所有关于成为数字法医检验员

毫无疑问，技术已经显着改变了警察的经营方式。同样正确的观点是，我们不断发展的技术正在改变警方调查人员完全调查的犯罪类型，因此数字取证工作的增加。

网络空间正日益成为“高犯罪率的社区”，警察存在的必要性显而易见。这就是数字和多媒体科学领域以及像John Irvine这样的人进入的领域。

作为数字取证领域的先驱之一，约翰在大多数人知道有这样的事情之前就进行了计算机调查。目前，他担任CyTech Services的技术开发副总裁，这是一家专门从事数据恢复和数字取证的私营公司。

约翰还是乔治梅森大学数字取证的兼职教授，在那里他教授计算机取证的法律和道德问题。他拥有信息系统理学硕士学位和软件系统工程研究生证书。

自1997年以来，他一直在公共和私营部门从事计算机取证工作，包括与FBI，DEA和众多私人咨询公司合作。他还是Arcola志愿消防局的志愿者。尽管他很忙，但他还是有时间为我们回答有关快速发展的数字取证领域以及在该行业工作的问题。

采访数字取证专家John Irvine:

蒂姆鲁法： 您拥有多年的数字取证经验，以至于您已成为该领域公认的专家。要实现你所能达到的目标显然需要付出很多努力和教育，但你是如何开始的？

约翰欧文： 完全是偶然的！像大多数伟大事业的故事一样，我因为偶然而不是计划而陷入其中。我一直对技术很感兴趣。小时候，我把第一个PC克隆放在一块。此外，从大约五岁开始，我就知道自己想成为FBI特工。最终，这两个利益相吻合。

有一天，当我坐在办公室从事软件项目管理工作时，迫切希望我最终联系到联邦调查局。这是因特网之前的INTERNET，所以我无法在网上轻松获取信息。 我打电话给我当地的FBI现场办公室，在感应机器上留下我的姓名和地址给感兴趣的候选人，并对有关计算机技能的问题回答“是”。

几个星期后，我收到了我称之为“你想成为一名特工？”的包裹。我打开了小册子，第一页用一句话吹走了我的终生梦想。我作为联邦调查局特工的职业生涯在它开始要求20/40未修正的视力或更好之前结束。在LASIK的奇迹出现之前，我大概是20/2000。

在数据包的后面看起来像17^日 一代，严重偏斜，几乎难以辨认的“计算机专家”职位发布，由于我所说的计算机能力，显然已被列入。我想，“好吧，也许我可以为FB​​I修理打印机或其他东西。至少那会让我进门。“

我将简历发送给工作描述中列出的人力资源人员，大约一周后，我接到了FBI计算机分析响应小组的一位项目经理的电话。他说：“你的简历被告知我，因为你在求职信中说你是'计算机通才'。你对计算机取证有什么了解？“”没什么，“我回答说。他说，“太好了。进来接受采访。“

TR： 您是如何开始对数字取证感兴趣的？

JI： 在采访中，我遇到的人告诉我，我可能是一个视力不好的怪人，仍然可以帮助抓住坏人。显然我的通才能力 - 这意味着我可以有效地使用不同的操作系统，并且对硬件内部和主要应用程序都有很好的了解 - 这将非常适合他们的团队。

这真的是我需要听到的。我以为除了Windows之外我还在玩Linux和Mac操作系统只是为了好玩;我没有意识到这一切都为未来的职业生涯奠定了基础。

TR： 除了你的取证经验，你花了很多时间为联邦政府工作。这种经历有助于您为当前的职业生涯做好准备吗？

JI： 在为FBI工作之前，我花了很多时间作为政府承包商。事实上，在我高中的那一年，我会在钟声响起的时候离开，然后开车上街去一个国防承包商，在那里我担任人力资源和特别保安局局长的助理。后来，我在一家拥有众多政府客户的软件公司工作。

除了在很小的时候已经获得安全许可，这种经历帮助我了解了许多不同的硬件平台，软件应用程序，以及最重要的政府和专业领域的不同类型的人。无论它看起来如何，计算机取证与使用您分析的计算机的人一样多，因为它与硬件本身有关。

在我们采访数字取证教授和专家John Irvine的第二部分中，我们了解了该专业的一些缺陷，并解释了为什么这项工作并不适合所有人。

采访数字取证专家John Irvine，第2部分：

TR： 在您的管理学学士学位，您的软件工程证书和您的信息系统硕士学位之间，您认为您的学位为您的职业道路做好准备的程度如何？

JI： 这些程序中的每一个都为我在计算机取证工作中提供了一些东西。首先，我认为重要的是说计算机取证不是计算机科学学科。它既是一项调查功能，也是一项技术挑战。如果缺少任何技能组合，那么在现场成功工作将会更加艰难。

