Computer Forensics er en proces, der anvendes til at få information fra digitale enheder såsom computere og relaterede enheder (såsom USB-drev, digitale kameraer og mobiltelefoner ), samt sorte bokse , RFID tags og websider. Det gøres typisk for at få bevis for retssager , men kan også bruges til at genvinde tabte data , analysere sikkerheden fejl i kompromitterede computere, reverse engineering hardware og software og optimere computerens ydeevne. Der er fem grundlæggende trin i computer retsmedicinsk samling. Forberedelse

Computer retsmedicinske efterforskere er ordentligt uddannet , med særlig uddannelse vedrørende den form for efterforskning, som de er i gang med . Ud over undervisning og uddannelse , vil investigator være opmærksomme på alle de værktøjer, der vil blive brug for, og få dem på hånden for undersøgelsen .
Collection

Under processen med at indsamle digitale beviser , vil investigator sikre, at dataene forbliver intakt og uændret . For senere bevis på, at beviser ikke er blevet manipuleret med , vil han beregne og optage en kryptografisk hash af et bevis fil , der skal sammenlignes med originalen som bevis på, at beviserne ikke er blevet ændret. Han vil yderligere sikre integriteten af ​​digitale beviser ved billedbehandling edb-medier med en writeblocking værktøj , om en kæde af forældremyndigheden og dokumentere alt gjort til beviserne. Han vil undersøge en computers RAM til bevismateriale før kraftoverførsel det ned , da nogle digitale beviser må kun lagres i RAM og vil gå tabt , efter at computeren er slukket.
Undersøgelse < br >

Under gennemgangen skridt vil investigator kontrollere og katalogisere tilstedeværelse og integritet af den oprindelige beviser og eventuelle kopier.
Analyse

investigator bruger specialiseret software til at bestemme, hvilken type oplysninger der er lagret på digitale beviser , og gennemfører en grundig analyse af medierne. Dette omfatter en manuel gennemgang af alle materialer, der findes på medierne, en anmeldelse af Windows registreringsdatabasen , teknikker til at knække passwords og hente beskyttede data , søgeord søgninger og udvinding af email og billeder for yderligere gennemgang .
rapportering

Efter analyse , computeren retsmedicinske efterforsker forbereder og leverer en rapport. Dette kan være en skriftlig rapport eller mundtlige vidneudsagn . I nogle tilfælde , kan hun udarbejder både en skriftlig rapport og en supplerende mundtlig beretning.