=MFTインデックス数
<Fls>=バイト単位での論理ファイルサイズ
<Fps>=占有される物理ファイルサイズ
<P>=ファイルパス/来歴情報
<Ds>=データ元(PDA)−RAM、ROM、データベース(ユーザデータ)、SIM、ハンドセット
<Hmd5>=ハッシュMD5
<Hsha>=ハッシュSHA
<Tmod>=タイムスタンプ−変更
<Tacc>=タイムスタンプ−アクセス
<Tcre>=タイムスタンプ−作成
<Temo>=タイムスタンプ入力変更(NTFS)
<Tpacket>=パケット時間
<Ddes>=デバイス記述子
<Dman>=デバイス製造業者
<Dmod>=デバイスモデル
<Dsn>=デバイスシリアル番号
<Dcap>=デバイス容量
<Dpin>=デバイスPIN、セキュリティアクセスコード、パスワード
<Dsp>=デバイスサービスプロバイダ(電話)
<Raw>=バッグ内容が生/バイナリ無構造
例えば、特定のインデックスファイル形式になる場合、当然、簡潔にするために一般的または標準的な略記が導入されることがある。例えば、略記
<FAT12>
が、以下のメタタグシーケンスを表すために使用されることがある。
<F><Fx><Fa><Fls><Fps>・・・など
【0058】
図4では、DEB内部の全てのEUに適用可能な単一のインデックス形式51のみが例示されているが、明らかに、インデックス形式詳細がインデックスファイル毎に定義されてもよい。
【0059】
各インデックスファイルは、対応する証拠ファイルの内容を詳述するリストを含むタブ区切りプレーンテキストファイルである(しかし、他の形式が使用されることもある)。インデックスファイルは、対応する証拠ファイル内のデジタル情報の内容に関係する、ファイル名、フォルダパス、およびタイムスタンプ情報のリストなどの細目を含むことがある。証拠が抽出された物理デバイスの細目、例えば、取得されたデバイスのメーカー、モデル、およびシリアル番号を含むこともある。インデックスファイルの正確な形式および構造が、タグファイル21内のタグ情報に反映される。したがって、タグ情報は、様々な証拠ユニット内部の構造の表示を解析ツールに提供する。これは、知られているシステムと異なり、個々の証拠ユニットが異なる構造を示すことがあるためである。
【0060】
証拠ファイルは、実際の証拠データ/情報自体を含む。これらの証拠ファイルの内容は、生バイナリ情報(例えば、知られているシステムにおけるような生デバイス取得から)、ファイル(例えば、論理ボリューム獲得から)、構造化されたバイナリ情報(例えば、ネットワークプロトコルパケット取得から)、または分類されたファイル(例えば、1つの証拠ファイルが、全てのテキストファイルを含み、別のものが、全てのMicrosoft(登録商標) Word文書を含み、または別のものが、全てのJPEGグラフィックファイルを含むなど)であってよく、しかしそれらに限定されない。
【0061】
獲得される証拠ソースファイル毎に1つの証拠ファイルを作成すること(例えば、1つの証拠ファイルに1つのJPEGファイル)も、1つの選択肢である。これは、非常に大きなタグファイルをもたらすことがあるが、個々のファイルが特定の証拠の対象となっていることがある場合には適切であることがある。
【0062】
DEBアプリケーションプログラムが提供されることがあり、これは、証拠ファイルに対して行われる操作の履歴をタグファイルの内容が反映するように、タグファイルを更新する。そのような情報は、アプリケーションが証拠ユニットに適用された日付および時間を含み、アプリケーション署名を含み、それにより、どのカテゴリーのアプリケーションおよびどのバージョンのアプリケーションが使用されたか分かる。また、DEBアプリケーションは、タグシール数も更新すべきである。
【0063】
DEBモデルをサポートするために、DEBを作成して使用することができるアプリケーションは、いくつかのカテゴリーで記述されることがある。
DEB取得アプリケーション:これらは、任意のタイプのデジタル元からDEBを作成するために使用され、いくつか例を挙げると、静的ディスク取得、PDA取得、モバイル電話取得、またはライブネットワークパケット取得のいずれであっても構わない。このアプリケーションの重要性は、上述したように、全てのこれらの様々なデジタルプロセスが、DEBの形態で共通のデータ構造内に証拠を記憶することができることである。
DEB解析アプリケーション−これらは、すでに作成されているDEBに対する操作を行うために使用される。行われることがある操作のタイプは、キーワードサーチ、ハッシュ解析、グラフィカル画像解析および特徴付け、パスワードクラッキング、ログファイル解析などを含み、しかしそれらに限定されない。操作がDEBの内容に対して行われるとき、ログが、証拠に対して行われた機能についてタグファイル内に保たれることがある。これは、使用されたDEB解析アプリケーションの日付、時間、タスクのタイプ、バージョンのオーディットトレイルを提供する。
【0064】
異種のデジタル元からの情報がDEB内にカプセル化されて、DEB解析アプリケーションを使用して処理される場合、これは、デジタルベースの証拠の処理を大幅に合理化することになる。また、これは、ツールベンダーが、自己完結型DEBに対して操作することができるアプリケーションを作成することを可能にし、捜査者が、EUに対して特定の操作を行うツールを得ることを可能にする。これは、同じ証拠に対して作業するために異なるベンダーによって解析アプリケーションが提供されることを可能にし、捜査者が、単に別のツールに対して実行するために、情報が獲得された形式を別の形式に翻訳する必要がない。これは、変換の時間を減少する効果を有し、また、結局は全く同じ情報であるが異なるヘッダを備えて記憶された、または圧縮されていない形式で記憶された様々なバージョンの情報を保持するのに必要とされる記憶容量を減少する効果を有する。
【0065】
DEBがデジタル科学捜査の世界にもたらす柔軟性により、画像取得に対する現行の特徴のない(dumb)手法(すなわち、媒体の始めから開始して、終わりまで全てを取得する)は、より知的または選択的な様式で動作するイメージャで置き換えることができる。例えば、イメージャは、1つのDEBに1つの特定のタイプの全てのファイルを取得し、別のDEBに別のタイプを取得することができる。同様に、イメージャは、より「知的」であって、特定の情報に狙いを定めることができ、例えば科学捜査的なトリアージを実施することができ、システム構成情報だけを取得して、それにより、システムが持っていた操作能力を発見する機会を捜査者に与える。別法として、システムが猥褻画像を含むかどうかを判定するためなど、捜査の焦点が非常に狭い場合、イメージャは、特定のタイプのファイルをDEBに取得することができる。
【0066】
また、DEB形式および構造が、「ラッパー」アプリケーションから実行される既存のアプリケーションと共に使用することができるようなものであることが注目される。これは、既存のアプリケーションが、変更を伴わずに、または最小限の変更を伴って、しかしDEBデータ構造および方法によって提供される情報保証、完全性、および継続性の追加の利益を伴って、即座に使用されることを可能にする。
【0067】
DEBまたはEUが1つのタイプの情報を完全に保持することができることは、デジタルケース全体が、そのカテゴリーの情報を扱うことができるシステム、アプリケーション、またはプロセス間で分割されることを可能にする。これを拡張することで、さらに、DEBまたはEUが、マルチタスクおよび/またはマルチプロセス環境内で、ある範囲のシステムにわたって、そのカテゴリーの情報を取り扱うのに最も適したアプリケーションに分散されることが可能になる。これは、その証拠に対してどのプロセスまたは機能が実施されたかを示すDEB継続性情報を作業者が更新することを分かった上で、作業者(クライアント)アプリケーションにDEBまたはEUを安全に分散することができる能力を科学捜査制御装置に与える。
【0068】
DEBまたはEUが様々な解析アプリケーションに渡されるとき、シールに対する継続性情報が更新される。したがって、これは、その証拠に対して実施されるタスクおよびプロセスのログを提供する。
【0069】
DEB概念の別の特徴は、継続性情報を維持することができる能力、およびDEB内部に含まれる情報の来歴を示すことができる能力である。これと結び付けられるのは、DEB内部の証拠の完全性を保守および保証するための要件である。
【0070】
DEBを導入して利用するための実用的な手法は、拡張可能な形式定義を採用することであり、拡張可能な形式定義は、時間が経つにつれて発展することができ、したがって将来の要件に合うように機能向上されることがある。したがって、DEB手法の初期の実装は、現行の科学捜査ツールおよびアプリケーションのための「ラッパー」としてDEBを使用してよい。これは、今日一般に使用されて受け入れられているツールと共にDEB形式を使用および適用する経験を得ることができるという即時の利益を有する。