信息系统硕士帮助我更好地理解操作系统，文件系统和计算机机制。然而，我的管理学学士学位同样有助于我在心理学，社会学，管理和会计方面的课程。对于该领域的实用性，我无法在一个方面给予优势。

那就是说，我想确保我说几件事。计算机取证是一种学徒训练。近年来出现了更多的课程 - 我在乔治梅森大学教授的课程 - 提供了优秀的计算机取证课程。但是，一旦你和高级审查员一起在真实案件中工作，你就真正学会了这笔交易。

此外，您不需要具有编程背景即可在现场成功运行。事实上，我在研究工作的技术细节方面的运气明显好于我在教授程序员调查方法和“预感”艺术方面的运气。如果一个人在学校没有技术背景，这不是进入战场的威慑力。

• 了解您应该为法医科学职业获得什么类型的学位
• 探索你应该为犯罪学和刑事司法职业赚取的学位

TR： 你曾在私营和公共部门工作，从事大部分相同的工作。你怎么描述两者之间的区别？

JI： 在公共和私营部门工作的最大差异通常是程序和速度。在联邦世界，一个人的程序通常（但并不总是）严格规定，生产速度通常不那么重要（有一些值得注意的例外）。

在商业世界中，程序主要取决于个人经验或雇主的偏好，生产速度要高得多。由于其包含的数据量，我曾在联邦雇主的一个硬盘驱动器上花了四个月的时间，但在商业世界中，您通常最多只需要几天或几周的周转时间。

TR： 像数字取证分析师或考官这样的典型工作日是什么时候？

JI： 数字取证专业人员的工作日绝不是典型的。根据您所在的组织，您可能会持续不断地处理儿童色情案件，或者您可能正在分析如此高调的主题，以至于您在工作时正在CNN上观看它们。

然而，你经常会发现自己处于一个过热的办公室（因为你办公桌上的计算机数量超过了典型的办公室空调），而且你会非常擅长拼凑一堆不起作用的工作组件。那些。

您的大部分时间都将花在文档上。您可能正在撰写分析报告，同行评审另一位审查员的报告，或者注意您在执行考试时所做的一切。如果您无法在书面报告中清楚地与代理人，官员，律师或陪审团理解，那么世界上最好的考试将毫无用处。另外，如果您的书面报告很差，那么试图阅读它的人自然会对您的技术能力产生疑问。

• 了解更多关于为什么写作技巧在任何犯罪学事业中如此重要

根据您的工作地点，在法庭上作证是进行数字取证分析的潜在部分。如果您在执法环境中工作，几乎可以保证，但即使是公司取证人员也可能必须在不公平的终止诉讼中作证或支持随后的执法行动来追踪入侵。我所知道的一些审查员在键盘背后非常出色，可以撰写精彩的报道，但是当他们被要求在法庭上作证时，他们会分崩离析。

TR： 你写了一篇题为The。的文章 数字取证的黑暗面 。你能告诉我们一些关于工作的一些陷阱吗？

JI： 你实际上是在引用我之前写过的一篇博文，这篇博文是由一些数字取证网点发现的，并且一次又一次地被重新发布。当我写这篇文章时，我不知道会有这样的“腿”;我很惊讶那些想要进入这个领域的人仍然不知道它真正需要什么。

计算机取证对我来说是一个很棒的职业，但肯定存在陷阱。事实上，我教的前两节课是以工作的现实为中心的，每次当我发现我是第一个告诉我的学生工作真实的人之后，我都感到震惊。他们选择了它作为他们的学位领域。

我没有科学数字，但我估计全世界约有70-80％的计算机取证案件与儿童色情有关。你越接近州和地方执法部门，这个数字越高。

即使您专注于计算机入侵和事件响应，您也经常会发现儿童色情内容是入侵的目的或结果（或者只是存在于您从计算机的常规用户处检查的计算机上）。

接触儿童色情制品，特别是每天八小时，一周四十小时，一年五十二周，都会造成损失。它不只是看静止图片。你也在看视频，而且你正在看到和听到一切。

如果你能继续这样做，你很可能会发展出一种非常黑暗，坟墓般的幽默感来对抗它。我也是一名消防和救援队的志愿者，你在那里看到了很多相同的幽默;它是由在更严峻的生活领域工作的人们开发的应对机制。

此外，根据您正在进行的工作，您将接触到谋杀，酷刑，强奸，恐怖主义以及您可以想象的任何犯罪，堕落，色情或偏离的图形图像和文本。

计算机是很好的工具，它们也是犯罪和传播仇恨的绝佳工具。作为一名计算机取证审查员，您将日复一日地接触到所有这一切。在一个小组中，我们有一个笑话，在谈论有关“冲到互联网底层的人们”的商业广告时说道。“我们补充道，”……然后我们的团队拿起铲子开始挖掘。“

