Computer-Forensik Arbeit beinhaltet die Erfassung und Analyse digitaler Informationen , die als Beweismittel verwendet werden. Computer-Forensik ist anders Datenrettung in diesem Datenrettung ist nur erholen beschädigte oder gelöschte Dateien . Computer-Forensik umfasst nach Verfahren, die die Daten in einem System gefunden zu überprüfen, um als Beweismittel verwendet werden können. Preservation Phase
Preserve die Beweise am Tatort . Ob der forensischen Prüfung bei der Szene ist, oder Sie werden auf einem System, an das Labor geschickt worden Arbeit , dokumentieren den Zustand des Systems. Fotografieren Sie den Bildschirm des Computers , wenn es Erholung der Beweis ist in der Szene , und das System läuft. Dokumentieren Sie das System mit Fotografien, darunter die Marke, Modell und Zustand des Systems. Verwenden Sie schreiben Blocker, eine Vorrichtung zur Erfassung von Informationen auf den Laufwerken , ohne die Daten und Bild das System mit Disk-Image für eine spätere Analyse . Imaging benötigt das System mit spezieller Software , um eine exakte Kopie des Systems zu machen. Erstellen Sie eine Hash-Datei des Systems auch . Eine Hash- Datei wird verwendet, um zu zeigen, dass der Computer nicht verändert wurde.
Analysieren Evidence
Führen Sie eine Suche auf das gesamte System . Eine Stichwortsuche ausführen können , während andere Aufgaben auf dem System ausgeführt werden kann . Wenn Sie eine Live- Analyse sind , überprüfen Sie die Systeme CMOS oder komplementäre Metalloxid-Halbleiter , Einstellungen , um sicherzustellen, dass das System so eingestellt ist, von einer Diskette oder einer forensischen Boot-Diskette booten. Beachten Sie , welches Gerät das System eingestellt ist, dass zum ersten booten. Beachten Sie auch, die Zeit auf der Systemuhr. Wenn die Systemuhr ist anders als die tatsächliche Zeit , vermerken Sie dies in dem Bericht .
Untersuchen Sie die Dateistruktur und Ordner , und beachten Sie , welche Plattform das System läuft weiter, wie Linux oder Windows . Suchen und kopieren Sie alle Protokolldateien. Log -Dateien aufzeichnen Handlungen von Anwendern und aller Websites, die besucht wurden gemacht. Suchen und extrahieren temporäre Druck-Spool -Dateien. Diese Dateien haben Informationen über Dokumente, die an den Drucker gesendet wurden .
Kopieren oder verschlüsselt Dateien archiviert . Alles, was mit einem . Zip zum Beispiel sollte entpackt und betrachtet werden. Verschlüsselte Dateien benötigen Sie einen Verschlüsselungs-Tool zu sehen. Führen Sie eine Prüfung auf Internet-Dateien , Papierkorb -Dateien und Registry-Dateien. Die Registrierung enthält Informationen über eine Systemkonfiguration . Es ist wichtig zu beachten, dass eine Person kann die Registrierung mit regedit.exe ändern. Beenden Sie die Analyse mit einem anderen Hash-Datei und stellen Sie sicher , dass die Hash-Summe aus dem Beginn der Analyse und der Fertigstellung der Analyse Spiel .
Komplette Case Report
schreiben Sie einen Bericht über die Erkenntnisse aus der System-Check auf einer genehmigten Bericht . Kopieren Sie alle Dateien Erkenntnisse in Datei und kopieren Sie eine CD oder ein Unterverzeichnis für den Fall . Beachten Sie die Hash-Werte in Ihrer Merkliste. Liste Beweiskraft Dateien in dem Fall. Immer wieder lesen den Bericht vor dem Absenden .