【0071】
捜査者になるためのマニュアルはなく、良い捜査実践を行うための知識を伝えることは、非常に困難であり、時間がかかる。デジタル世界では、単に現在の技術的な進歩についていくことが、ほぼ不可能である。しかし、証拠に対してどのアプリケーションおよびプロセスが実施されるかをログ記録するDEB手法は、場合によっては自動化プロセスでそれらの解析作業が行われるシーケンスと共に、タスクを行うために最も効果的な順序を捜査者が習得することができる能力を高める。
【0072】
さらに、このタイプの機構はまた、訓練生が、試験事例に着手して、それらに捜査者がどのように取り組むかを記録することを可能にするので、捜査者の試験および検定を補助することもできる。
【0073】
説明されたデータ構造および方法から、以下の利点が即座に明らかである。
証拠獲得のためのスケーラブル手法;
マルチプロセッサおよび分散システムにわたってデジタル証拠が処理されることを初めて可能にする、科学捜査処理のためのスケーラブル手法;
最も適切な技法を適切なタイプの証拠に向ける、増大された証拠材料スループット;
現行ツールおよび方法での財政投資を否定せず、現行の証拠取得および解析方法のいくつかを組み込むこと;
多様なデジタルデバイスからの証拠を処理することができる能力;
有効な科学捜査フレームワークへのリアルタイムデータ獲得の統合を許すこと;
全てを収集する現行の手法とは対照的に、選択的および/または知的データ獲得手法が実施されるのを可能にすること;
1つの証拠に対して実施されるプロセスのオーディットトレイルを自動的に作成することができ、そこからの規準は、最も効果的な方法の解析がデジタル証拠を処理することを可能にし、科学捜査を行うために最良の方法で新たな専門家を教育するために使用することができること。
【0074】
主にデジタル証拠収集の文脈で説明したが、本発明は、そのような用途に限定されず、当業者に明らかであるように、取得されたデータの来歴および継続性が重要である他の状況でも適用されることがある。
【0075】
全てを獲得することが実際的でないことがあるときには、部分または選択的データコピー作成が、画像全体を取得することへの代替法と考えられることがある。そのような部分コピー作成は、「選択的イメージング」として知られている。選択的手法を適用する1つの理由は、獲得されなければならないことがある情報の量である。選択的獲得を行うための他の理由は、科学捜査的なトリアージ、知的収集、および法的要件を含むことがあり、しかしそれらに限定されない。選択的手法が採用されるべき法的な理由が存在することがあり、例えば、法務職特権(Legal Professional Privilege;LPP)材料に関わる場合である。選択的手法を採用することは、それに関連付けられるいくつかのリスクを有し、しかしこれは、任意のあまり科学的でないまたは厳密でない様式で証拠を収集すべきではないことを意味するものでは決してない。
【0076】
使用されることがあるいくつかのタイプの選択的イメージング技法が存在する。これらは、手動選択的イメージング、半自動選択的イメージング、および自動選択的イメージングを含む。
【0077】
手動選択的イメージングは、科学捜査者が、どのファイルが押取得されるかを正確に選択するものである。例えば、捜査者は、ファイルブラウザのものと同様のインターフェースを使用することができ、ディレクトリツリーをナビゲートして、どのファイルを獲得するか選択することができる。
【0078】
半自動選択的イメージングは、科学捜査者が、どのファイルタイプまたはカテゴリーの情報を取得するかを決定するものである。これは、ファイル拡張、ファイル署名、またはファイルハッシュ、あるいは何らかの他の定義可能な基準に基づくことがある。ファイルハッシュに基づく選択的手法を使用するとき、各ファイルの内容が取得されないことがあるとしても、どのファイルが存在するかおよびそれらの来歴を記録することが重要である。また、参照ハッシュセット情報を記録することも賢明である。
【0079】
自動選択的イメージングは、捜査者が、送信元および宛先デバイスを選択し、イメージャが、証拠を自動的に獲得するものである。これは、事前構成されたパラメータ、または事件/捜査に関係する特定の状況に従って選択的な様式で達成される。
【0080】
選択的手法が捜査者に提示する様々な操作モードは、情報を分類してグループ化するための柔軟性および多くの選択肢と組み合わされて、場合によっては、タスクを非常に複雑にする。選択的イメージングに伴う難点の1つは、選択される各項目の来歴を記録することである。これは、いくつかの選択肢を提供し、しばしば、情報の項目の来歴を記録するために使用することができる複数の規準が存在する。例えば、ディスク上の特定のファイルの位置は、以下の方法の任意のものまたは全てで記録することができる。
物理セクタ位置(データラン);
物理デバイスの始めからのオフセットの追加を伴う、ボリューム内部の論理クラスタ位置;
ルートフォルダから特定されるフォルダ位置。これは、パーティション参照情報を含まなければならない。
【0081】
一般に、これらの形態の任意の1つを、任意の他のものよりも本来的に良いものとして分類することは可能でない。どの形態も、それに関連付けられる証拠が、任意の他の方法に関連付けられるものと比べて本来的に「より良い」またはより完全性を有することを示さない。
【0082】
来歴表示は、好ましくは、一意であり、曖昧でなく、簡潔であり、反復可能である。各方法は、それを理解しようとする人の技術的な知識に応じて、様々な形でこれらの基準を満たす。例えば、一般人、裁判官、または法律専門家は、絶対位置またはクラスタ参照など、より技術的な概念よりも、フォルダ位置の概念になじみやすい。これらの他の「より技術的な」来歴記述は、より技術的な語彙を導入することによって事を複雑にするだけであることがあり、そのような語彙は、実際上、提示されるべき実際の情報から逸れて、その情報を曖昧にする。理想的な世界では、全ての関連の来歴記述が取得され、しかし実際には、これは実際的でないことがある。それにも関わらず、各場合にただ1つを取得するように制限されるのではなく、任意の所与の証拠と関連付けられた来歴の複数の表示を取得することができることが望ましいと考えられる。
【0083】
これは、複数の来歴定義をもたらすことになる。例えば、
一次来歴キー=物理セクタ位置;
二次来歴キー=物理デバイスの始めからのオフセットの追加を伴う、ボリューム内部の論理クラスタ位置;
三次来歴キー=ルートフォルダから特定されるフォルダ位置。
【0084】
また、1つまたは複数の他のDEBを含むDEBを有することも可能である。すなわち、DEBの内容タイプも、それ自体、DEBであることがある。DEB内部にDEBをカプセル化するこの能力は、獲得プロセスに対して並行手法が行われることを可能にし、それにより、獲得される証拠を、解析のための1つの実体に組み合わせる。この一例は、RAIDセットを構成する異なるディスクからのデータの同時獲得である。各ディスクは、場合によっては並行して別個のDEB内に取得されることがあり、さらに、これらのDEBが、さらなるDEB内にカプセル化される。データがDEB内に並行してまたは階層的に収集されることがある他の例は、当業者に明らかであろう。
【0085】
また、DEBは、所与の元DEBからの全ての、または選択された情報の複製をサポートし、それにより、コピーされた情報の来歴を示すオーディットトレイルと共に、別のDEBを作成する。オーディットトレイルは、新たなDEBが作成される元のDEBのタグフィールドと、新たなDEB自体のタグフィールドとの両方において示されることがある。元のDEBは、アプリケーションが何らかの情報を抽出したことの表示を含み、新たなDEBは、そこに含まれる情報が来た場所の表示を含む。
【0086】
当然、DEBは、光学、磁気、およびワイヤレス媒体を含めた、しかしそれらに限定されない任意の形態のデジタル媒体に記憶される、またはデジタル媒体を介して伝送されることがある。
【0087】
本明細書で与えられた任意の範囲またはデバイス値は、本明細書における教示を理解すれば当業者に明らかであるように、求められる効果を失うことなく拡張または変更されることもある。
【図面の簡単な説明】
【0088】
【図1】従来技術デジタル証拠データ構造の概略図である。
【図2】本発明によるデジタル証拠データ構造の概略図である。
【図3】本発明によるタグファイル更新方法の概略図である。
【図4】本発明によるタグファイルの例を示す図である。
【技術分野】
【0001】
本発明は、デジタル証拠収集、追跡、および解析のためのコンピュータのための装置、方法、データ構造、およびプログラム、ならびにそれを組み込むシステムに関する。
【背景技術】
【0002】