由于审查员的工作和内容，许多进入该领域的人不会持久。平均而言，我会说约有50％的人在大约两年内离开。当审查员在他或她的腰带下有足够的病例要么被暴露所压垮（或免疫）时，这似乎就是一个标志。如果你能超过两年的成绩，你通常在计算机取证方面有着悠久的职业生涯。

TR： 随着过去十年计算技术的快速发展，数字取证领域如何改变您的职业生涯？

JI： 从90年代开始，计算机取证发生了巨大的变化。那时候，你查看了硬盘上的每个文件（因为你可以），而移动设备甚至都没有想到。软盘将由数百个进入，但现在，你永远不会看到它们。

今天，数据量如此巨大，以至于你必须在搜索中更加精确，而移动设备是一个相同 - 如果不是更重要 - 的检查对象。

此外，工具的深度也发生了显着变化。在早期，大多数工具都是由参加过一些编程课程或自学成才的警察编写的。我们有几十个一次性使用的实用工具，我们会拼凑起来进行检查。

现在，这些工具更加专业和多用途。一个好的考官仍然会有一个大的“工具箱”可供使用，但他或她有更好的基础平台选项来进行整体考试。业界总是试图转向神奇的“找到所有证据按钮”，并且某些工具与某些类型的案例接近。

在政治上，案件的类型发生了巨大变化。最初，计算机取证主要被执法部门用于刑事案件。 9/11之后，大部分工作转向反恐。现在，计算机入侵是热门话题，许多职业都转向事件响应。这个领域随着时代的变化而变化很大。

TR： 目前，您担任CyTech Services技术开发副总裁。如果您可以与我们分享，您可以在职业生涯中获得哪些创新？

JI： 转向CyTech服务对我来说非常棒。在我的职位上，我不仅能够使用我的计算机取证经验，而且还可以在软件项目管理中使用我的背景。 CyTech生产CyFIR Enterprise（CyTech取证和事件响应），用于执行企业计算机取证调查。

我在这里的贡献是用从业者的眼睛进一步开发该工具。例如，CyFIR的架构允许调查人员一次搜索企业网络上的每个节点以获取取证数据，而无需用户停止工作以进行漫长的成像过程。

如果组织中存在恶意代码爆发，CyFIR可以在几分钟内（而不是几天或几周）找到所有受影响的计算机。在大型企业网络上执行事件响应，电子数据展示或内部调查时，或者在响应从结帐通道窃取信用卡数据的多商店销售点泄露时，这是巨大的。 “想象一切并在以后对其进行排序”的旧思想在企业环境中不再存在。

虽然不是“创新”本身，但凭借我的管理背景，我非常幸运地找到了能够成为杰出的法证审查员的候选人。

不幸的是，恢复通货膨胀是我们行业中的一个大问题，而在纸面上看起来很棒的人可能只有一个关于实际执行考试的流行语知识。通过我随着时间的推移开发的面试过程，我已经非常成功地找到了具备该职位所需技能的合适人选。

在教育方面，我已经能够将我的知识 - 更重要的是 - 我的经验传授给未来的法医检验员。在我提到的前两天的课程中，我发现每个学期有一两个人会告诉我他们没有意识到他们在开始这个课程时所讨论的内容并且感谢我让他们知道这个工作是什么比如，因为他们觉得做这种工作感觉不舒服。

那时，我能够引导他们进入一个计算机安全程序，该程序将来不会有相同类型的内容问题等待它们。同样地，我可以很快找到真正具有“诀窍”的学生，我可以帮助他们指出正确的方向开始他们的职业生涯。

上一页： John Irvine就如何获得数字取证工作分享了建议

在我们采访数字取证专家John Irvine的最后一部分中，我们了解了为什么该领域如此重要，有抱负的审查员可以获得什么，以及如何开始作为数字取证专家的职业生涯。

采访数字取证专家John Irvine，第3部分：

TR： 为什么数字取证领域对政府和企业如此重要？

JI： 数字取证对于政府和企业来说都是有价值的，原因完全相同 - 信息。无论该信息是否为联邦刑事案件的证据，或者知道内部人员为竞争对手窃取公司知识产权，数字取证专业人员都会提供客户无法获得的数据。

简单来说，可以将数字取证审查员的工作比作照片开发人员的工作。例如，如果我手中有未开发的胶卷，那对我来说几乎没用任何证据。但是，如果有人将该电影制作成图片（或者在我们的案例中从硬盘中恢复数据），那么该内容可以提供检察官，人力资源经理或公司安全官员所需的一切。

现在我考虑一下，我需要为未来提出一个新的类比。今天在学校的孩子们可能甚至不知道什么是“电影卷”了！

TR： 你最喜欢什么工作，为什么还要继续这样做？

JI： 数字取证在很多层面上都吸引着我。首先，它使我能够为人们的安全和保障做出有意义的贡献，而不受视力或年龄的物理限制的限制。我可能不是代理人在巷子里追逐某人，但我可能会给该代理人提供来自该主题手机的数据，该手机密封案件并打开另外三个。

