Computer forensics arbejde indebærer at opfange og analysere digitale informationer , der skal bruges som bevismateriale . Computer Forensics er forskellig fra data opsving i , at data opsving er ved at komme beskadigede eller slettede filer . Computer Forensics indebærer efter procedurer, der tillader data fundet under et system check for at blive brugt som bevismateriale. Preservation Phase
Bevar beviserne på gerningsstedet . Hvorvidt retsmedicinsk check er på scenen , eller du arbejder på et system, der er blevet sendt til laboratoriet , dokumentere tilstanden af systemet. Fotografere skærmen på computeren , hvis der er tale om nyttiggørelse af beviser er på scenen , og systemet kører. Dokument systemet med fotografier , herunder mærke, model og tilstand af systemet . Brug skrive blokkere, en anordning til at erhverve oplysninger om de drev uden at beskadige data og image systemet , ved hjælp af disk image til senere analyse . Imaging kræver systemet ved hjælp af specialiserede software til at lave en nøjagtig kopi af systemet . Opret en hash -fil af systemet også . En hash -fil bruges til at vise , at computeren ikke er blevet ændret.
Analyser Evidence
Udføre et søgeord søgning på hele systemet. En søgning efter nøgleord kan køres , mens andre opgaver bliver udført på systemet. Hvis du kører en live analyse kontrolleres systemerne CMOS eller komplementære metal - oxid halvleder , indstillinger for at sikre , at systemet er indstillet til at starte op fra en disk eller en retsmedicinsk boot disk . Bemærk hvilken enhed systemet er indstillet til at starte først . Bemærk også, at tiden på systemets ur . Hvis systemet ur er anderledes end den faktiske tid , notere dette i rapporten.
Undersøg filstruktur og mapper , og bemærk hvilken platform systemet kører på , så som Linux eller Windows. Find og kopiere alle logfiler. Logfiler rekord tiltag, som brugerne og alle de hjemmesider , der blev besøgt . Find og udtrække midlertidige print spool filer . Disse filer har oplysninger om dokumenter, der blev sendt til printeren .
Copy krypteret eller arkiverede filer. Noget med en . Zip for eksempel skal pakkes og ses . Krypterede filer skal have en kryptering værktøj til at se . Gennemføre en undersøgelse på internettet filer, papirkurven filer og registreringsdatabasen filer. Registreringsdatabasen indeholder oplysninger om en system konfiguration. Det er vigtigt at bemærke, at en person kan ændre registreringsdatabasen ved hjælp af regedit.exe . Fuldende analysen med en anden hash fil og sikre, at den hash sum fra begyndelsen af analysen og færdiggørelse af analysen kamp.
Complete Case Rapport
Skriv en rapport over resultaterne fra systemet check på en godkendt rapport . Kopier alle fund filer til et bevis fil og kopiere til en CD eller undermappe for sagen. Bemærk hash værdier i dine noter. Liste bevismæssige filer i sagen. Altid genlæst din rapport , før du sender .