取り調べまたは捜査の過程で犯罪現場が検証される法執行の世界において、法執行官は、その時に関連すると考えられる見つけられた証拠品目を保管するためのバッグおよびシールを使用する。その際、品目はバッグ内に入れられ、バッグは現場で封止される。シール番号が記録され、タグが付けられ、タグは、以下のような細目を含むことがある。
捜査機関/警察
証拠物件参照番号
特性参照番号
事件/容疑者名
品目の簡単な説明
品目が押収/作成された日付および時間
品目が押収/作成された場所
品目を証拠として作成した者の名前
品目を作成した者の署名
事件/犯罪参照番号
研究所参照番号
【0003】
また、タグは、他の者が品目の管理を行うときに署名することができる継続性目的のための欄を含む。これを使用して、品目が押収された時間から、品目が証拠として法廷で使用される、所有者に返される、または破壊される時間まで、継続性を提供し、来歴を保証する。
【0004】
継続性の欄は通常、以下の細目を示す。
品目の管理を行う者の名前/身分および番号
品目の管理を行う者の署名
その者が品目の管理を行う日付および時間
【0005】
犯罪現場が検証されるとき、押収される証拠のバッグが多くなることは珍しくなく、それらのバッグのサイズ、形状、およびタイプは、物品の内容およびタイプによって様々である。この理由から、様々な容量のバッグが使用される。
【0006】
また、この個別のラッピングは、様々な物品が、その品目を処理することができる様々な専門家の研究所の間で分散されることを可能にする。例えば、いくつかの品目は、指紋解析を必要とすることがあり、他のものは、DNA解析を必要とすることがあり、その一方で、他のものは、捜査官によるそれらの内容の解釈だけを必要とすることがある。
【0007】
コンピュータ技術は、より一層洗練されてきており、記憶媒体容量が増加してきているので、捜査のための科学捜査的な取得および解析デジタル証拠は、より厄介になっている。
【0008】
近年、デジタル世界において、物理的な証拠取得プロセスに最も近い等価物は、プレーン「dd」画像ファイル(例えば、“The Linux Kernel and the Forensic Acquisition of Hard Disks with an Odd Number of Sectors”−Jesse D.Kornblum,International Journal of Digital Evidence,Fall 2004,Volume 3,Issue 2参照)、または様々な科学捜査ツールベンダーによって製造される多くの独自仕様形式の1つである。
【0009】
科学捜査的なデータ取得の伝統的な方法は、デジタル媒体(例えば、コンピュータハードディスク)の全デジタル画像を単一のデジタル画像としてコピーすることを含み、この画像が、その後、解析ツールによって単一の実体として解析されなければならない。
【0010】
「dd」生ファイル取得は、取得の日付および時間、取得プロセスを行う者、または取得された物の完全性を保証する助けとなる任意の機構など、細目を取り付ける方法を含まない。これらの特徴は、取得後に生成することができるが、通常は、別個の異なる職務としてそのプロセスを人が行うという追加の処置を必要とする。
【0011】
現在利用可能な電子記憶ディスクが少なくとも250Gb(これは、将来、増加することがほぼ確実な数値である)の容量を有することがあると仮定すると、そのような大きなデータユニットを処理する作業は、管理不能になる。
【0012】
それにも関わらず、解析に使用されるベースデータが、厳密にデジタル証拠が取得された時に捜査下のシステムの内容を包括的かつ正確に反映することを保証することが法的に必要である。したがって、捜査下のシステムの全デジタル画像の取得が、その要件を満足するために必要と考えられている。
【0013】
これらの方法は、一般に、証拠全体を単一のフリーサイズ(one size fits all)データ「実体」として取得する。現代のハードディスクドライブのますます大きくなる容量を仮定してしばしばそうであるように、取得された品目が1つのファイル内に収まるには大きすぎる場合、ファイルは、「チャンク」に分割される。これは、ファイルが後でバックアップされることを可能にするため、または、取得の時間に不十分な容量の単一の記憶デバイスが利用可能でない場合に、ファイルが複数のより小さな媒体の間で分割されることを可能にするためである。しかし、これらのタイプのデータ取得出力のうちいずれかの内容を処理できるようにするためには、通常、細分化されたファイルの総体が、その証拠を処理するために使用されることになる単一のアプリケーションで再び利用可能にならなければならない。
【0014】
その結果、例えば、金銭的不正の捜査に関しては、いくつかの種類のファイル(例えば、スプレッドシート、およびレターおよびメモ形式)の解析のみが最も適切で効率的であることがあり、音楽著作権侵害の捜査に関しては、音楽ダウンロードファイル形式およびウェブログファイルの解析が最も適切であることを捜査者が知っているにも関わらず、知られているデジタル証拠解析ツールは、これらの大きなデジタルダンプファイルに対してのみ動作するように設計される。それにも関わらず、現在の証拠取得は、捜査されるシステムのデジタルダンプの取得と、単一の実体としてのそのダンプ全体の後続の解析との形でのフリーサイズソリューションのみを提供する。
【0015】
法廷証拠として提出される任意のデジタル証拠の来歴の証拠を提供することができることがさらに必要である。これは、すなわち、提出されるデジタル画像が、実際に解析下のシステムの忠実で完全なコピーであること、およびそれが改竄されていないことの証拠である(例えば、“Digital Provenance−Interpretation,Verification & Corroboration”−Phillip Turner,Digital Investigation,2005参照)。
【0016】
図1を参照すると、EnCase(登録商標)Legal Journalシステム(Guidance Software発行 December 2004−sections5.0−5.5)に記載されるシステムが、証拠ファイル10内にデジタル証拠1をダウンロードすることができるシステムを提供する。データは、圧縮アルゴリズムが元のデータの詳細全てを保存すると仮定して、空間効率のために任意選択で圧縮されることもある。CRCディジットが、バイナリダンプにわたって個々のセクタに付加され、ファイルにわたって分散される個別のブロック11として記憶される。これらのチェックディジットは、個々のブロックが改竄されておらず、不慮に破損されてもいないことを確認する手段を提供する。また、それらをバイナリダンプ全体のサブブロックと関連付けることによって、どのような原因からのものであれ、そのような破損の証拠に関わる影響を緩和し、それにより、同じファイルからの他の破損されていないブロックが、証拠として引き続き認められることを可能にする。また、バイナリ画像全体のMD5ハッシュ121が、証拠ファイルのフッターコンポーネント12内に記憶され、それにより、破損または改竄から保護するためにさらなるデータ完全性チェックを提供する。
【0017】
来歴(または「管理の連鎖」)情報を提供するために、各EnCase(登録商標)証拠ファイルは、管理情報を含むヘッダセクション13も備える。この管理情報は、例えば、獲得の時間での取得されたデータに関するMD5ハッシュ値に加えて、検査されるコンピュータの識別、証拠画像取得の日付および時間、画像を作成する捜査者の識別などである。しかし、この来歴情報は、EnCase(登録商標)ソフトウェア内部から変更することはできず、したがって、証拠ファイルに対して行われる管理または解析の後続の変更を追跡するためには使用することはできない。来歴情報は、単にデータ取得の瞬間での来歴を表すように設計される。
【0018】
さらに、Encase(登録商標)システムは、証拠ファイル10内部に、元のデータ元からのものとは異なるデータ(例えば、ヘッダー13、フッター12、およびCRCチェックディジット11)を埋め込むので、一般に、それらの証拠ファイルに他のCOTS解析ツールを適用することは実用的でない。これは、それらの解析ツールが、そのような独自仕様のファイル構造化を考慮するようには設計されていないからである。そうではなく、捜査者が、EnCase(登録商標)画像から物理デバイスを初めに復元し、次いで、その画像に他の解析ツールを適用することが推奨される。このプロセスは、場合によっては非常に時間がかかり、また、証拠ファイル内部から画像データを抽出することによって、場合によっては、元のデータからの来歴連鎖を切る。
【0019】
論文“Breaking the Performance Wall:The case for Distributed Digital Forensics”(Vassil Roussev,Golden G.Richard III,Department of Computer Science,University of New Orleans,LA70148)が、デジタル証拠の解析の分散を論じている。
