该论文提出并实现了一个确定性的取证预处理框架，旨在解决数字取证调查中异构网络数据集（如来自入侵检测系统、物联网设备和企业流量日志的数据）的预处理问题。当前面临的挑战包括：不同来源的数据模式和时间戳格式不一致，导致证据关联和时间线重建困难；临时性的预处理方法无法保证跨运行的一致性，产生可重复性差距，进而影响证据的可采性。论文的主要贡献包括：首先，形式化定义了三种预处理转换操作——模式规范化（统一字段名和数据类型）、时间规范化（将异构时间戳转换为统一格式）和溯源追踪（记录数据来源和处理历史）。这些转换基于集合论定义，并通过四个定理证明了确定性、信息保存性和溯源的完整性。其次，实现了一种基于块的架构，将内存复杂度控制在 O(c) 级别（c 为常数），从而能够处理大规模数据集。第三，在三个公开数据集（UNSW-NB15、IoT-23 和 TON_IoT）上进行了实验验证，结果表明：多次重复运行产生100%一致的输出；面对多种时间戳格式，时间规范化完整性达到100%；能够处理从数百万到数亿条记录的大规模数据，且性能可扩展。该框架为数字取证提供了一种可重复、可验证的预处理基础，有助于提升证据的可信度和司法可采性。论文面向数字取证研究人员、安全分析师和证据处理工具开发者，属于基础设施型研究。由于仅有摘要，对实现细节和定理的全面理解需阅读全文。

本文提出了一种名为“测试驱动取证”（Test-Driven Forensics）的新方法，旨在应对数字取证领域中因操作系统、应用程序和分析工具快速演化导致的工具输出漂移和重复性下降问题。传统取证依赖经验验证的工具和流程，但环境变化会使工件行为和工具输出悄然变化，降低长期取证分析的可信度。作者将取证预期视为可执行规范：将预期的工件和工具输出编码为测试用例，可在不同版本间重复运行，以检测回归。此外，该方法引入了状态转换测试（State Transition Testing），不仅对最终磁盘镜像进行事后检查，还在每个用户操作后验证系统的预期状态，支持因果归因和瞬态行为测试。作者实现了开源框架ADARE，该框架在虚拟机中运行受控实验，通过计算机视觉引导的GUI自动化模拟真实用户活动，并提供配套Web平台用于共享实验、环境和结果，以促进独立复现和同行验证。通过五个案例研究（包括工件研究和工具验证），特别是针对Autopsy的25版本回归研究，发现其导出报告输出存在大量未记录的实质性变化，证明了可执行测试能够大规模地衡量和重现漂移。本文适合数字取证研究人员、工具开发者及安全分析师阅读。

该研究针对基于GAN的图像篡改技术日益成熟带来的数字取证挑战，系统比较了四种预训练CNN架构（VGG16、ResNet50、EfficientNetB0和XceptionNet）在假图像检测任务中的性能。通过统一的预处理和训练流程，对真实与篡改图像数据集进行缩放、归一化和数据增强，以解决类别不平衡并提升泛化能力。模型评估指标包括准确率、精确率、召回率、F1分数和ROC-AUC。实验结果显示，VGG16以91%的准确率领先，XceptionNet、ResNet50和EfficientNetB0均达到90%。EfficientNetB0对假图像表现出较高敏感性，但对真实样本的可靠性降低，反映出不平衡驱动的偏差。研究指出了数据集不平衡、过拟合和可解释性有限等局限，这些因素影响了跨域鲁棒性。该工作提供了一个可复现的基线，并强调了需要平衡数据集、先进的数据增强和公平性感知训练，以构建可靠的假图像检测系统。