Computer Forensics prosedyrer og metoder

April 30

Dataetterforskning innebærer å trekke ut og analysere digitale data. De innsamlede bevis er hyppig brukt i rettssaker, både kriminelle og innenlands, samt innenfor driften av et selskap for å sikre at ressursene blir brukt i akseptable moter. Til tross for det faktum at dataanalyse har så mange forskjellige bruksområder, prosedyrer og metoder som brukes i dataanalyse er i hovedsak like, om ikke identiske.

Gathering data

I dataetterforskning, analytikeren samler nesten alltid data ved å lage et digitalt bilde av målet harddisken. Dette gjør at informasjon som kan leses uten å risikere integriteten til selve dataene. Dette er viktig fordi hvis data er tilgjengelig på feil måte, kan det bli utillatelig. En vanlig feil gjort av uerfarne dataetterforskning analytikere har tilgang til data direkte; dermed endrer tidsstempel, og dermed kompromiss bevis for tilgang.

Noen programmer som brukes i dataetterforskning allerede finnes på datamaskinen. Mange datamaskiner kjøre en rekke forskjellige back-up programmer som standard. Akkurat som disse programmene gjør det mulig å hente en fil ved et uhell slettet, kan de også hente filer som er blitt slettet med vilje. Andre programmer er tilgjengelig på nettet, for eksempel Whois, et program som identifiserer eieren av en gitt IP-adresse. En IP-adresse er beslektet til datamaskinens telefonnummer. Selv om de fleste IP-er dynamisk, noe som betyr at de endrer seg, kan de fortsatt bli anvendt for å oppnå visse typer informasjon, slik som selskapet IP er registrert til.

Typer av bevis

Det finnes to typer bevis så etter i dataetterforskning: vedvarende data, noe som betyr data som forblir intakt når datamaskinen er slått av, og flyktige data, som er data som ville gå tapt hvis maskinen er slått av. De fleste data vil være vedvarende i naturen; kilder inkluderer harddisker, disker og flyttbare lagringsenheter (for eksempel USB-stasjoner eller flash-stasjoner). Volatile data er sett etter i slettede filer, datamaskin historie, datamaskinens register, midlertidige filer og nettleserhistorikk.

betraktninger

En viktig faktor i dataetterforskning er eierskap. For eksempel, hvordan kan det bevises at eieren av datamaskinen sendte en viss e-post og ikke en annen person? Selv i arbeidsmiljøer med private kontorer, er det fullt mulig at noen fått et annet passord og / eller brukt andres datamaskin til å gjøre noe han ikke burde ha. Også har sikkerhet overvåking mange juridiske implikasjoner. De fleste regjeringer har lover som beskytter privatlivet og hvilke typer informasjon som kan overvåkes; eksempler inkluderer avlytting Act (18 USC 2510-22); Pen Registre og Trap og Trace enheter vedtekter (18 USC 3121-27); og lagret Wired og elektronisk kommunikasjon Act (18 USC 2701-120).