Computer forensics is een bezig met het verzamelen en analyseren van digitaal bewijsmateriaal wetenschap . Dit bewijs kan vele vormen aannemen en de analyse heeft vele toepassingen . Digitaal bewijsmateriaal wordt gevonden binnen de computer zelf , binnen het netwerk en binnen verschillende vormen van opslag apparaten ( bijv. USB-drives , dlash schijven, cd - roms , dvd's ) . De analyse van deze vormen van digitaal bewijsmateriaal wordt gebruikt in rechtszaken - zowel strafrechtelijke als binnenlandse - en binnen bedrijven om het gebruik van hulpbronnen te controleren . Ondanks de verschillende toepassingen van computer forensisch , de werkelijke technieken zijn bijna identiek . Technieken Computer forensics , zoals elke wetenschap , volgt een patroon van analyse . Data wordt objectief verzameld , worden de gegevens geanalyseerd ( maar bewaard ) en een rapport van bevindingen is opgesteld dat de documenten waarop de gegevens werden verzameld , hoe het werd geanalyseerd en details alle bevindingen . De primaire consistente trend in dat soort data - verzameling en analyse is dat de gegevens bewaard blijft . Put wetenschappelijk , kunnen de resultaten worden gedupliceerd . Om te waarborgen dat de gegevens zijn integriteit behoudt , is het cruciaal dat zij verzameld in een nonobtrusive wijze . Er zijn verschillende programma's die er voor, maar veel systemen zal een computer wordt aangesloten en gekopieerd . Dit zal echter niet altijd verwijderde bestanden , register bestanden of de geschiedenis bestanden , die allemaal zijn cruciaal voor computer forensics kopiëren . Toch kan het zijn dat een full- out analyse niet nodig is en een eenvoudig aansluiten - en -copy voldoende zou kunnen zijn . Bij het uitvoeren van computer forensics , of het huren iemand voor die kwestie , is het belangrijk om de doelstellingen te verduidelijken . Misschien is het een bepaalde reeks e-mails of een bestand dat gedownload is , wat het ook is , het gewoon kan niet eisen dat de uren van onderzoek meestal uitgevoerd in computer forensics . In feite is de grootste tijd obstakel voor een computer forensisch analist de gegevens , de meeste mensen nooit versleutelen hun computers. De grootste hindernis is de enorme omvang van de harde schijven van de computers van vandaag en de tijd die betrokken zijn bij het analyseren van die veel geheugen . Verder , de meeste van de gegevens die worden gebruikt in rechtszaken is niet het type dat is duidelijk door eenvoudig afdrukken van een lijst met bestanden op een harde schijf, . Veel vaker , wordt de informatie verborgen of verduisterd op een bepaalde manier Voorbeelden van de computer forensische technieken omvatten : - Welke gebruikers zijn aangemeld in.w > /data /w.txt Hardlopen processes.ps - auwx > /data /ps.txt < br > - Poorten openen en luisteren processes.netstat - anp > /data /Netstat.txt - Informatie over alle interfaces ( PROMISC ? ) ifconfig - a > /data /Netwerk.txt < . br > - Notering van alle bestanden met toegangstijd , inode verandering tijd en modificatie time.ls - alRu /> /data /files - atime.txtls - alRc /> /data /files - ctime.txtls - alR /> /data /bestanden - mtime.txt - . Bash geschiedenis van de wortel ( en andere gebruikers ) cat /root /.bash_history > /data /roothistory.txt - Last logins aan de system.last > /data /last.txt - Basis controle van de toegang logs op zoek naar toegang tot tmp directories.cat /* /access_log | grep " % 20/tmp " > /data /access.txt cat /* /access_log | grep " % 20/var/tmp " > /data /access.txt - Notering van bestanden geopend door processes.lsof - i> /data /lsof . txt - Run " rasusers " voor alle gebruikers die verbonden zijn door middel van RAS verkrijgen - . Run " net start " voor een overzicht van alle lopende diensten te verkrijgen - . Recover verwijderde bestanden : een bestand is nooit echt verwijderd , het wordt gewoon hernoemd en ergens anders opgeslagen . Bijvoorbeeld , in Windows , is het eerste teken van de bestandsnaam is gewijzigd in hex 0xE5 . Om het bestand te herstellen , het moet gewoon worden omgedoopt De computer forensics analist roept zijn kennis van besturingssystemen , verschillende technologieën - . Verleden , huidige en nieuwe - de soorten informatie die kan worden gevonden en de technieken die het mogelijk maken de gegevens te extraheren zonder te manipuleren of smet werpen op deze op enigerlei wijze .
|