Computação forense é um campo em que a evidência é coletada para determinar a origem de um crime ou ataque. Os dados são coletados , examinados e analisados ​​por meio de ferramentas que permitem o acesso directo à informação em um disco . A familiaridade com essas ferramentas é útil para os usuários regulares , uma vez que proporciona uma compreensão mais profunda de segurança do computador. Ferramentas forenses estão disponíveis ao público , sabendo que pode ser recuperado a partir de seus discos podem fazer você repensar seus procedimentos de segurança . Editores Hex

editores Hex são programas que lhe dão a capacidade de ver ou editar dados em sua forma bruta . Ao invés de acessar dados através de arquivos , você é capaz de modificar bytes individuais. Muitos editores hexadecimais exibir ambas as interpretações binários e ASCII dos dados , além do hexadecimal regular, ou base 16 , vista . Os dados de discos rígidos, pen drives , cartões de memória RAM e outras fontes podem ser acessados ​​com um editor hexadecimal . Quando um usuário exclui um arquivo de um dispositivo , o sistema operacional não remove os dados reais. Em vez disso, o arquivo está oculto e no link do arquivo para os dados são removidos . O uso de um editor hex fornece especialistas forenses com a possibilidade de recuperar informações apagadas.

Exif espectadores

Quando as câmeras digitais tirar fotos, eles escrevem informações sobre a imagem para metadados do arquivo . Esses metadados são chamados de dados EXIF . No mínimo , a hora ea data da imagem são armazenados. Muitas vezes, marca, modelo e as configurações da câmera também são salvos. Câmeras mais avançadas, tais como câmeras de telefones celulares , também podem registrar a localização GPS em que a foto foi tirada. Existem utilitários que permitem que você visualize os dados EXIF de uma imagem. Ao utilizar essas informações , os peritos forenses podem juntar evidências relacionadas a uma fotografia incriminador .
Disk Imaging Software

Uma imagem de disco é um arquivo que contém uma cópia exata de um dispositivo de armazenamento. As imagens de disco são freqüentemente usados ​​para a clonagem de computadores e para backup de dados . Em computação forense , os especialistas conduzir investigações sobre imagens de disco para evitar a contaminação acidental dos dados originais. Outra vantagem é que as cópias da imagem de disco pode ser feito , permitindo que várias pessoas para analisar os dados de uma só vez .

Senha Lookup Tables

Embora as senhas não costumam prevenir análise dos dados brutos em uma unidade , os dados podem ser criptografados. Nestes casos , a recuperação de uma palavra-passe pode ser necessária para a análise de dados adequada . As senhas são por vezes armazenados como hashes em um arquivo ou banco de dados. Se um perito forense tem acesso a um hash de senha , ele pode tentar usar uma tabela de pesquisa para decodificá-la . A tabela de pesquisa contém uma seqüência de cordas e seus valores hash. Nem todas as senhas serão vulneráveis ​​a este método de ataque. Neste caso, podem ser necessários métodos, como a força bruta .
Packet sniffers

Às vezes os dados que precisam ser analisados ​​está sendo transmitida através de uma rede . Neste caso , podem ser utilizados sniffers senha. Estes são particularmente úteis sobre Wi-Fi e redes públicas. Muito frequentemente , os usuários estão transmitindo dados completamente sem criptografia , permitindo que ele seja capturado e analisado. Conversas de mensagens instantâneas pode ser visto como eles acontecem , acesso ao site pode ser registrado, e -mails podem ser interceptadas. Toda esta informação tirada em soma pode ser usado para a vantagem de o investigador forense.