Computer Forensics è un processo utilizzato per ottenere informazioni da dispositivi digitali come i computer e dispositivi correlati (quali unità USB , fotocamere digitali e telefoni cellulari ), così come scatole nere , i tag RFID e pagine web . Questo viene fatto in genere di ottenere prove per i procedimenti legali, ma può anche essere utilizzato per recuperare i dati persi , analizzare i guasti di sicurezza nel computer compromessi , hardware decodificare e software e ottimizzare le prestazioni di un computer . Ci sono cinque passaggi fondamentali nella collezione di computer forensic . Preparazione
Computer investigatori sono adeguatamente formati , con formazione specifica pertinenza del tipo di indagini in corso . Oltre all'istruzione e alla formazione , l'investigatore sarà a conoscenza di tutti gli strumenti che saranno necessari , e li hanno a portata di mano per le indagini .
Collezione
Durante il processo di raccolta delle prove digitali , l'investigatore si assicurerà che i dati rimangono intatti e inalterati. Per la successiva prova che la prova non sia stata manomessa , egli calcolare e registrare un hash crittografico di un file di prova , da confrontare con l'originale come prova che la prova non è stata modificata . Egli assicurerà ulteriormente l'integrità delle prove digitali da supporti informatici di imaging con un attrezzo writeblocking , stabilendo una catena di custodia e di documentare tutto fatto per le prove. Egli esaminerà RAM di un computer per la prova prima di spegnerla , come alcune prove digitali possono essere conservati solo nella RAM e sarà perso dopo che il computer è spento .
Esame
Durante la fase di esame , l'investigatore sarà verificare e catalogare la presenza e l'integrità della prova originale e le eventuali copie .
Analisi
l'investigatore usa software specializzato per determinare il tipo di informazioni memorizzate su prove digitali , e conduce un'analisi approfondita dei media. Questo include una revisione manuale di tutti i materiali trovati sul supporto , una revisione del registro di Windows , le tecniche per individuare le password e di recuperare i dati protetti , ricerche di parole chiave e l'estrazione di e-mail e le immagini per un'ulteriore revisione.
segnalazione
Dopo l'analisi , l' investigatore forense computer si prepara e fornisce un report . Questa può essere una relazione scritta o di una testimonianza orale. In alcuni casi , si può preparare sia una relazione scritta e di una relazione orale integrativo .