【0020】
特許出願US2004/0260733A1が、目標計算デバイスに記憶されることがあるコンピュータ証拠を収集して解析するために、目標計算デバイスにユーザが遠隔で問い合わせることを可能にするための技法を開示する。
【0021】
特許出願EP0893763A1は、コンピュータメモリからコピーされるデータの完全性を検証して認証するためのシステムを開示する。これは、コピーされたデータの個々のブロックに関して計算されたハッシュ値を採用し、ハッシュ値は、外部媒体(例えばフロッピー(登録商標)ディスク)に暗号化されて記憶される。
【発明の開示】
【発明が解決しようとする課題】
【0022】
解析に使用されるベースデータが、厳密にデジタル証拠が取得された時に捜査下のシステムの内容を包括的かつ正確に反映することを保証することが法的に必要である。したがって、捜査下のシステムの全デジタル画像の取得が、その要件を満足するために必要と考えられている。
【課題を解決するための手段】
【0023】
本発明の第1の態様によれば、デジタルデータを取得する方法であって、デジタルデータをデータ元から1つまたは複数の証拠ファイルにコピーするステップと、各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するステップと、タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するステップとを含む、方法が提供される。
【0024】
デジタルデータが、複数の証拠ファイル内にコピーされることがある。
【0025】
デジタルデータが、データ元から選択的にコピーされることがある(すなわち、所与のデータ元からの全てのデータが、任意の所与の証拠ファイル内にコピーされる必要はない)。
【0026】
各証拠ファイルに関して、データ元とデジタルデータの内容との一方を記述するデータが、証拠ファイルとは異なるインデックスファイル内に記憶されることがある。
【0027】
異なるインデックスファイルが、各証拠ファイルに関して作成されることがある。
【0028】
データ元とデジタルデータの内容との一方を記述するデータが、デジタルデータのデジタル指紋を備えることがある。
【0029】
タグファイルが、少なくとも1つの証拠ファイルのデジタル指紋を備えることがある。
【0030】
タグファイルが、データ元とデジタルデータの内容との一方を記述するデータの形式の記述を備えることがある。
【0031】
データ元がデータ記憶媒体(または、他の静的データ媒体)であってよい。
【0032】
データ元がデータ伝送媒体(または、他の動的データ媒体)であってよい。
【0033】
いくつかの実施形態では、来歴の複数の表示が、1つまたは複数の証拠ファイル内のデジタルデータの少なくとも1つの所与の項目と関連付けられる。
【0034】
本発明の第2の態様によれば、本発明の他の態様の方法のステップを行うために、当該のコード部分およびデータ構造を有するコンピュータのためのプログラムが提供される。
【0035】
本発明の第3の態様によれば、デジタルデータを取得するための装置であって、デジタルデータをデータ元から1つまたは複数の証拠ファイル内にコピーするための手段と、各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するための手段と、タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するように構成された手段とを備える、装置が提供される。
【0036】
本発明の第4の態様によれば、デジタルデータを取得するためのデータ構造であって、データ元からコピーされたデジタルデータを含むための少なくとも1つの証拠ファイルと、データ元と少なくとも1つの証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを含む少なくとも1つのインデックスファイルと、少なくとも1つの証拠ファイル内のデジタルデータの来歴を示すデータを含むタグファイルとを備える、データ構造が提供される。
【0037】
本発明の第5の態様によれば、アクセスされるべき1つまたは複数の証拠ファイルを識別するステップと、データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するステップと、証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するステップとを含む、第4の態様に記載のデータ構造にアクセスする方法が提供される。
【0038】
証拠ファイルアクセスの詳細が、証拠ファイルアクセスを行うアプリケーションの識別と、証拠ファイルアクセスを要求するユーザの識別と、証拠ファイルアクセスの時間の識別との少なくとも1つを備えることがある。
【0039】
完全性チェックがデジタル指紋、例えば、CRCディジット、MD5ハッシュ、およびSHAハッシュの1つであってよい。
【0040】
本発明の第6の態様によれば、アクセスされるべき1つまたは複数の証拠ファイルを識別するための手段と、データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するための手段と、証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するための手段とを備える、第4の態様に記載のデータ構造にアクセスするための装置が提供される。
【0041】
本発明の第7の態様によれば、データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするステップと、新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出された証拠データを処理するステップと、既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するステップと、新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するステップとを含む、第4の態様に記載のデータ構造を更新する方法が提供される。
【0042】
本発明の第8の態様によれば、データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするための手段と、新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出される証拠データを処理するための手段と、既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するための手段と、新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するための手段とを備える、第4の態様に記載のデータ構造を更新するための装置が提供される。
【0043】
有利には、異種のタイプおよびサイズのデジタルデータ/証拠を取得するための共通の形式の使用が、そのようなデジタル証拠の来歴の追跡を容易にし、それと同時に、異種の解析方法およびツールによるデータの効率的および選択的な解析も容易にする。そのような解析はまた、証拠データのコピーに並行して行われることもあり、その証拠データの元のデータからの来歴は、追跡して検証することができる。
【0044】
本発明はまた、他の追加の装置と共に、本発明を採用する装置の1つまたは複数の実例を備えるデジタルデータ/証拠取得および解析の目的のためのシステムも提供する。
【0045】
本発明はまた、機械読取り可能な形態で、操作時に装置および/または方法のあらゆる機能を実施するように構成されたコンピュータソフトウェアも提供する。
【0046】
好ましい特徴は、当業者に明らかなように適宜組み合わされることがあり、本発明の態様の任意のものと組み合わされることがある。
【0047】
本発明が実行される様子を示すために、次に、本発明の実施形態を単に例として、かつ添付図面を参照して以下に説明する。
【発明を実施するための最良の形態】
【0048】
次に図2を参照すると、デジタル証拠バッグ(DEB)20は、任意のタイプのデジタルベースの証拠または情報のための構造化されたラッパーである。DEBは、任意に大きな容量を有していてよく、当然、それを担うために利用可能な記憶媒体の物理的な限界による。ユーザ要件に依存して、DEBは、静的環境で取得することができる情報(例えば、磁気または光学記憶媒体の画像)、またはリアルタイム環境で取得することができる情報(例えば、通信媒体を介するデジタルトラフィックの記録)を記憶することがある。
【0049】
