Computer Forensics travail consiste à capturer et analyser l'information numérique qui sera utilisée comme preuve . L'informatique judiciaire est différente de récupération de données dans cette récupération de données est juste de récupérer des fichiers endommagés ou supprimés . L'informatique judiciaire consiste à suivre les procédures qui permettent les données trouvées au cours d'une vérification du système pour être utilisé comme preuve . Préservation Phase préserver les preuves sur les lieux. Si le contrôle judiciaire est sur les lieux ou vous travaillez sur un système qui a été envoyé au laboratoire , documenter l'état du système. Photographier l'écran de l'ordinateur s'il ya reprise de la preuve est sur les lieux et que le système fonctionne . Documenter le système avec des photographies , y compris la marque, le modèle et l'état du système. Utilisez écrire bloquants, un dispositif d'acquisition d'informations sur les lecteurs sans endommager les données , et l'image du système, l'image du disque à l'aide d'une analyse ultérieure . Imagerie du système nécessite l'utilisation de logiciels spécialisés pour faire une copie exacte du système. Créer un fichier de hachage du système aussi . Un fichier de hachage est utilisée pour montrer que l'ordinateur n'a pas été modifié . Analyser les preuves Effectuez une recherche par mot clé sur l'ensemble du système . Une recherche par mot clé peut être exécuté tandis que d'autres tâches sont effectuées sur le système. Si vous exécutez une analyse en direct, vérifier les systèmes CMOS, ou Complementary Metal - Oxide Semiconductor , paramètres afin de s'assurer que le système est configuré pour démarrer à partir d'un disque ou d'un disque de démarrage légale. Notez ce dispositif, le système est configuré pour démarrer à la première . En outre, notez l'heure sur l' horloge système. Si l'horloge du système est différente de l'heure réelle , notez-le dans le rapport. Examiner la structure et les dossiers fichier et notez quelle plate-forme le système fonctionne sur , comme Linux ou Windows. Localisez et copiez tous les fichiers journaux . Les fichiers journaux enregistrer les actions prises par les utilisateurs et tous les sites qui ont été visités . Localiser et extraire les fichiers spool d'impression temporaires. Ces fichiers ont des informations sur les documents qui ont été envoyés à l'imprimante. Copie chiffrée ou fichiers archivés . Quelque chose avec un . Zip par exemple doit être décompressé et affiché. Les fichiers cryptés auront besoin d'un outil de cryptage pour la voir . Effectuer un examen portant sur les fichiers Internet , des fichiers de corbeille, les fichiers de registre . Le registre contient des informations sur la configuration des systèmes. Il est important de noter qu'une personne peut modifier le Registre à l'aide de regedit.exe . Compléter l'analyse avec un autre fichier de hachage et de s'assurer que la somme de hachage dès le début de l'analyse et de l'achèvement de match de l'analyse. Étude de cas complète écrire un rapport sur les conclusions de la vérification du système sur un rapport approuvé . Copiez tous les fichiers de résultats dans un fichier de preuve et copie sur un disque compact ou sous-répertoire de l'affaire. Notez les valeurs de hachage dans vos notes. Liste des fichiers de preuve dans l'affaire. Toujours relire votre rapport avant de le soumettre .
|