調查局三等申論題
109年
[資訊科學組] 資訊安全實務
第 四 題
為確保數位鑑識程序符合法規,當進行揮發性(Volatile)資料的證據擷取時,請詳述數位鑑識人員證據保全的做法。(20分)
📝 此題為申論題
思路引導 VIP
看到「揮發性資料擷取」應直覺聯想到「揮發性順序(Order of Volatility)」與「動態鑑識(Live Forensics)」。解題時務必依循標準程序(SOP)的時序邏輯作答,並引用 RFC 3227 或 ISO 27037 國際標準,強調「最小干擾」、「可信工具集」、「雜湊驗證」及「證據監管鏈(Chain of Custody)」,以展現具備符合法庭證據力要求的實務觀念。
🤖
AI 詳解
AI 專屬家教
【破題】 「揮發性資料(Volatile Data)」指系統斷電或重啟後即會消失之數位跡證(如主記憶體內容、網路連線狀態、執行中的程序等)。為確保擷取之數位跡證具備法庭容許性(Admissibility),數位鑑識人員在進行動態鑑識(Live Forensics)時,必須嚴格遵循國際標準(如 ISO/IEC 27037 數位證據處理指引及 RFC 3227 揮發性順序原則),以確保證據之完整性與不可否認性。 【論述】
▼ 還有更多解析內容