DEBは、タグファイル21と、1つまたは複数の証拠ユニット(EU)22a、22bとを備える。さらに、各証拠ユニットは、インデックス情報221と、デジタル証拠のユニット222とを備える。インデックス情報とデジタル証拠自体とは、好ましくは、例示されるように別個のファイル(インデックスファイルおよび証拠ファイル)内に含まれるが、別法として、インデックス情報が、例えば認識可能なファイルヘッダとして、デジタル証拠と同じファイル内に記憶されてもよい。
【0050】
さらに、各証拠ファイルは、完全性保証情報を備えたそれ独自のタグ情報を含む。
【0051】
そのようなDEBは、ほぼ任意のサイズの、任意の情報元からのデジタル情報が、科学捜査的に有効な様式で記憶されることを可能にする。さらに、このモデルは、DEB内に記憶された証拠が様々なアプリケーションに分散されることを可能にし、それらのアプリケーションが、証拠ファイルの内容に対して様々なタスクを行うこともある。また、この手法は、アプリケーションを独立させ、同じタスクを行うアプリケーションが、異なる様式(例えば代替のキーワードサーチアルゴリズム)であっても、場合によっては並行して同じ証拠に対して作業できるようにする。
【0052】
タグファイル21は、好ましくはプレーンテキストファイルであり、しかし他のより複雑なファイル形式(例えば、Microsoft(登録商標) Word形式)が採用されることもあり得る。タグファイルは、それが一部を成すDBE内部に含まれる証拠ユニットの記述詳細を含む。タグファイル内に含まれる情報は、物理的な証拠が押収されるときに物理的な証拠に付けられる物理的なタグに見られることがある情報と類似しており、例えば、以下の、または同様の項目の1つまたは複数を備えることがある。
捜査識別子;
証拠識別子または参照;
情報を習得する個人の識別;
取得プロセスが起こったときの日付および時間;
DEBの内容のテキスト記述;
継続性情報。
【0053】
しかし、デジタル環境では、証拠に関する情報を記録して、その完全性を保つために、物理的な世界において存在するよりも多くの余地が存在する。したがって、タグファイルは、DEB内の情報の来歴を記憶するため、およびDEB内部に含まれる情報の継続性記録を提供するために使用されることもある。また、DEB内のタグファイルは、DEB解析アプリケーションがDEBにアクセスする時を記録するため、また、DEB内の任意のEUに対してどの解析が行われたかを記録するために使用されることもある。
【0054】
次に図3および4を参照すると、タグファイル21aはまた、以下のものを備えることもある。
DEB内のEUの数のカウント45;
証拠ファイル内の取得された証拠データの完全性チェック42、44(例えば、CRCディジットまたはハッシュ);および
インデックスファイルまたはその各々の完全性チェック41、43(例えば、CRCディジットまたはハッシュ);および
今までのタグファイルのハッシュを備えるタグシール完全性チェック(例えば、ハッシュ数)31。
【0055】
また、タグファイル21aは、1つまたは複数のタグ継続性ブロック(TCB)32を備えることもある。TCBは、アプリケーションがDEB全体に対して機能を実施する、またはDEB内部の1つまたは複数のEUに対して機能を実施するたびに、タグファイル21bに付加(あるいは別途に追加)される。TCBは、以下の、または同様のDEBアクセスデータのいくつかまたは全てを取得することがある。DEBまたはEUに適用されたアプリケーションの日付および時間46、バージョン47、アプリケーションID47、アプリケーション署名(ハッシュ)49、および機能50。各新たなTCBがタグファイルに付加されるとき、新たなタグシールハッシュ数321も付加され、新たに付加されたTCB32の先行内容を含むタグファイル21bの更新された内容と、タグファイル内に事前に存在する任意の事前に記録されたタグシールハッシュ数31とに関して計算される。
【0056】
多様な情報元から取得された情報(すなわち、静的、リアルタイム、または選択的データ)を保持するためにDEBに柔軟性を提供する重要なコンポーネントは、DEBヘッダ内部で使用されるメタタグ構造51である。いくつかの状況では、DEB全体または一部(EU)の内容を圧縮または暗号化することが有利であることがある。これは、暗号化または圧縮された内容の形式タイプを記録することによって、インデックスファイルに反映される。
【0057】
インデックスの内容および内容の形式を定義するために、構造がタグファイル内で定義される。構造定義は、一連のメタタグ(MT)を備える。MTは、フィールドのシーケンスとインデックスの内容タイプとの両方を定義するために使用される。さらに、インデックスは、バッグの内容に関係する情報を保持する。メタタグ定義の例は、以下のものを含み、しかしそれらに限定されない。
<F>=ファイル名
<Fx>=ファイル名拡張/タイプ
<Fa>=ファイル属性(例えば、システム、読取り、アーカイブ、隠し)
<Fmft>=MFTインデックス数
<Fls>=バイト単位での論理ファイルサイズ
<Fps>=占有される物理ファイルサイズ
<P>=ファイルパス/来歴情報
<Ds>=データ元(PDA)−RAM、ROM、データベース(ユーザデータ)、SIM、ハンドセット
<Hmd5>=ハッシュMD5
<Hsha>=ハッシュSHA
<Tmod>=タイムスタンプ−変更
<Tacc>=タイムスタンプ−アクセス
<Tcre>=タイムスタンプ−作成
<Temo>=タイムスタンプ入力変更(NTFS)
<Tpacket>=パケット時間
<Ddes>=デバイス記述子
<Dman>=デバイス製造業者
<Dmod>=デバイスモデル
<Dsn>=デバイスシリアル番号
<Dcap>=デバイス容量
<Dpin>=デバイスPIN、セキュリティアクセスコード、パスワード
<Dsp>=デバイスサービスプロバイダ(電話)
<Raw>=バッグ内容が生/バイナリ無構造
例えば、特定のインデックスファイル形式になる場合、当然、簡潔にするために一般的または標準的な略記が導入されることがある。例えば、略記
<FAT12>
が、以下のメタタグシーケンスを表すために使用されることがある。
<F><Fx><Fa><Fls><Fps>・・・など
【0058】
図4では、DEB内部の全てのEUに適用可能な単一のインデックス形式51のみが例示されているが、明らかに、インデックス形式詳細がインデックスファイル毎に定義されてもよい。
【0059】
各インデックスファイルは、対応する証拠ファイルの内容を詳述するリストを含むタブ区切りプレーンテキストファイルである(しかし、他の形式が使用されることもある)。インデックスファイルは、対応する証拠ファイル内のデジタル情報の内容に関係する、ファイル名、フォルダパス、およびタイムスタンプ情報のリストなどの細目を含むことがある。証拠が抽出された物理デバイスの細目、例えば、取得されたデバイスのメーカー、モデル、およびシリアル番号を含むこともある。インデックスファイルの正確な形式および構造が、タグファイル21内のタグ情報に反映される。したがって、タグ情報は、様々な証拠ユニット内部の構造の表示を解析ツールに提供する。これは、知られているシステムと異なり、個々の証拠ユニットが異なる構造を示すことがあるためである。
【0060】
証拠ファイルは、実際の証拠データ/情報自体を含む。これらの証拠ファイルの内容は、生バイナリ情報(例えば、知られているシステムにおけるような生デバイス取得から)、ファイル(例えば、論理ボリューム獲得から)、構造化されたバイナリ情報(例えば、ネットワークプロトコルパケット取得から)、または分類されたファイル(例えば、1つの証拠ファイルが、全てのテキストファイルを含み、別のものが、全てのMicrosoft(登録商標) Word文書を含み、または別のものが、全てのJPEGグラフィックファイルを含むなど)であってよく、しかしそれらに限定されない。
【0061】
獲得される証拠ソースファイル毎に1つの証拠ファイルを作成すること(例えば、1つの証拠ファイルに1つのJPEGファイル)も、1つの選択肢である。これは、非常に大きなタグファイルをもたらすことがあるが、個々のファイルが特定の証拠の対象となっていることがある場合には適切であることがある。
【0062】
DEBアプリケーションプログラムが提供されることがあり、これは、証拠ファイルに対して行われる操作の履歴をタグファイルの内容が反映するように、タグファイルを更新する。そのような情報は、アプリケーションが証拠ユニットに適用された日付および時間を含み、アプリケーション署名を含み、それにより、どのカテゴリーのアプリケーションおよびどのバージョンのアプリケーションが使用されたか分かる。また、DEBアプリケーションは、タグシール数も更新すべきである。
【0063】
DEBモデルをサポートするために、DEBを作成して使用することができるアプリケーションは、いくつかのカテゴリーで記述されることがある。
