Computer-Forensik ist ein Feld, in dem Beweise gesammelt, um die Quelle für ein Verbrechen oder einen Angriff zu bestimmen. Die Daten werden gesammelt , untersucht und analysiert mithilfe von Tools , die einen direkten Zugriff auf die Informationen auf einem Datenträger . Vertrautheit mit diesen Werkzeugen ist nützlich, um regelmäßige Nutzer , wie sie ein tieferes Verständnis für Computer-Sicherheit bietet . Forensic Tools sind öffentlich verfügbar , zu wissen, was man von Ihren Laufwerken wiederhergestellt werden können Sie überdenken Ihre Sicherheitsverfahren . Hex-Editoren
Hex-Editoren sind Programme , die Ihnen die Möglichkeit zum Anzeigen oder Bearbeiten von Daten in seiner rohen Form . Anstatt den Zugriff auf Daten über Dateien , sind Sie in der Lage, einzelne Bytes ändern. Viele Hex-Editoren zeigen sowohl Binär-und ASCII- Interpretationen der Daten zusätzlich zu den regulären hexadezimal oder Basis 16 , Ansicht . Daten von Festplatten , USB-Sticks , Speicherkarten, RAM und andere Quellen können mit einem Hex-Editor genutzt werden. Wenn ein Benutzer löscht eine Datei von einem Gerät , ist das Betriebssystem nicht entfernen Sie die tatsächlichen Daten. Stattdessen wird die Datei versteckt und der Link von der Datei in der Datenbank entfernt . Die Verwendung von einem Hex-Editor bietet Forensik-Experten mit der Möglichkeit der Wiederherstellung gelöschter Daten .
Exif Viewer
Digitalkameras fotografieren , schreiben sie Informationen über das Bild, um den Metadaten der Datei . Diese Metadaten werden als Exif-Daten . Zumindest werden die Uhrzeit und das Datum des Bildes gespeichert. Oft werden der Kamera Marke, Modell und Einstellungen ebenfalls gespeichert. Mehr fortschrittlichen Kameras , wie Handy-Kameras , kann auch aufzeichnen, die GPS- Standort, an dem das Foto gemacht wurde . Dienstprogramme existieren, können Sie die Exif-Daten eines Bildes zu sehen. Durch die Nutzung dieser Informationen , können Forensik-Experten zusammensetzen Beweise im Zusammenhang mit einem belastenden Foto.
Disk Imaging Software
Disk-Image ist eine Datei, die eine enthält exakte Kopie von einem Speichergerät . Disk-Images werden häufig zum Klonen Computern und zur Sicherung von Daten verwendet . In Computer-Forensik , führen Experten Untersuchungen an Disk-Images , um eine versehentliche Kontamination der ursprünglichen Daten zu verhindern. Ein weiterer Vorteil ist, dass Kopien der Festplatten-Image gemacht werden können , so dass mehrere Personen , um die Daten auf einmal zu analysieren.
Passwort Lookup Tables
Obwohl Passwörter in der Regel nicht zu verhindern wissen Analyse der Rohdaten auf einem Laufwerk können Daten verschlüsselt werden. In diesen Fällen kann das Abrufen eines Passwortes erforderlich sein, geeignete Datenanalyse. Passwörter werden manchmal als Hashes in einer Datei oder Datenbank gespeichert. Wenn ein Forensik-Experte hat Zugang zu einer Hash-Passwort , kann er versuchen, eine Lookup-Tabelle verwenden, um es zu entschlüsseln. Eine Lookup-Tabelle enthält eine Sequenz von Zeichenfolgen und ihre Hash- Werte . Nicht alle Passwörter werden anfällig für diese Methode des Angriffs . In diesem Fall können Methoden wie Brute zwingen erforderlich sein.
Packet Sniffer
Manchmal sind die Daten , die analysiert werden muss, ausgestrahlt wird über ein Netzwerk. In diesem Fall kann Passwortschnüfflern verwendet werden. Diese sind besonders nützlich, über WiFi und öffentliche Netze. Sehr häufig werden die Benutzer Datenübertragung vollständig verschlüsselt , so dass sie erfasst und analysiert werden. Instant Messaging-Konversationen angezeigt werden , wie sie geschehen werden , können Website- Zugriff protokolliert, und E-Mails abgefangen werden können . All diese Informationen in Summe genommen kann zum Vorteil der Forensiker verwendet werden.