接下来，数字取证对我很有吸引力，因为它是我对执法和智力的热爱（我的TiVo充满了警察和间谍节目）和我的内心极客。如果您观看这些节目，您甚至会在屏幕上看到这些角色的演变。十五年前，他们是戴着眼镜破损和尴尬的社交礼仪的超级书呆子。现在，计算机取证检查员通常具有干燥的幽默感和极强的时尚感！

TR： 作为数字取证审查员或分析师，成功需要什么？

JI： 首先，它需要对正义的真诚热情（我用一个无所不包的术语），热爱技术。如果你有这两个项目，那么你就可以了。

现在可以获得正式的教育计划，而这些计划在几年前还不存在，而且值得花时间调查它们以了解每个计划的内容。此外，许多取证工具都有类（使用公司销售的工具，包括我自己的工具），可以帮助您入门。

当我告诉我的学生时，这个领域需要非常强烈的个人责任感。您需要愿意将您的姓名和声誉与您分析的每个案例联系起来，因为您可以根据报告的内容最终在法庭上结束。如果你缺乏信念，压力下的恩典，或坦率，这绝对不是你的职业领域。

最后，通过在该领域找到一位优秀的导师并在学习交易的同时与该人肩并肩工作，可以极大地帮助您取得成功。学校可以给你一个很好的基础，但案例经验可以帮助你把人们关在监狱里。

TR： 您的普通数字取证审查员应该获得多少收益，如果他们成为有信誉和/或去私人公司，他们可以赚多少钱？

JI： 数字取证工资差异很大，而且最近由于人们试图将自己宣传为计算机法医检查员而不是工作人员的隔离和市场饱和，工资开始下降。 （很多责任在于那些无法确定候选人真正技能的糟糕招聘经理。）

但是，一般来说，有天赋的人应该能够在初级水平找到60-80,000美元的职位，在中级水平找到80- $ 120,000，在高级水平找到150,000多美元。也就是说，我认识一些非常出色的审查员，他们每年只需支付5万美元作为当地警察，而且我知道糟糕的审查员，他们每年的营业额超过25万美元，因为他们很好地推销了自己的名字。

一般而言，法医审查员在辩护诉讼案件或电子发现案件中的表现最为突出，如果他们可以同时运行大量案件（并向多个客户收费）。这些薪资水平通常分别由联邦政府承包商，联邦政府雇员，州政府雇员，军方，最后是地方政府审查员遵循。

• 了解军事执法职业
• 发现联邦执法职业

商业薪酬的范围取决于经验，公司规模和公司对取证的兴趣（由于积极性或公众尴尬）。

TR： 对于那些试图决定他们是否想要作为数字取证审查员工作的人，或者刚开始从事该领域工作的人，你有什么建议？

JI： 阅读这篇文章！说真的，我会花一点时间在LinkedIn上，并与数字取证的人联系，向他们询问你问过我的许多相同的问题。

找到为您想要工作的组织或公司工作的人，让他们告诉您日常工作。我通过我的LinkedIn或学校电子邮件地址每周进行一到两次查询，我很乐意根据他们的具体情况提供我的建议。

如果您有一点钱可以花钱，我建议您报名参加大型计算机取证工具制造商提供的培训课程之一，以了解工作涉及的内容及其完成方式。

如果课程符合您的兴趣，我会研究一些大学的优秀课程，无论是BS还是MS级别（如我在弗吉尼亚州费尔法克斯的乔治梅森大学提供的计算机取证硕士课程）。

• 了解有关如何成为数字取证审查员的更多信息

TR： 如果您还有其他任何关于您的职业或整个领域的内容，请随时分享。

JI： 计算机取证绝对不适合所有人，而且 那’ 没关系。 在花费大量时间或金钱之前，找一个你所在地区的数字取证专业人士，提出给他或她买一杯咖啡，并挑选他们的大脑一小时。我们大多数人都非常愿意分享我们的知识，因为这就是我们自己的方式。

数字取证是一个增长领域（让我们面对它，计算机不会很快消失），并且每个人都有很多工作要做。但是，如果你不重视真理，并且在逆境中无法为你的工作做好准备，那么你就不会在这个声誉卓着的业务中长期存在。

我可能不会亲自认识一位特定的法医检查员，但我可以向您保证，我只是打电话给某人，而那些非官方的“大厅档案”很快就会在审查员之间传递。不诚实或缺乏责任感的一个例子可以结束其职业生涯。

所有这一切，对我来说这是一个很棒的领域，我很感激我过去曾与他们一起工作的所有人，以及他们教给我的经验以及他们所传授的经验。这是一个疯狂的旅程。