Behoud de aanwijzingen op de scène. Of de forensische controle is bij de scène of u werkt op een systeem dat is verzonden naar het lab , het document van de toestand van het systeem . Fotografeer het scherm van de computer als er herstel van bewijsmateriaal op de plaats en het systeem actief is . Documenteren van het systeem met foto's , met inbegrip van het merk, model en de conditie van het systeem . Gebruik schrijven blokkers , een apparaat voor het verkrijgen van informatie over de schijven zonder beschadiging van de gegevens , en het imago van het systeem , disk image met behulp van voor latere analyse . Imaging vereist het systeem met behulp van gespecialiseerde software om een exacte kopie van het systeem te maken . Maak een hash -bestand van het systeem ook . Een hash -bestand wordt gebruikt om aan te tonen dat de computer niet is gewijzigd .
Analyze Evidence

Voer een trefwoord zoeken op het hele systeem . Een trefwoord kan worden uitgevoerd , terwijl andere taken worden uitgevoerd op het systeem . Als u werkt met een live- analyse de goede systemen CMOS , of Complementary Metal - Oxide Semiconductor , de instellingen om ervoor te zorgen dat het systeem is ingesteld om te booten vanaf een diskette of een forensische bootdisk . Merk op welk apparaat het systeem is ingesteld om op te starten naar de eerste . Ook, let op de tijd op de systeemklok . Als de systeemklok is anders dan de werkelijke tijd , noteer deze in het verslag .

Onderzoek de bestandsstructuur en mappen , en let op welk platform het systeem op , zoals Linux of Windows . Lokaliseren en kopieer alle logbestanden . Log bestanden opnemen acties genomen door gebruikers en alle websites die werden bezocht . Bepalen en te halen tijdelijke spoolbestanden . Deze bestanden hebben informatie over de documenten die naar de printer gestuurd .

Kopieer
gecodeerd of gearchiveerde bestanden . Alles met een . Zip bijvoorbeeld moeten worden uitgepakt en bekeken . Gecodeerde bestanden zal een encryptie tool om te bekijken nodig . Verricht onderzoek op internet bestanden , prullenbak bestanden en registry -bestanden . Het register bevat informatie over een configuratie -systemen. Het is belangrijk op te merken dat een persoon het register kunt wijzigen met regedit.exe . Voltooi de analyse met een andere hash -bestand en ervoor zorgen dat de hash som van het begin van de analyse en de voltooiing van de analyse wedstrijd .
Compleet Verslag Geval

Schrijf een verslag van de bevindingen uit het systeem controle op een goedgekeurde verslag . Kopieer alle bevindingen bestanden naar een evidence -bestand en kopieer naar een compact disc of een subdirectory voor de zaak . Let op de hash-waarden in uw notities . Lijst bewijskracht bestanden in de zaak. Altijd herlezen uw rapport vóór de indiening .