Computer forensics è una scienza che si occupa della raccolta e analisi delle prove digitali . Questa prova può assumere molte forme e la sua analisi ha molti usi . Prove digitali si trova all'interno del computer stesso , all'interno della rete e all'interno di vari tipi di dispositivi di memorizzazione ( ad esempio, unità USB, unità dlash , CD - ROM, DVD ) . L'analisi di questi tipi di prove digitali è utilizzato in casi giudiziari - sia penale e nazionali - e all'interno di aziende di monitorare l'uso delle risorse . Nonostante le varie applicazioni di computer forensics , le tecniche attuali impiegate sono quasi identici . Tecniche
Computer forensics , come ogni scienza , segue un modello di analisi. I dati vengono raccolti oggettivamente , i dati sono analizzati ( ma conservata) e una relazione dei risultati è preparato che documenta come i dati sono stati raccolti , come è stato analizzato e dettagli tutti i risultati . Il trend primario consistente in che tipo di raccolta dei dati e l'analisi è che i dati sono conservati. Mettere scientificamente , i risultati possono essere duplicati .
Al fine di garantire che i dati mantiene la sua integrità , è fondamentale che venga raccolto in maniera nonobtrusive . Ci sono diversi programmi esistenti per questo , ma molti sistemi permetteranno un altro computer da collegare ad esso e file copiato. Questo non sarà però sempre copiare i file cancellati , file di registro o file di storia, che sono tutti fondamentali per computer forensics . Tuttavia, può essere che una analisi completa -out non è richiesto e una semplice connessione - e - copia potrebbe essere sufficiente .
Durante l'esecuzione di computer forensics , o di assumere qualcuno per questo, è importante chiarire gli obiettivi . Forse è una certa serie di messaggi di posta elettronica o un file che è stato scaricato , qualunque essa sia , semplicemente non può richiedere le ore di ricerche in genere eseguiti in computer forensics . In realtà, il più grande ostacolo a un tempo analista di computer forensics non sono i dati , la maggior parte delle persone non crittografare i loro computer . Il più grande ostacolo è la vastità dei dischi rigidi dei computer di oggi e il tempo necessari per analizzare più di tanto la memoria . Inoltre , la maggior parte dei dati utilizzati in tribunale non è il tipo che è evidente con la semplice stampa di un elenco di file su un disco rigido, . Molto più spesso , l'informazione viene nascosto o oscurato in qualche modo
Esempi di tecniche di computer forensic includere :
- Quali utenti sono connessi in.w > /dati /w.txt
corso processes.ps - auwx > /dati /ps.txt < br >
- Porte aperte e in ascolto processes.netstat - anp > /dati /netstat.txt
- Informazioni su tutte le interfacce ( PROMISC ? ) ifconfig-a > /dati /Rete.txt < . br>
- elenco di tutti i file con il tempo di accesso , tempo di cambiamento di inode e modifica time.ls - Alru /> /dati /file - atime.txtls - ALRC /> /dati /file - ctime.txtls - ALR /> /dati /file - mtime.txt
- . storia Bash di root ( e di altri utenti) cat /root /.bash_history > /dati /roothistory.txt
- Ultimo accessi al system.last > /dati /last.txt
- assegno di base di accedere ai registri alla ricerca di accesso a directories.cat tmp /* /access_log