Compute Forensics เป็นศาสตร์แขนงหนึ่งของวิชาคอมพิวเตอร์ ซึ่งออกจะใช้ความรู้กึ่งๆ IT กึ่งๆ นักสืบ พูดง่ายๆ ก็คือ มันเป็นศาสตร์ทางด้านการสืบสวนที่เกี่ยวกับคอมพิวเตอร์นั่นเอง โดยผู้ทำการสืบสวน หรือที่ภาษาอังกฤษเรียกว่า Examiner นั้น จะนำอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับคดีหรือเรื่องที่กำลังสืบสวนมาค้นแคะแกะเกาเพื่อหาเอาพยานหลักฐานสำหรับใช้ในการประกอบการสืบสวนหรือใช้มัดตัวผู้กระทำความผิดออกมา ทั้งนี้ทั้งนั้น ตามวิธีการของการทำ Computer Forensics แล้ว ไม่ใช่หมายถึงการที่ผู้ทำการสืบสวนจะนำเครื่องคอมพิวเตอร์เป้าหมายมาเปิดและคลิกดูไฟล์บนเครื่อง หากทำเช่นนั้นพยานหลักฐานที่คุณได้จะถูกปัดตกในชั้นศาลทันทีเนื่องจากขาดความน่าเชื่อถือลองนึกดูว่าหากคุณเป็นตำรวจ คุณยึดเครื่องของผู้ต้องสงสัยมา คุณต้องการไฟล์อะไรสักอันที่อยู่ในเครื่องที่ใช้มัดตัวผู้ต้องสงสัยนั้นได้ แต่เมื่อคุณเปิดเครื่องมากลับไม่เจออะไรที่เป็นประโยชน์ต่อคดีของคุณเลย แต่แล้วก็กลับมีความคิดแว่บขึ้นมาในหัวคุณว่า"เฮ้ย งั้นเราก็สร้างไฟล์ที่จะใช้มัดตัวมันได้ขึ้นมาเองสิ"จากนั้นก็ไม่รอช้า คุณเปิด word ขึ้นมาที่เครื่องของผู้ต้องสงสัย จากนั้นก็สร้างข้อมูลเท็จที่คุณคิดว่าจะใช้มัดตัวผู้ต้องสงสัยได้ จากนั้น save ลงเครื่องนั้น เสร็จแล้วก็บอกคนอื่นๆ ว่าคุณพบไฟล์ดังกล่าวในเครื่องต้องสงสัย คิดในทางกลับกันหากคุณตกเป็นผู้ต้องสงสัย และตำรวจทำแบบนี้กับคุณ คิดว่ามันคงไม่สวยนักหรอก เนอะ!ทีนี้เพื่อความน่าเชื่อของพยานหลักฐานที่จะได้จากอุปกรณ์คอมพิวเตอร์ จึงได้มีคนและ/หรือหน่วยงานต่างๆ คิดค้นวิธีการสร้างความน่าเชื่อถือให้กับกระบวนการเหล่านี้ขึ้นมา และมันก็ออกมาเป็นวิธีการทาง Computer Forensics
คำว่า Computer Forensics นี้ เคยเห็นมีคนใช้คำภาษาไทยว่า "นิติคอมพิวเตอร์" ซึ่งตามความเข้าใจของผู้เขียนคำว่า "นิติคอมพิวเตอร์"น่าจะหมายถึง กระบวนการอะไรก็แล้วแต่ที่เกี่ยวข้องกับคอมพิวเตอร์ซึ่งเป็นไปตามขั้นตอนของกฎหมายพูดอีกอย่างหนึ่งก็คือการกระทำอะไรก็แล้วแต่กับอุปกรณ์คอมพิวเตอร์ที่รับฟังได้ตามกฎหมายนั้นเอง แต่ในความเห็นของผู้เขียนนั้นคำว่า Computer Forensics ในภาษาไทยที่น่าจะฟังแล้วเข้าใจง่ายที่สุดก็คือ "การตรวจพิสูจน์พยานหลักฐานที่เป็นอุปกรณ์คอมพิวเตอร์" ลองนึกถึงภาพสถาบันนิติเวชที่ตรวจพิสูจน์คราบเลือด รอยนิ้วมือ วิถีกระสุน ฯลฯ ดู นั่นแหละมันเป็นแบบนั้นแต่สิ่งที่คุณตรวจแทนที่จะเป็น คราบเลือดหรือรอยนิ้วมือก็กลับกลายเป็นอุปกรณ์คอมพิวเตอร์แทน ซึ่งเมื่อพูดถึงคำว่า Computer Forensics แล้วนั้นที่จริงมันยังคงหมายรวมถึงการสืบสวนทางดิจิตอล หรือ digital investigation ด้วยแต่ในบทความนี้จะขอกล่าวถึงการทำงานในห้อง lab อย่างคร่าวๆ ก่อนแล้วเอาไว้ค่อยว่าถึงเรื่องการสืบสวนดิจิตอลกันทีหลัง ทีนี้ลองมาดูกันว่า "อุปกรณ์คอมพิวเตอร์" นั้นหมายถึงอะไร คำว่า "อุปกรณ์คอมพิวเตอร์" ไม่ได้หมายถึง เครื่องคอมพิวเตอร์ แต่เพียงอย่างเดียวเท่านั้นแต่ยังหมายรวมถึงอุปกรณ์อื่นๆ เช่น flash drive, floppy drive, external hard drive เหล่านี้เป็นต้น ทีนี้ลองกลับมาดูถึงเรื่องของความน่าเชื่อถือทางกฎหมายอีกที เพื่อให้เกิดความน่าเชื่อถือและเป็นพยานหลักฐานที่รับฟังได้ในชั้นศาลจึงได้มีหน่วยงานคิดค้นวิธีการปฏิบัติขึ้น เช่น IOCE, USSS (US Secret Service) หรือ FBI เป็นต้น โดยที่หลักการสำคัญจะอยู่ที่ "การไม่ก่อให้เกิดการเปลี่ยนแปลงที่ตัวพยานหลักฐานต้นฉบับ" ซึ่งหมายถึงจะไม่มีการทำให้พยานหลักฐานต้นฉบับได้รับการปนเปื้อนจากข้อมูลที่ถูกสร้างโดยบุคคลคนอื่นหลังจากเครื่องถูกยึดมาจากผู้ต้องสงสัยเด็ดขาด นั่นก็คือ หากคุณตกเป็นผู้ต้องสงสัย และเจ้าหน้าที่ยึดเครื่องคุณมา นับแต่วันที่และเวลาที่เจ้าหน้าที่ไปยึดเครื่องคุณมาเครื่องนั้นจะไม่มีการถูกเปิดใช้จะทำให้วันและเวลาของกิจกรรมที่เกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์นั้นๆ หยุดลง หรือที่ในภาษาอังกฤษเรียกว่า freeze หรือ "แช่เย็น" นับตั้งแต่วินาทีนั้น!
Ref: http://thaiforensics.exteen.com/20091015/computer-forensics-1