如何证明两个文件在法律上是相同的？

我们让某人在退出前偷了一些文件，但最终归结为诉讼。现在为我提供了CD文件，我必须通过将它们与我们自己的文件服务器中的文件进行匹配来“证明”它们是我们的文件。

我不知道这是只为我们的律师还是法院的证据，还是两者兼而有之。我也意识到我不是一个公正的第三党。

在考虑如何“证明”这些文件来自我们的服务器时，我们意识到我还必须在接收CD之前证明我们已经拥有这些文件。我的老板在有问题的文件的资源管理器窗口中拍摄了屏幕快照，其中显示了创建日期和文件名，并在收到CD的前一天通过电子邮件将其发送给我们的律师。我本来希望提供md5sums，但是我没有参与该过程的那一部分。

我最初的想法是使用unix diff程序并提供控制台外壳输出。我还认为我可以将它与我们的文件及其文件的md5总和相结合。这两个很容易被伪造。

我对应该提供的内容一无所知，然后又对如何提供可审核的记录来重现我的发现感到困惑，因此，如果确实需要第三者证明，那就可以了。

有人对这个有经验么？

关于此案的事实：

1. 这些文件来自Windows 2003文件服务器
2. 事件发生在一年多以前，并且从事件发生之前就没有修改过文件。

技术问题非常简单。结合使用SHA和MD5哈希在取证行业中非常典型。

如果您谈论的是可能已被修改的文本文件（例如源代码文件等），那么执行某种类型的结构化“ diff”将非常常见。我无法列举案件，但是绝对有一个先例：“被盗”文件是“原始”文件的衍生作品。

链产销监管问题是一个LOT担心的更多的你比证明文件一致。我会与您的律师讨论他们所寻找的东西，并会强烈考虑与具有此类诉讼或计算机取证专业经验的律师取得联系，并就最佳的诉讼方式征询他们的意见，以使您不必吹牛。

如果您实际上收到了这些文件的副本，我希望您在维护监管链方面做得很好。如果我是反对律师，那么我会认为您已收到CD，并将其用作产生“被盗”“原始”文件的源材料。我会把“复制”文件的CD放在离“原件”很远的地方，并让一个独立的团队来执行文件的“差异”。

通常，您的律师应该已经对此进行了很多控制。

为了证明文件相同，应使用md5。但是，不仅如此，您还需要使用可审核的线索来证明监管链。如果有人将文件保管着，那么您将很难在法庭上证明没有“植入”证据。

有专门处理此问题的电子证据和取证公司。根据您的公司对此案的重视程度，您需要聘请一位对此领域有知识的律师，并可以将您推荐给可以在此过程中为您提供帮助的公司。

一个重要的问题是如何记录对公司文件的访问，以及如何管理对公司文件的版本控制。

至于文件本身，您要使用diff之类的工具，而不要使用md5之类的工具，因为您要证明文件是“相同的”，只是一个文件的开头有一个版权声明，而另一个文件有不同的版权声明。文件开头的版权声明。

理想情况下，您可以确切地说明有问题的文件来自何处，何时从您的环境中复制它们，以及当时谁有权访问这些文件以及谁进行了复制。

a）是的，我对此有经验。

b）上面有关使用散列的答案只能回答您在该线程标题中提出的问题，而不能回答正文中的问题。为了证明您在获得CD-ROM之前就拥有它们，您将需要提供它们上次被触摸的时间的日志，而您可能没有这些日志，因为这种信息很少保存。

c）话虽如此，您的公司可能确实保留了备份，并且这些备份上有日期，并且这些备份可以选择性地从其还原文件以进行匹配。如果您的公司有书面的备份策略，并且您保留的备份与该策略匹配，这将使说服某人您没有伪造备份更加容易。如果您没有政策，但备份文件上有清楚的标记，则可能就足够了（尽管另一方的律师会对此问题提出质疑）。

d）如果您的公司没有保留备份，而您所拥有的只是所描述的屏幕截图，那就算了。您将很难说服任何人您对数据的控制足够好，可以“证明”您首先拥有这些文件。

diff是我要用的，我认为您的方向正确。

我在想MD5sum，并比较校验和。但是，任何微小的差异都可能会使校验和变差。

您还应该在磁带上或某个地方备份，以证明您在XYZ时间之前就拥有了备份，因为任何人都可能争辩说您将文件从CD中保存到了服务器上（创建日期可以通过一些巧妙的时钟设置来更改，图片可以photoshopped等）

您确实需要找到一种方法，无论是通过备份还是其他证明，都首先确定您拥有文件，因为它们出于某种原因为您提供了可以用来方便地制作故事的所需文件（为什么这样做）那？？）

您需要从您的律师那里找到一位知道技术的律师，确切地了解需要什么，并可能与专门从事数字取证的安全人员交谈。

事实是，除非这里的人是律师，否则我们只能告诉您如何比较这些文件（md5sum），也许最好的防御方法是使用旧媒体备份来建立文件，以便在获得CD之前以及希望在XYZ离开之前拥有这些文件。与您的数据一起发送（通过电子邮件发送了一些文件，因此您有时间戳记了吗？仍在存档数据中吗？）