DEB取得アプリケーション:これらは、任意のタイプのデジタル元からDEBを作成するために使用され、いくつか例を挙げると、静的ディスク取得、PDA取得、モバイル電話取得、またはライブネットワークパケット取得のいずれであっても構わない。このアプリケーションの重要性は、上述したように、全てのこれらの様々なデジタルプロセスが、DEBの形態で共通のデータ構造内に証拠を記憶することができることである。
DEB解析アプリケーション−これらは、すでに作成されているDEBに対する操作を行うために使用される。行われることがある操作のタイプは、キーワードサーチ、ハッシュ解析、グラフィカル画像解析および特徴付け、パスワードクラッキング、ログファイル解析などを含み、しかしそれらに限定されない。操作がDEBの内容に対して行われるとき、ログが、証拠に対して行われた機能についてタグファイル内に保たれることがある。これは、使用されたDEB解析アプリケーションの日付、時間、タスクのタイプ、バージョンのオーディットトレイルを提供する。
【0064】
異種のデジタル元からの情報がDEB内にカプセル化されて、DEB解析アプリケーションを使用して処理される場合、これは、デジタルベースの証拠の処理を大幅に合理化することになる。また、これは、ツールベンダーが、自己完結型DEBに対して操作することができるアプリケーションを作成することを可能にし、捜査者が、EUに対して特定の操作を行うツールを得ることを可能にする。これは、同じ証拠に対して作業するために異なるベンダーによって解析アプリケーションが提供されることを可能にし、捜査者が、単に別のツールに対して実行するために、情報が獲得された形式を別の形式に翻訳する必要がない。これは、変換の時間を減少する効果を有し、また、結局は全く同じ情報であるが異なるヘッダを備えて記憶された、または圧縮されていない形式で記憶された様々なバージョンの情報を保持するのに必要とされる記憶容量を減少する効果を有する。
【0065】
DEBがデジタル科学捜査の世界にもたらす柔軟性により、画像取得に対する現行の特徴のない(dumb)手法(すなわち、媒体の始めから開始して、終わりまで全てを取得する)は、より知的または選択的な様式で動作するイメージャで置き換えることができる。例えば、イメージャは、1つのDEBに1つの特定のタイプの全てのファイルを取得し、別のDEBに別のタイプを取得することができる。同様に、イメージャは、より「知的」であって、特定の情報に狙いを定めることができ、例えば科学捜査的なトリアージを実施することができ、システム構成情報だけを取得して、それにより、システムが持っていた操作能力を発見する機会を捜査者に与える。別法として、システムが猥褻画像を含むかどうかを判定するためなど、捜査の焦点が非常に狭い場合、イメージャは、特定のタイプのファイルをDEBに取得することができる。
【0066】
また、DEB形式および構造が、「ラッパー」アプリケーションから実行される既存のアプリケーションと共に使用することができるようなものであることが注目される。これは、既存のアプリケーションが、変更を伴わずに、または最小限の変更を伴って、しかしDEBデータ構造および方法によって提供される情報保証、完全性、および継続性の追加の利益を伴って、即座に使用されることを可能にする。
【0067】
DEBまたはEUが1つのタイプの情報を完全に保持することができることは、デジタルケース全体が、そのカテゴリーの情報を扱うことができるシステム、アプリケーション、またはプロセス間で分割されることを可能にする。これを拡張することで、さらに、DEBまたはEUが、マルチタスクおよび/またはマルチプロセス環境内で、ある範囲のシステムにわたって、そのカテゴリーの情報を取り扱うのに最も適したアプリケーションに分散されることが可能になる。これは、その証拠に対してどのプロセスまたは機能が実施されたかを示すDEB継続性情報を作業者が更新することを分かった上で、作業者(クライアント)アプリケーションにDEBまたはEUを安全に分散することができる能力を科学捜査制御装置に与える。
【0068】
DEBまたはEUが様々な解析アプリケーションに渡されるとき、シールに対する継続性情報が更新される。したがって、これは、その証拠に対して実施されるタスクおよびプロセスのログを提供する。
【0069】
DEB概念の別の特徴は、継続性情報を維持することができる能力、およびDEB内部に含まれる情報の来歴を示すことができる能力である。これと結び付けられるのは、DEB内部の証拠の完全性を保守および保証するための要件である。
【0070】
DEBを導入して利用するための実用的な手法は、拡張可能な形式定義を採用することであり、拡張可能な形式定義は、時間が経つにつれて発展することができ、したがって将来の要件に合うように機能向上されることがある。したがって、DEB手法の初期の実装は、現行の科学捜査ツールおよびアプリケーションのための「ラッパー」としてDEBを使用してよい。これは、今日一般に使用されて受け入れられているツールと共にDEB形式を使用および適用する経験を得ることができるという即時の利益を有する。
【0071】
捜査者になるためのマニュアルはなく、良い捜査実践を行うための知識を伝えることは、非常に困難であり、時間がかかる。デジタル世界では、単に現在の技術的な進歩についていくことが、ほぼ不可能である。しかし、証拠に対してどのアプリケーションおよびプロセスが実施されるかをログ記録するDEB手法は、場合によっては自動化プロセスでそれらの解析作業が行われるシーケンスと共に、タスクを行うために最も効果的な順序を捜査者が習得することができる能力を高める。
【0072】
さらに、このタイプの機構はまた、訓練生が、試験事例に着手して、それらに捜査者がどのように取り組むかを記録することを可能にするので、捜査者の試験および検定を補助することもできる。
【0073】
説明されたデータ構造および方法から、以下の利点が即座に明らかである。
証拠獲得のためのスケーラブル手法;
マルチプロセッサおよび分散システムにわたってデジタル証拠が処理されることを初めて可能にする、科学捜査処理のためのスケーラブル手法;
最も適切な技法を適切なタイプの証拠に向ける、増大された証拠材料スループット;
現行ツールおよび方法での財政投資を否定せず、現行の証拠取得および解析方法のいくつかを組み込むこと;
多様なデジタルデバイスからの証拠を処理することができる能力;
有効な科学捜査フレームワークへのリアルタイムデータ獲得の統合を許すこと;
全てを収集する現行の手法とは対照的に、選択的および/または知的データ獲得手法が実施されるのを可能にすること;
1つの証拠に対して実施されるプロセスのオーディットトレイルを自動的に作成することができ、そこからの規準は、最も効果的な方法の解析がデジタル証拠を処理することを可能にし、科学捜査を行うために最良の方法で新たな専門家を教育するために使用することができること。
【0074】
主にデジタル証拠収集の文脈で説明したが、本発明は、そのような用途に限定されず、当業者に明らかであるように、取得されたデータの来歴および継続性が重要である他の状況でも適用されることがある。
【0075】
全てを獲得することが実際的でないことがあるときには、部分または選択的データコピー作成が、画像全体を取得することへの代替法と考えられることがある。そのような部分コピー作成は、「選択的イメージング」として知られている。選択的手法を適用する1つの理由は、獲得されなければならないことがある情報の量である。選択的獲得を行うための他の理由は、科学捜査的なトリアージ、知的収集、および法的要件を含むことがあり、しかしそれらに限定されない。選択的手法が採用されるべき法的な理由が存在することがあり、例えば、法務職特権(Legal Professional Privilege;LPP)材料に関わる場合である。選択的手法を採用することは、それに関連付けられるいくつかのリスクを有し、しかしこれは、任意のあまり科学的でないまたは厳密でない様式で証拠を収集すべきではないことを意味するものでは決してない。
【0076】
使用されることがあるいくつかのタイプの選択的イメージング技法が存在する。これらは、手動選択的イメージング、半自動選択的イメージング、および自動選択的イメージングを含む。
【0077】
手動選択的イメージングは、科学捜査者が、どのファイルが押取得されるかを正確に選択するものである。例えば、捜査者は、ファイルブラウザのものと同様のインターフェースを使用することができ、ディレクトリツリーをナビゲートして、どのファイルを獲得するか選択することができる。
【0078】
半自動選択的イメージングは、科学捜査者が、どのファイルタイプまたはカテゴリーの情報を取得するかを決定するものである。これは、ファイル拡張、ファイル署名、またはファイルハッシュ、あるいは何らかの他の定義可能な基準に基づくことがある。ファイルハッシュに基づく選択的手法を使用するとき、各ファイルの内容が取得されないことがあるとしても、どのファイルが存在するかおよびそれらの来歴を記録することが重要である。また、参照ハッシュセット情報を記録することも賢明である。
