Computer forensics lavoro comporta l'acquisizione e l'analisi di informazioni digitali che verranno utilizzati come prova . Computer forensics è diverso dal recupero di dati in quella di recupero di dati è solo il recupero di file danneggiati o eliminati . Computer forensics comporta seguendo le procedure che permettono i dati trovati nel corso di un controllo del sistema per essere utilizzato come prova . Conservazione Fase
preservare le prove sulla scena . Sia il controllo forense è la scena o si sta lavorando su un sistema che è stato inviato al laboratorio , documentare la condizione del sistema . Fotografare lo schermo del computer se non vi è il recupero di elementi di prova è la scena e il sistema è in esecuzione . Documentare il sistema con fotografie, incluse la marca, il modello e la condizione del sistema . Utilizzare scrivere bloccanti , un dispositivo per l'acquisizione di informazioni sulle unità senza danneggiare i dati , e l'immagine del sistema , immagine del disco usando per una successiva analisi . Imaging il sistema richiede utilizzando software specializzato per fare una copia esatta del sistema . Creare un file hash del sistema anche . Un file hash viene utilizzato per mostrare che il computer non sia stato alterato .
Analizzare le prove
Eseguire una ricerca per parole chiave su tutto il sistema . Una ricerca per parole chiave può essere eseguito mentre altri compiti vengono eseguiti sul sistema. Se si esegue un'analisi diretta , controllare il sistema CMOS , o complementari a semiconduttore, le impostazioni di ossido di metallo per assicurare che il sistema è impostato per l'avvio da un disco o un disco di avvio forense . Notate cosa dispositivo il sistema è impostato per l'avvio al primo . Inoltre, nota l' ora dell'orologio di sistema. Se l'orologio di sistema è diverso dal tempo reale , segnalarlo nella relazione .
Esaminare la struttura di cartelle e di file , e di notare che piattaforma il sistema è in esecuzione , ad esempio Linux o Windows . Individuare e copiare tutti i file di log . File di log registrare le azioni intraprese dagli utenti e di tutti i siti web che sono stati visitati . Individuare ed estrarre i file di stampa spool temporaneo . Questi file contengono informazioni sui documenti che sono stati inviati alla stampante .
Copia criptata o file archiviati . Tutto ciò con un . Zip per esempio deve essere decompresso e visualizzato. I file crittografati avranno bisogno di uno strumento di crittografia per vederlo . Eseguire un esame sul file Internet , file cestino, e file di registro . Il Registro di sistema contiene informazioni su una configurazione di sistemi . È importante notare che una persona può cambiare il Registro di sistema utilizzando regedit.exe . Completare l'analisi con un altro file hash e di garantire che la somma hash da inizio l'analisi e il completamento della partita analisi .
Complete Case Report
scrivere un rapporto dei risultati del controllo del sistema su una relazione approvata. Copiare tutti i file di risultati in un file di prova e di copiarli su un CD o una sottodirectory per il caso. Notare i valori hash nei vostri appunti . Elencare i file di prova in caso . Sempre rileggere il report prima di inviare .