Computação forense é uma ciência preocupada com a coleta e análise de evidências digitais . Esta prova pode assumir muitas formas, e a sua análise tem muitos usos . Evidência Digital é encontrada dentro do próprio computador, dentro da rede e dentro de vários tipos de dispositivos de armazenamento ( por exemplo, drives USB , discos dlash , CD-ROMs , DVDs ) . A análise destes tipos de prova digital é utilizada em processos judiciais - tanto criminoso e doméstico - e dentro das empresas para monitorar o uso de recursos. Apesar das várias aplicações forense , as técnicas actuais utilizados são quase idênticas . Técnicas

Computação forense , como qualquer ciência, segue um padrão de análise. Os dados são recolhidos de forma objectiva, os dados são analisados ​​(mas preservado) e um relatório dos resultados é preparado que documenta como os dados foram recolhidos , como ele foi analisado e detalhes todos os achados. A tendência consistente primário nesse tipo de coleta e análise de dados é que os dados são preservados. Coloque cientificamente , os resultados podem ser duplicados .

A fim de assegurar que os dados retém a sua integridade , é importante que seja obtida de forma nonobtrusive . Há diversos programas que existem para este , mas muitos sistemas permitirem um outro computador para ser ligado a ela e arquivos copiados . Este não será, no entanto , sempre copiar arquivos apagados , arquivos de registro ou arquivos de história , todos os quais são cruciais para computação forense. No entanto, pode ser que uma análise completa -out não é necessário e uma cópia de conexão - e - simples pode ser suficiente .

Ao realizar computação forense , ou contratar alguém para que o assunto , é importante esclarecer os objetivos . Talvez seja uma certa série de e-mails ou um arquivo que foi baixado , o que quer que seja, simplesmente não pode exigir as horas de pesquisa normalmente realizados em computação forense. Na verdade, o maior obstáculo tempo para um analista de computação forense não é o de dados , a maioria das pessoas nunca criptografar seus computadores. O maior obstáculo é o tamanho dos discos rígidos dos computadores de hoje e tempo envolvidos na análise de que a quantidade de memória . Além disso, a maior parte dos dados utilizados em processos judiciais não é o tipo que é óbvio , basta imprimir uma lista de arquivos em um disco rígido, muito mais freqüentemente , as informações são escondidas ou obscurecidas , de alguma forma

Exemplos. de computador técnicas forenses incluem:

- Qual usuários estão conectados in.w > /data /w.txt

Correndo processes.ps - auwx > /data /ps.txt < br >

- Portas abertas e escutando processes.netstat - anp > /data /netstat.txt

- . Informações sobre todas as interfaces ( ? ) promisc ifconfig- a> /data /Network.txt

- lista de todos os arquivos com o tempo de acesso , o tempo de modificação do inode e modificação time.ls - alRu /> /data /arquivos - atime.txtls - ALRC /> /data /arquivos - ctime.txtls - alR /> /data /files- mtime.txt

- . história Bash de raiz (e outros usuários ) cat /root /.bash_history > /data /roothistory.txt

- Última logins ao system.last > /dados /last.txt

- verificação básica de logs de acesso em busca de acesso a tmp directories.cat /* /access_log