【0079】
自動選択的イメージングは、捜査者が、送信元および宛先デバイスを選択し、イメージャが、証拠を自動的に獲得するものである。これは、事前構成されたパラメータ、または事件/捜査に関係する特定の状況に従って選択的な様式で達成される。
【0080】
選択的手法が捜査者に提示する様々な操作モードは、情報を分類してグループ化するための柔軟性および多くの選択肢と組み合わされて、場合によっては、タスクを非常に複雑にする。選択的イメージングに伴う難点の1つは、選択される各項目の来歴を記録することである。これは、いくつかの選択肢を提供し、しばしば、情報の項目の来歴を記録するために使用することができる複数の規準が存在する。例えば、ディスク上の特定のファイルの位置は、以下の方法の任意のものまたは全てで記録することができる。
物理セクタ位置(データラン);
物理デバイスの始めからのオフセットの追加を伴う、ボリューム内部の論理クラスタ位置;
ルートフォルダから特定されるフォルダ位置。これは、パーティション参照情報を含まなければならない。
【0081】
一般に、これらの形態の任意の1つを、任意の他のものよりも本来的に良いものとして分類することは可能でない。どの形態も、それに関連付けられる証拠が、任意の他の方法に関連付けられるものと比べて本来的に「より良い」またはより完全性を有することを示さない。
【0082】
来歴表示は、好ましくは、一意であり、曖昧でなく、簡潔であり、反復可能である。各方法は、それを理解しようとする人の技術的な知識に応じて、様々な形でこれらの基準を満たす。例えば、一般人、裁判官、または法律専門家は、絶対位置またはクラスタ参照など、より技術的な概念よりも、フォルダ位置の概念になじみやすい。これらの他の「より技術的な」来歴記述は、より技術的な語彙を導入することによって事を複雑にするだけであることがあり、そのような語彙は、実際上、提示されるべき実際の情報から逸れて、その情報を曖昧にする。理想的な世界では、全ての関連の来歴記述が取得され、しかし実際には、これは実際的でないことがある。それにも関わらず、各場合にただ1つを取得するように制限されるのではなく、任意の所与の証拠と関連付けられた来歴の複数の表示を取得することができることが望ましいと考えられる。
【0083】
これは、複数の来歴定義をもたらすことになる。例えば、
一次来歴キー=物理セクタ位置;
二次来歴キー=物理デバイスの始めからのオフセットの追加を伴う、ボリューム内部の論理クラスタ位置;
三次来歴キー=ルートフォルダから特定されるフォルダ位置。
【0084】
また、1つまたは複数の他のDEBを含むDEBを有することも可能である。すなわち、DEBの内容タイプも、それ自体、DEBであることがある。DEB内部にDEBをカプセル化するこの能力は、獲得プロセスに対して並行手法が行われることを可能にし、それにより、獲得される証拠を、解析のための1つの実体に組み合わせる。この一例は、RAIDセットを構成する異なるディスクからのデータの同時獲得である。各ディスクは、場合によっては並行して別個のDEB内に取得されることがあり、さらに、これらのDEBが、さらなるDEB内にカプセル化される。データがDEB内に並行してまたは階層的に収集されることがある他の例は、当業者に明らかであろう。
【0085】
また、DEBは、所与の元DEBからの全ての、または選択された情報の複製をサポートし、それにより、コピーされた情報の来歴を示すオーディットトレイルと共に、別のDEBを作成する。オーディットトレイルは、新たなDEBが作成される元のDEBのタグフィールドと、新たなDEB自体のタグフィールドとの両方において示されることがある。元のDEBは、アプリケーションが何らかの情報を抽出したことの表示を含み、新たなDEBは、そこに含まれる情報が来た場所の表示を含む。
【0086】
当然、DEBは、光学、磁気、およびワイヤレス媒体を含めた、しかしそれらに限定されない任意の形態のデジタル媒体に記憶される、またはデジタル媒体を介して伝送されることがある。
【0087】
本明細書で与えられた任意の範囲またはデバイス値は、本明細書における教示を理解すれば当業者に明らかであるように、求められる効果を失うことなく拡張または変更されることもある。
【図面の簡単な説明】
【0088】
【図1】従来技術デジタル証拠データ構造の概略図である。
【図2】本発明によるデジタル証拠データ構造の概略図である。
【図3】本発明によるタグファイル更新方法の概略図である。
【図4】本発明によるタグファイルの例を示す図である。
【特許請求の範囲】
【請求項1】
デジタルデータを取得する方法であって、
デジタルデータをデータ元から1つまたは複数の証拠ファイルにコピーするステップと、
各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するステップと、
タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するステップと
を含む、方法。
【請求項2】
デジタルデータが、複数の証拠ファイル内にコピーされる、請求項1に記載の方法。
【請求項3】
デジタルデータが、データ元から1つまたは複数の証拠ファイル内に選択的にコピーされる、請求項1から2のいずれかに記載の方法。
【請求項4】
各証拠ファイルに関して、データ元とデジタルデータの内容との一方を記述するデータが、証拠ファイルとは異なるインデックスファイル内に記憶される、請求項1から3のいずれかに記載の方法。
【請求項5】
異なるインデックスファイルが、各証拠ファイルに関して作成される、請求項4に記載の方法。
【請求項6】
少なくとも、データ元とデジタルデータの内容との一方を記述するデータが、デジタルデータのデジタル指紋を備える、請求項1から5のいずれかに記載の方法。
【請求項7】
タグファイルが、少なくとも1つの証拠ファイルのデジタル指紋を備える、請求項1から6のいずれかに記載の方法。
【請求項8】
タグファイルが、データ元とデジタルデータの内容との一方を記述するデータの形式の記述を備える、請求項1から7のいずれかに記載の方法。
【請求項9】
データ元がデータ記憶媒体である、請求項1から8のいずれかに記載の方法。
【請求項10】
データ元がデータ伝送媒体である、請求項1から9のいずれかに記載の方法。
【請求項11】
来歴の複数の表示が、1つまたは複数の証拠ファイル内のデジタルデータの少なくとも1つの所与の項目と関連付けられる、請求項1から10のいずれかに記載の方法。
【請求項12】
請求項1から11のいずれか一項に記載の方法のステップを行うために、当該のコード部分およびデータ構造を有するコンピュータのためのプログラム。
【請求項13】
デジタルデータを取得するための装置であって、
デジタルデータをデータ元から1つまたは複数の証拠ファイル内にコピーするための手段と、
各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するための手段と、
タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するように構成された手段と
を備える、装置。
【請求項14】
デジタルデータを取得するためのデータ構造であって、
データ元からコピーされたデジタルデータを含むための少なくとも1つの証拠ファイルと、
データ元と少なくとも1つの証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを含む少なくとも1つのインデックスファイルと、
少なくとも1つの証拠ファイル内のデジタルデータの来歴を示すデータを含むタグファイルと
を備える、データ構造。
【請求項15】
アクセスされるべき1つまたは複数の証拠ファイルを識別するステップと、
データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するステップと、
証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するステップと
を含む、請求項13に記載のデータ構造にアクセスする方法。
【請求項16】
証拠ファイルアクセスの詳細が、
証拠ファイルアクセスを行うアプリケーションの識別と、
証拠ファイルアクセスを要求するユーザの識別と、
証拠ファイルアクセスの時間の識別と
の少なくとも1つを備える、請求項15に記載の方法。
【請求項17】
完全性チェックがデジタル指紋である、請求項16から17のいずれか一項に記載の方法。
【請求項18】
デジタル指紋が、CRCディジット、MD5ハッシュ、およびSHAハッシュの1つである、請求項17に記載の方法。
【請求項19】
アクセスされるべき1つまたは複数の証拠ファイルを識別するための手段と、
データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するための手段と、
