डिजिटल फोरेंसिक मूल बातें
"साक्ष्य की अखंडता — वैज्ञानिक आधार पर"
डिजिटल फोरेंसिक (Digital Forensics) वह विज्ञान है जो इलेक्ट्रॉनिक उपकरणों से साक्ष्य का संग्रहण, संरक्षण और विश्लेषण करता है। इस भाग में फोरेंसिक इमेजिंग, हैश सत्यापन और FSL प्रक्रियाओं को समझें।
डिजिटल फोरेंसिक का परिचय
परिभाषा: डिजिटल फोरेंसिक डिजिटल उपकरणों में पाए गए साक्ष्य की पहचान, संरक्षण, विश्लेषण और प्रस्तुति की वैज्ञानिक प्रक्रिया है।
उद्देश्य:
• साक्ष्य की अखंडता (Integrity) सुनिश्चित करना
• साक्ष्य को न्यायालय में ग्राह्य बनाना
• अपराध का पुनर्निर्माण करना
1. कंप्यूटर फोरेंसिक (Computer Forensics): हार्ड डिस्क, SSD, USB से डेटा रिकवरी
2. मोबाइल फोरेंसिक (Mobile Forensics): स्मार्टफोन, टैबलेट से डेटा निकालना
3. नेटवर्क फोरेंसिक (Network Forensics): नेटवर्क ट्रैफिक का विश्लेषण
4. मेमोरी फोरेंसिक (Memory Forensics): RAM से वोलाटाइल डेटा
5. क्लाउड फोरेंसिक (Cloud Forensics): क्लाउड सर्विसेज से साक्ष्य
फोरेंसिक इमेजिंग प्रक्रिया
परिभाषा: मूल स्टोरेज डिवाइस की बिट-बाय-बिट (Bit-by-Bit) प्रतिलिपि जिसमें सभी डेटा — हटाए गए फाइल्स, स्लैक स्पेस, अनआवंटित स्पेस सहित — शामिल होता है।
महत्व: मूल साक्ष्य को बदले बिना विश्लेषण करने की अनुमति देता है।
Write Blocker लगाएं
मूल डिवाइस पर कोई भी डेटा लिखने से रोकने के लिए हार्डवेयर या सॉफ्टवेयर Write Blocker का उपयोग करें।
मूल का हैश लें
इमेजिंग से पहले मूल डिवाइस का MD5/SHA-1/SHA-256 हैश कैलकुलेट करें।
बिट-बाय-बिट इमेज बनाएं
फोरेंसिक इमेजिंग टूल (EnCase, FTK Imager, dd) का उपयोग करके पूर्ण प्रतिलिपि बनाएं।
इमेज का हैश लें
बनाई गई इमेज का हैश कैलकुलेट करें।
हैश तुलना करें
यदि दोनों हैश मिलते हैं, तो इमेज सटीक प्रतिलिपि है। यह साक्ष्य की अखंडता का प्रमाण है।
बिना Write Blocker के खतरे:
• ऑपरेटिंग सिस्टम स्वचालित रूप से डेटा लिख सकता है
• टाइमस्टैम्प बदल सकते हैं
• मेटाडेटा परिवर्तित हो सकता है
• साक्ष्य की अखंडता संदिग्ध हो जाती है
परिणाम: न्यायालय में साक्ष्य चुनौतीपूर्ण या अग्राह्य हो सकता है।
हैश वैल्यू (Hash Values)
परिभाषा: एक गणितीय एल्गोरिदम जो किसी भी आकार के डेटा को एक निश्चित-लंबाई के अनूठे "फिंगरप्रिंट" में बदलता है।
गुण:
• एकतरफा (One-way): हैश से मूल डेटा प्राप्त नहीं किया जा सकता
• निर्धारणात्मक (Deterministic): समान डेटा = समान हैश
• अद्वितीय (Unique): छोटे बदलाव से भी पूरी तरह अलग हैश
| एल्गोरिदम | लंबाई | स्थिति |
|---|---|---|
| MD5 | 128-bit | पुराना, टक्कर संभव |
| SHA-1 | 160-bit | कमजोर माना जाता है |
| SHA-256 | 256-bit | वर्तमान मानक |
1. साक्ष्य की अखंडता का प्रमाण:
जब्ती के समय और न्यायालय में प्रस्तुति के समय हैश मिलना चाहिए
2. छेड़छाड़ का पता:
यदि हैश नहीं मिलता, तो साक्ष्य बदला गया है
3. धारा 63 प्रमाणपत्र में उल्लेख:
हैश वैल्यू को प्रमाणपत्र में दर्ज किया जाना चाहिए
फोरेंसिक उपकरण (Forensic Tools)
1. साक्ष्य प्राप्ति: सील किए गए साक्ष्य का सत्यापन
2. फोटोग्राफी: खोलने से पहले और बाद में
3. इमेजिंग: Write Blocker के साथ फोरेंसिक इमेज
4. विश्लेषण: फोरेंसिक टूल्स से जांच
5. रिपोर्ट: विस्तृत FSL रिपोर्ट तैयार
6. साक्ष्य वापसी: मूल साक्ष्य सील करके वापस
• क्या Write Blocker का उपयोग किया गया?
• हैश वैल्यू दर्ज हैं?
• इमेजिंग से पहले और बाद के हैश मिलते हैं?
• कौन सा फोरेंसिक टूल उपयोग किया गया?
• परीक्षक की योग्यता क्या है?
• साक्ष्य की श्रृंखला (Chain of Custody) पूर्ण है?
🎯 मुख्य बिंदु — भाग 3.3
- फोरेंसिक इमेज मूल की बिट-बाय-बिट प्रतिलिपि है — सभी डेटा सहित
- Write Blocker अनिवार्य — बिना इसके साक्ष्य की अखंडता संदिग्ध
- हैश वैल्यू साक्ष्य का "फिंगरप्रिंट" है — SHA-256 वर्तमान मानक
- इमेजिंग से पहले और बाद के हैश मिलने चाहिए
- FSL रिपोर्ट में हैश, Write Blocker उपयोग, और परीक्षक योग्यता जांचें
- EnCase, FTK, Cellebrite प्रमुख फोरेंसिक उपकरण हैं