Computação forense trabalho envolve a captura e análise de informação digital que será usado como prova. Computação forense é diferente de recuperação de dados em que a recuperação de dados é apenas recuperar arquivos danificados ou apagados. Computação forense envolve procedimentos seguintes que permite que os dados encontrados durante uma verificação do sistema para ser usado como prova. Fase Preservação
preservar as provas na cena do crime . Se a verificação de forense é na cena ou você está trabalhando em um sistema que tenha sido enviada para o laboratório , documentar a condição do sistema . Fotografar a tela do computador , se houver recuperação da evidência é no local e o sistema está funcionando . Documentar o sistema com fotografias, incluindo a marca, modelo e do estado do sistema . Use bloqueadores de gravação , um dispositivo para a aquisição de informações sobre as unidades sem danificar os dados e imagem do sistema, usando imagem de disco para posterior análise. Imagens do sistema requer o uso de software especializado para fazer uma cópia exata do sistema. Crie um arquivo de hash do sistema também . Um arquivo de hash é usado para mostrar que o computador não foi alterada.
Analisar Evidências
Realize uma pesquisa de palavras-chave em todo o sistema. Uma pesquisa de palavras-chave pode ser executado enquanto outras tarefas estão sendo executadas no sistema. Se você estiver executando uma análise ao vivo, verificar os sistemas ou CMOS complementar semicondutor de óxido metálico , as configurações para garantir que o sistema está configurado para inicializar a partir de um disco ou um disco de boot forense. Observe qual dispositivo o sistema está configurado para arrancar a primeira . Além disso, observe o tempo no relógio do sistema. Se o relógio do sistema é diferente do que o tempo real , anote isso no relatório .
Examine a estrutura de arquivos e pastas , e observe o que plataforma o sistema está sendo executado, como o Linux ou Windows. Localize e copie todos os arquivos de log. Entrar arquivos ações recordes tomadas por usuários e todos os sites que foram visitados. Localize e extrair arquivos de spool de impressão temporários. Esses arquivos têm informações sobre os documentos que foram enviadas para a impressora.
Cópia criptografada ou arquivos arquivados. Qualquer coisa com a. Zip , por exemplo, deve ser descompactado e visualizado. Os arquivos criptografados vai precisar de uma ferramenta de criptografia para ver . Realizar um exame em arquivos de Internet , arquivos da lixeira , e arquivos de registro. O registro contém informações sobre a configuração de sistemas. É importante notar que uma pessoa pode mudar o registro usando regedit.exe. Complete a análise com outro arquivo de hash e assegurar que a soma de hash a partir do início da análise e da conclusão da partida análise.
Caso Relatório Completo
escrever um relatório dos resultados da verificação do sistema em um relatório aprovado. Copie todos os arquivos achados em um arquivo de provas e copiar para um disco compacto ou subdiretório para o caso. Observe os valores de hash em suas notas. Lista arquivos de prova no caso. Sempre re - ler o seu relatório antes de enviar.
