Computer forensics è un campo in cui le prove sono raccolte per determinare l'origine di un crimine o di attacco . I dati vengono raccolti , esaminati e analizzati utilizzando strumenti che forniscono accesso diretto alle informazioni su un disco . La familiarità con questi strumenti è utile per gli utenti normali , in quanto fornisce una comprensione più profonda della sicurezza informatica . Strumenti legali sono disponibili al pubblico , sapendo ciò che può essere recuperato dalle unità può farà ripensare le procedure di sicurezza . Hex editors
editor esadecimali sono programmi che ti danno la possibilità di visualizzare o modificare i dati nella sua forma grezza . Piuttosto che l'accesso ai dati attraverso i file , si è in grado di modificare i singoli byte . Molti editor esadecimali visualizzare binari e interpretazioni ASCII dei dati in aggiunta al normale esadecimale , o base 16 , vista . I dati da hard disk, chiavette USB , schede di memoria , RAM e da altre fonti sono accessibili con un editor esadecimale . Quando un utente elimina un file da un dispositivo , il sistema operativo non rimuove i dati effettivi . Invece , il file è nascosto e il collegamento dal file di dati viene rimosso. L'uso di un editor esadecimale fornisce esperti forensi con la possibilità di recuperare informazioni cancellate .
Exif spettatori
Quando fotocamere digitali scattare foto , scrivono informazioni sulla foto per metadati del file . Questi metadati è chiamata dati Exif . Come minimo , l'ora e la data del quadro sono memorizzati . Spesso , marca della fotocamera , il modello e le impostazioni vengono salvate . Fotocamere più avanzate , come ad esempio telecamere telefono cellulare , possono anche registrare la posizione GPS in cui la foto è stata scattata . Esistono utility che consentono di visualizzare i dati Exif di un'immagine. Utilizzando queste informazioni , gli esperti forensi possono ricostruire le prove relative a una fotografia compromettente .
Disk Imaging Software
Un'immagine disco è un file che contiene un copia esatta di un dispositivo di memorizzazione . Le immagini disco sono spesso utilizzati per i computer di clonazione e per il backup di dati . Nel computer forensics , esperti di condurre indagini sulle immagini del disco per evitare la contaminazione accidentale dei dati originali . Un altro vantaggio è che le copie del disco immagine può essere fatto , consentendo a più persone di analizzare i dati in una sola volta .
Password tabelle di ricerca
Anche se le password di solito non impediscono analisi dei dati grezzi su un'unità, i dati possono essere criptate . In questi casi , il recupero di una password può essere necessaria per una corretta analisi dei dati. Le password vengono memorizzate come a volte gli hash in un file o database . Se un esperto di medicina legale ha accesso a una password con hash , si può provare a utilizzare una tabella di ricerca per decodificarlo . Una tabella di ricerca contiene una sequenza di stringhe e dei loro valori hash. Non tutte le password saranno vulnerabili a questo metodo di attacco. In questo caso , possono essere richiesti metodi come brute forcing .
Packet Sniffer
volte i dati che devono essere analizzati viene trasmesso su una rete. In questo caso , possono essere utilizzati sniffer di password . Questi sono particolarmente utili su reti WiFi e pubblico . Dati molto di frequente, gli utenti stanno trasmettendo completamente in chiaro , permettendo così di essere catturato e analizzato . Conversazioni di messaggistica istantanea possono essere viste come accadono , l'accesso al sito web può essere registrato , e messaggi di posta elettronica possono essere intercettati . Tutte queste informazioni prese in somma può essere utilizzata a vantaggio del ricercatore forense .