电脑鉴识

电脑鉴识简单来说，系一利用科技与严谨的检查程序，自电脑系统或其它类似的储存媒体中，查找罪行相关物证或间接物证。

了解犯罪者

对于电脑鉴识专家来说，必需要能够了解嫌疑犯世故的程度，懂得对方在资讯专业方面的认知多寡，如果我们不清楚嫌疑犯的程度时，先将对方视为专家，并假设对方已经为有电脑鉴识之可能，做好事前准备。

待鉴识的已开机设备是否要关机以方便运送，或是保持开机状态以避免变更原始资料，如同一把两面刃的刀一样，各有优劣。没有关机的电脑，是不方便运送的，此外还有嫌疑犯启动程式已销毁重要资料的问题；相反的，将电脑进行关机后，易挥发的资料如内存内部若存有重要的密码，随着关机便烟消云散，其中的取决是一门临场判断的学问。

数位证据的纪录

软硬件的蒐集

电子邮件解析

电脑鉴识与传统鉴识

电脑鉴识与传统鉴识间，存在有许多差异点。巨观来看，传统鉴识着眼于鉴定与个化。两者的鉴识过程中，均在于将犯罪现场的各个项目与物质，分析后再予以分类，甚至鉴识出其原由。(如红色的汁液，可能被分类为血或果汁等，甚至找出所有人。)相对于传统鉴识，电脑鉴识会着重于找出物证，并予以分析，这样的过程是相较于传统鉴识来说，是类似犯罪现场调查的。

资讯鉴识v.s电脑鉴识

很多人会把“资讯鉴识”与“电脑鉴识”混为一谈，其实是两种不同的东西。电脑鉴识的概念源自电脑 / 网络保安与及刑事侦查，主要是用作调查电脑犯罪时，寻找相关证据或是用来证明损害的证据。由于资讯科技发达，虚拟世界里的电子纪录很容易便可遭修改。电脑鉴识也用来建立证物保护方式，确保鉴识前后的电子证据没有遭窜改，令经鉴识分析后的证据更可信及具有法律地位。

参考资料

4. Xiaoyun Wang and Hongbo Yu. "How to Break MD5 and Other Hash Functions". EUROCRYPT 2005.