Computer Forensics er en videnskab beskæftiger sig med indsamling og analyse af digitale beviser . Denne dokumentation kan antage mange former , og dens analyse har mange anvendelsesmuligheder . Digitale beviser er fundet inden selve computeren , inden for netværket og inden for forskellige typer af lagerenheder (f.eks dvd'er USB-drev, dlash drev, cd- rom'er, ) . Analysen af ​​disse typer af digitale beviser bruges i retssager - både kriminelle og indenlandske - og i virksomhederne til at overvåge anvendelsen af ​​ressourcer. På trods af de forskellige anvendelser af computer forensics , er de faktiske anvendte teknikker næsten identiske. Teknikker

Computer Forensics , som enhver videnskab , følger et mønster af analysen. Data er indsamlet objektivt er data analyseres (men bevarede ) og en rapport om resultaterne er forberedt på, at dokumenterne , hvordan dataene blev indsamlet , hvordan det blev analyseret, og detaljer alle resultater. Den primære konsekvente tendens i denne type data - indsamling og analyse er, at data bevares . Put videnskabeligt , kan resultaterne blive kopieret .

For at sikre, at dataene bevarer sin integritet , er det afgørende , at det samles i en nonobtrusive måde. Der er forskellige programmer, der findes for dette, men mange systemer vil tillade en anden computer , der skal tilsluttes til det, og filerne kopieres. Dette vil imidlertid ikke altid kopiere slettede filer, indskrive filer eller historie filer, som alle er afgørende for computer forensics . Dog kan det være , at en fuld -out analysen ikke er påkrævet, og en enkel tilslutning -and- kopi kan være tilstrækkeligt.

Ved udførelse computer forensics , eller leje nogen for den sags skyld , er det vigtigt at afklare mål . Måske er det en vis række e-mails , eller en fil, der blev hentet , uanset hvad det er , det simpelthen ikke kan kræve timers forskning typisk udføres i computer forensics . I virkeligheden er den største tid hindring for en computer forensics analytiker ikke data , de fleste mennesker aldrig kryptere deres computere. Den største hurdle er den blotte størrelse af harddiske af computere i dag og tid inddrages i analysen , at meget hukommelse. Desuden er de fleste af de data, der anvendes i retssager er ikke den type , der er indlysende ved blot at udskrive en liste over filer på en harddisk , . Langt oftere er oplysningerne skjult eller tildækket på en eller anden måde

Eksempler af computer retsmedicinske teknikker omfatter : Hej

- Hvilke brugere er logget in.w > /data /w.txt

Running processes.ps - auwx > /data /ps.txt < br >

- Porte åbne og lytte processes.netstat -ANP > /data /netstat.txt

- oplysninger om alle grænseflader ( PROMISC ?) ifconfig -a > /data /network.txt < . br >

- Notering af alle filer med adgang tidspunkt, inode ændre tid og ændring time.ls - alRu /> /data /filer - atime.txtls - alRc /> /data /filer - ctime.txtls - ALR /> /data /filer - mtime.txt

- . Bash historie root ( og andre brugere) cat /root /.bash_history > /data /roothistory.txt

- Sidste logins til system.last > /data /last.txt

- Grundlæggende kontrol af adgang logs søger adgang til tmp directories.cat /* /adgangs_log