Computer-Forensik ist eine Wissenschaft, mit der Erhebung und Analyse von digitalen Beweismitteln betrifft. Dieser Nachweis kann viele Formen annehmen und deren Analyse hat viele Verwendungen . Digitale Beweise im Rechner selbst vor , innerhalb des Netzes und in verschiedenen Arten von Speichermedien (zB DVDs USB-Sticks, dlash -Laufwerke, CD -ROMs ,). Die Analyse dieser Art von digitaler Beweismittel in Gerichtsverfahren verwendet - sowohl straf-und Inland - und innerhalb von Unternehmen zu nutzen, Ressourcen zu überwachen . Trotz der vielfältigen Anwendungen der Computer-Forensik , sind die eigentlichen Techniken beschäftigt nahezu identisch. Techniques
Computer-Forensik , wie jede Wissenschaft, folgt einem Muster der Analyse. Daten objektiv gesammelt werden, werden die Daten analysiert (aber konserviert) und ein Bericht über die Feststellungen ist darauf vorbereitet, dass Dokumente wie die Daten gesammelt wurden , wie es wurde analysiert und Details über alle Beanstandungen . Der primäre einheitlichen Trend in dieser Art von Datensammlung und- Analyse ist, dass die Daten gewahrt wird. Setzen wissenschaftlich , die Ergebnisse können dupliziert werden.
Um sicherzustellen, dass die Daten ihre Integrität bewahrt , ist es entscheidend, dass es in einer Art und Weise nonobtrusive gesammelt werden. Es gibt verschiedene Programme, die dafür vorhanden , aber viele Systeme erlauben von einem anderen Computer zu verbinden und Dateien kopiert. Dies wird jedoch nicht immer kopieren gelöschte Dateien , Registry-Dateien oder History-Dateien , die alle entscheidend für Computer-Forensik sind . Es kann jedoch sein, dass ein voll-out -Analyse nicht erforderlich ist und eine einfache Verbindung -and- Kopie ausreichend sein könnte .
Bei der Durchführung von Computer-Forensik oder mieten jemand für diese Angelegenheit, ist es wichtig, Ziele zu klären . Vielleicht ist es eine bestimmte Reihe von E-Mails oder eine Datei, die heruntergeladen wurde , was auch immer es ist, es einfach kann nicht verlangen, die Stunden der Forschung in der Regel in Computer-Forensik durchgeführt . In der Tat ist das größte Hindernis für eine Zeit Computer-Forensik -Analyst nicht die Daten , die meisten Menschen nie verschlüsseln ihren Computern. Die größte Hürde ist die schiere Größe der Festplatten von Computern heute und Zeit bei der Analyse so viel Speicher beteiligt. Ferner ist die meisten Daten in Gerichtsverfahren verwendet werden, nicht der Typ, der offensichtlich ist , indem Sie einfach das Drucken einer Liste von Dateien auf einer Festplatte ; . Weitaus häufiger wird die Information verborgen oder in irgendeiner Weise verdeckt
Beispiele von Computer- forensische Techniken gehören:
- welche Benutzer angemeldet sind IN.W bzw. > /data /w.txt
Laufen processes.ps - auwx > /data /ps.txt
- Ports offen und hören processes.netstat -ANP > /data /netstat.txt
- Informationen über alle Schnittstellen ( PROMISC ? ) ifconfig - a> /data /Network.txt < . br>
- Auflistung aller Dateien mit Zugriffszeit, inode Wandel Zeit und Modifikation time.ls - AlRu /> /data /files- atime.txtls - ALRC /> /data /files- ctime.txtls - alR /> /data /files- mtime.txt
- . Bash Geschichte root ( und andere Nutzer ) cat /root /.bash_history > /data /roothistory.txt
- Last Anmeldungen zum system.last > /data /last.txt
- Grundlegende Überprüfung der Zugangsberechtigung meldet der Suche nach Zugang zu directories.cat tmp /* /access_log
