我搞砸了,所以你不必重蹈覆辙
数字取证
Brett Shavers
2025年10月19日,星期日
2040次阅读
我最近在LinkedIn上发布了一篇关于一个词如何毁掉你的报告、宣誓书或证词的文章。那个词就是“deleted”(删除)。
那篇文章获得了大量阅读量。可能是因为我们都对“DELETED”这个词有同样的想法。
我清楚地记得我第一次在联邦大陪审团作证的情景,尽管那已经是二十多年前的事了。我在作证过程中解释到一半时,一位陪审员举手打断了我。他问道:
“等等,你在说什么?”
这让我措手不及。我以前在审判中从未被陪审员打断过,而且这是我第一次在大陪审团作证,所以我停下来解释了我报告中的内容。他对我竖起大拇指说:
“哦,我现在明白了。谢谢。”
就是这样。一次五秒钟的交流。但它在我心中萦绕了二十多年。首先,因为我了解到陪审员可以在大陪审团中提问。其次,我了解到如果你不能很好地传达信息,陪审员可能不太理解,因为如果一个大陪审员不得不打断我来询问我的意思,那么在刑事或民事审判中,有多少陪审员只是静静地坐着,完全不明白我在说什么?
我在法庭上的搞砸经历
几年后,我在另一个案件的交叉询问中作证。猜猜那天的关键词是什么:那个词是“cache”(缓存)。
律师问我是否在缓存中找到了特定文件,我回答了是。然后我们就开始讨论缓存是“隐藏的文件储藏处”、占有和隐藏,就像武器缓存或藏匿的违禁品。Cache的发音像cache和cash,我不知道律师是在戏弄我还是真的不知道cache是什么。而陪审员们看起来完全困惑了。
当我意识到发生了什么时,我已经深陷其中了。
等到我明白过来时,我基本上已经在宣誓下同意了一个暗示故意隐藏证据的事件版本,即使我并没有那样说。
那时我感到胃里一沉,试图回忆我为什么会选择这份工作。感觉就像坐进《教父》中的汽车前座,意识到身后有一个我没预料到的人。
我花了一段时间,以及大量仔细的澄清,才从那个缓存坑中爬出来。但损害已经造成。当你不得不解释你应该预防的事情时,你在可信度上已经失去了优势。
我希望早点学会的修复方法
从那天起,我决定:我将在每次报告、声明、宣誓书和证词中定义每一个关键术语,在别人替我定义之前。
如果我使用“deleted”,我会具体说明如何和为什么。
如果我使用“recovered”,我也会澄清那是什么意思。
如果我的工具使用不一致的术语,我会在报告离开我之前修复它。合并工具报告不仅仅是剪切和粘贴。它是决定一个适用于所有工具的通用术语,即使你必须重命名一个工具使用的术语以匹配另一个工具。
因为词语是陪审员看到的你工作的唯一部分,而他们不会要求你澄清。他们可能会递纸条给法官,但不要依赖法官来澄清他们也可能从你所说的话中误解的内容。
为什么这很重要
这不是关于语义或“文字游戏”。这是关于你工作中的生存。
我们的世界充满了在实验室中有意义但在法庭上崩溃的无定形术语,这影响了你的可信度。
陪审员不会停止审判来询问你的意思。对方律师会。而且他们会带着微笑这样做。几分钟后,当你认为你已经自由和清晰时,你会像那个走进办公室发现自己站在塑料布上的人……
要点
是的,这是“第一天就该知道的东西”。但你做这行越久,就越容易忘记听众并不生活在你的世界中。顺便说一句,几个月前我参加了一个审判,我看到同样的情况发生在一位经验丰富、具备法庭资格的专家证人身上。对他来说这是第一天吗?可能不是。但我打赌感觉像是。
从你所处的位置学习(或我曾经所处的位置)
如果这种法庭混乱听起来很熟悉,或者像你永远不想经历的事情,我在我的免费网络研讨会“除了法官的每个座位”中逐一分析了法庭角色,以及你,DFIR证人,如何受到影响。
这是一个一小时的演练,展示了法庭语言、感知和精确度如何决定可信度,有时甚至比证据本身更重要。
你将看到从证人席到辩护桌,几乎法庭上每个座位发生的事情,以及无论你在哪个位置如何保持对话语的控制。我是从我作为DFIR从业者在法庭上担任的每个角色(本文下方列出的角色)的角度来做这个网络研讨会的。
底线:
在法庭上,真相不是你知道了什么。而是他们理解你说了什么(即:用Alonzo Harris,也就是Denzel Washington的话说,“不是你知道什么,而是你能证明什么。”)
除此之外,如果你的话语背叛了真相,真相也无法拯救你。
一些“deleted”的参考例子
我找到了一些使用“deleted”的定义实例。你能看出“deleted”可能暗示用户意图吗?特别是如果你的交叉询问律师向你抛出其中一些:
已删除文件:已经从操作系统中逻辑上但不一定物理上擦除的文件,可能是为了消除可能成为证据的文件。- NISTIR 7298 Revision 2 关键信息安全术语词汇表 https://csrc.nist.gov/glossary/term/deleted_file
已删除文件:如果当事人知道计算机上有涉及罪证的文件,他或她可能会删除它们以消除证据。- 美国司法部,NIJ特别报告,数字证据的法医检查:执法指南。2004年4月。
4.7.2 反取证:计算机用户可以采取许多积极措施来误导检查员。最简单的方法是删除涉及罪证的文件。
“[] 声明文件被‘删除’也可能被误解为某人删除文件的行为,这可能不是文件未被分配的根本原因;清楚地描述此类文件处于已删除状态是明智的。”- 文件恢复分类和认证的标准化,Digital Investigation,第31卷,2019年,100873,ISSN 1742-2876,https://doi.org/10.1016/j.diin.2019.06.004。
*我在几十年的各种审判中做过这些事情:
法庭法警、事实证人、专家证人、反驳证人、特别主事官、法庭顾问、自诉原告、被告、受害人、陪审员、旁观者。
我为案件撰写并做过这些事情:取证报告、警察报告、诉讼投诉、诉状、可能原因证明、声明、宣誓书(一般和用于搜查令)、专家报告、特别主事官报告、特权日志、质询书、取证请求、证据听证会、审判简报、结案陈词、异议、上诉、请愿书、动议、答复、回应、会面和协商、即决判决、强制动议、答案。*所有这些都教会我,即使我在法庭系统中待了三十多年,我其实并不真正了解法庭系统。
这就是“除了法官的每个座位”的意义所在,我多年来反思了每个角色和我所做的每件事,我所看到的,以及每个角色如何影响DFIR证人。
主要是,我反思了作为证人我本可以做得如此如此如此更好。花一个小时和我在一起,我保证你不会再以同样的方式看待法庭,特别是如果你还没有上过法庭的话。