証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するための手段と
を備える、請求項14に記載のデータ構造にアクセスするための装置。
【請求項20】
データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするステップと、
新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出された証拠データを処理するステップと、
既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するステップと、
新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するステップと
を含む、請求項14に記載のデータ構造を更新する方法。
【請求項21】
データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするための手段と、
新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出される証拠データを処理するための手段と、
既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するための手段と、
新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するための手段と
を備える、請求項14に記載のデータ構造を更新するための装置。
【請求項22】
実質的に、本願明細書で、かつ添付図面を参照して説明されるような、デジタルデータ取得および処理のためのコンピュータのためのデータ構造、方法、装置、システム、およびプログラム。
【請求項1】
デジタルデータを取得する方法であって、
デジタルデータをデータ元から1つまたは複数の証拠ファイルにコピーするステップと、
各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するステップと、
タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するステップと
を含む、方法。
【請求項2】
デジタルデータが、複数の証拠ファイル内にコピーされる、請求項1に記載の方法。
【請求項3】
デジタルデータが、データ元から1つまたは複数の証拠ファイル内に選択的にコピーされる、請求項1から2のいずれかに記載の方法。
【請求項4】
各証拠ファイルに関して、データ元とデジタルデータの内容との一方を記述するデータが、証拠ファイルとは異なるインデックスファイル内に記憶される、請求項1から3のいずれかに記載の方法。
【請求項5】
異なるインデックスファイルが、各証拠ファイルに関して作成される、請求項4に記載の方法。
【請求項6】
少なくとも、データ元とデジタルデータの内容との一方を記述するデータが、デジタルデータのデジタル指紋を備える、請求項1から5のいずれかに記載の方法。
【請求項7】
タグファイルが、少なくとも1つの証拠ファイルのデジタル指紋を備える、請求項1から6のいずれかに記載の方法。
【請求項8】
タグファイルが、データ元とデジタルデータの内容との一方を記述するデータの形式の記述を備える、請求項1から7のいずれかに記載の方法。
【請求項9】
データ元がデータ記憶媒体である、請求項1から8のいずれかに記載の方法。
【請求項10】
データ元がデータ伝送媒体である、請求項1から9のいずれかに記載の方法。
【請求項11】
来歴の複数の表示が、1つまたは複数の証拠ファイル内のデジタルデータの少なくとも1つの所与の項目と関連付けられる、請求項1から10のいずれかに記載の方法。
【請求項12】
請求項1から11のいずれか一項に記載の方法のステップを行うために、当該のコード部分およびデータ構造を有するコンピュータのためのプログラム。
【請求項13】
デジタルデータを取得するための装置であって、
デジタルデータをデータ元から1つまたは複数の証拠ファイル内にコピーするための手段と、
各証拠ファイルに関して、データ元と証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを記録するための手段と、
タグファイル内に、1つまたは複数の証拠ファイル内のデジタルデータの来歴を示すデータを記録するように構成された手段と
を備える、装置。
【請求項14】
デジタルデータを取得するためのデータ構造であって、
データ元からコピーされたデジタルデータを含むための少なくとも1つの証拠ファイルと、
データ元と少なくとも1つの証拠ファイル内のデジタルデータの内容との少なくとも一方を記述するデータを含む少なくとも1つのインデックスファイルと、
少なくとも1つの証拠ファイル内のデジタルデータの来歴を示すデータを含むタグファイルと
を備える、データ構造。
【請求項15】
アクセスされるべき1つまたは複数の証拠ファイルを識別するステップと、
データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するステップと、
証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するステップと
を含む、請求項13に記載のデータ構造にアクセスする方法。
【請求項16】
証拠ファイルアクセスの詳細が、
証拠ファイルアクセスを行うアプリケーションの識別と、
証拠ファイルアクセスを要求するユーザの識別と、
証拠ファイルアクセスの時間の識別と
の少なくとも1つを備える、請求項15に記載の方法。
【請求項17】
完全性チェックがデジタル指紋である、請求項16から17のいずれか一項に記載の方法。
【請求項18】
デジタル指紋が、CRCディジット、MD5ハッシュ、およびSHAハッシュの1つである、請求項17に記載の方法。
【請求項19】
アクセスされるべき1つまたは複数の証拠ファイルを識別するための手段と、
データ構造のタグファイル内に、証拠ファイルアクセスの詳細を記録するための手段と、
証拠ファイルアクセスの新たに記録された詳細を含むタグファイルの内容に応答して、タグファイル内に新たな完全性チェック値を記録するための手段と
を備える、請求項14に記載のデータ構造にアクセスするための装置。
【請求項20】
データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするステップと、
新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出された証拠データを処理するステップと、
既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するステップと、
新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するステップと
を含む、請求項14に記載のデータ構造を更新する方法。
【請求項21】
データ構造内部に含まれる証拠データを抽出するためにデータ構造にアクセスするための手段と、
新たな証拠ファイルおよび対応するインデックスファイルを作成するために、データ構造から抽出される証拠データを処理するための手段と、
既存のデータ構造に、新たな証拠ファイルおよびインデックスファイルを追加するための手段と、
新たな証拠ファイルおよびインデックスファイルの追加を示すデータ構造のタグファイルに継続性情報を付加するための手段と
を備える、請求項14に記載のデータ構造を更新するための装置。
【請求項22】
実質的に、本願明細書で、かつ添付図面を参照して説明されるような、デジタルデータ取得および処理のためのコンピュータのためのデータ構造、方法、装置、システム、およびプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−542865(P2008−542865A)
【公表日】平成20年11月27日(2008.11.27)
【国際特許分類】
【出願番号】特願2008−512923(P2008−512923)
【出願日】平成18年5月26日(2006.5.26)
【国際出願番号】PCT/GB2006/001942
【国際公開番号】WO2006/126006
【国際公開日】平成18年11月30日(2006.11.30)
【出願人】(501352882)キネテイツク・リミテツド (93)
【公表日】平成20年11月27日(2008.11.27)
【国際特許分類】
【出願日】平成18年5月26日(2006.5.26)
【国際出願番号】PCT/GB2006/001942
【国際公開番号】WO2006/126006
【国際公開日】平成18年11月30日(2006.11.30)
【出願人】(501352882)キネテイツク・リミテツド (93)
[ Back to top ]