Slik utfører Computer Forensics på en bærbar PC

Slik utfører Computer Forensics på en bærbar PC


Dataetterforskning på bærbare presentere utfordrende problemstillinger av data bevaring, effektivitet og nøyaktighet. Rettsmedisinske etterforskere kan fange opp mye av brukerinformasjon fra disse bærbare enheter fordi ofte målet bruker dem til å drive forretninger raskt og on-the-fly, mens ikke forlater tid å slette spor eller kryptere data. De fleste rettsmedisinske analyser av bærbare datamaskiner er gjort offline (på et system som er drevet ned) i stedet for på en live-system, som brukere har en tendens til å slå av bærbare datamaskiner etter bruk. De fleste av de samme prinsippene for dataetterforskning gjelder laptop etterforskning, med den ekstra utfordringen med å jobbe med mindre og mer portable interne deler.

bruksanvisning

1 Kategorisere målsystemet og flyttbare enheter. Effektiv datamaskin rettsmedisinske analyser er avhengig av riktig journalføring. Nøyaktig beskrive scenen hvor den bærbare datamaskinen ble funnet og tilstanden målet bærbare var i når det ble fjernet fra scenen. Enhver fysisk bevis, for eksempel fingeravtrykk og DNA, må samles fra maskinen før analyse for å sikre rettsmedisinske pålitelighet. I tillegg til skikkelig samle, kategorisere og undersøke bevisene, etablere en kjede av varetekt for alle håndfaste bevis. Dette gir en sporbar sekvens av rettsmedisinske sensorer som er ansvarlig for sikkerheten og renhet målet systemer, for eksempel bærbare datamaskiner.

2 Pakk målet harddisken og flyttbare enheter fra slått av systemet. Fjern stasjonen nøye, slik at ingen deler er skadet av statisk elektrisitet eller fysisk makt. Ta bare ut det nødvendige medier (harddisk, CD-ROM, USB / Flash-stasjoner), bevare så mye av målet system som mulig i sin opprinnelige form. Plasser flyttbare medier på en statisk-fri arbeidsstasjon unna støv eller annen forurensning og koble kabler til vertssystemet og målrette media for data kopiere.

3 Opprett en bit-for-bit kopi av måldata. Ved hjelp av verktøy som dd (data dumper) eller netcat, nøye kopiere data fra verts media til en forensically ren (slettet og nullet) medium for analyse. Kontroller at den unike sjekksum av målet og kopierte data kamp ved å kjøre et verktøy som md5sum eller sha1sum. Når du har bekreftet de unike fingeravtrykk av data kamp nøyaktig, plasserer de opprinnelige mediet i målsystemet og sikker for oppbevaring.

4 Kjør mønstergjenkjennings og andre programvarebaserte rettsgjenkjenningsverktøy på målet kopien. Siden kopi av måldata matcher verts data bit-for-bit, er enhver analyse utført på kopien like effektive som det ville være på den opprinnelige. Kjør mønstergjenkjenning programmer, for eksempel grep eller fil utvinning mekanismer som skalpell for å finne og analysere data av interesse.

Hint

  • Sørg for å få en ransakelsesordre eller tillatelse fra systemansvarlig eller eieren før gjennomføre en rettsmedisinsk undersøkelse på en bærbar datamaskin.