Computer Forensics arbete innebär att fånga och analysera digital information som kommer att användas som bevis . Computer Forensics är annorlunda dataåterställning i att data återhämtning bara Återställa skadade eller raderade filer . Computer Forensics innebär att man följer rutiner som gör att de uppgifter som finns under ett system kontrollerar att användas som bevis . Preservation Fas
Bevara spår på olycksplatsen . Huruvida den rättsmedicinska kontrollen är på plats eller om du arbetar på ett system som har skickats till labbet , dokumentera tillståndet i systemet . Fotografera skärmen på datorn om det finns återvinning av bevis är på plats och systemet är igång . Dokumentera systemet med fotografier , inklusive märke, modell och skick av systemet . Använd skriva blockerare , en anordning för att skaffa information på enheterna utan att skada data och bild i systemet , med hjälp skivavbild för senare analys . Imaging kräver systemet använder specialiserad programvara för att göra en exakt kopia av systemet . Skapa en hash fil av systemet också . En hash -fil används för att visa att datorn inte har ändrats . Analysera Bevis
Gör en nyckelordssökning på hela systemet
. Ett sökord kan köras medan andra uppgifter utförs på systemet . Om du kör en live-analys , kontrollera systemen CMOS , eller kompletterande Metal Oxide Semiconductor , inställningar för att se till att systemet är satt att starta från en skiva eller en rättsmedicinsk startdiskett . Notera vilken enhet systemet är inställt att starta först . Dessutom , notera tiden på systemklockan . Om systemklockan är annorlunda än den faktiska tid , notera detta i rapporten .
Undersök filstruktur och mappar , och notera vilken plattform det körs på , till exempel Linux eller Windows . Leta upp och kopiera alla loggfiler . Loggfiler rekord åtgärder som vidtas av användare och alla de webbplatser som besöktes . Lokalisera och extrahera tillfälliga ut spool -filer . Dessa filer har information om dokument som skickas till skrivaren .
Kopiera krypteras eller arkiverade filer . Allt med en . Zip exempelvis ska packas upp och visas . Krypterade filer behöver en kryptering verktyg för att visa . Utför en undersökning på Internet-filer , återvinna filer bin , och register filer . Registret innehåller information om ett system konfiguration . Det är viktigt att notera att en person kan ändra i registret med hjälp av regedit.exe . Slutföra analysen med en annan hash -fil och se till att den hash summa från början av analysen och slutförandet av analysen match .
Komplett Fallrapport
Skriv en rapport om resultaten från systemets kontroll på en godkänd rapport . Kopiera alla fynd filer till ett bevis fil och kopiera till en CD-skiva eller underkatalog för ärendet . Notera hashvärdena i dina anteckningar . Lista beviskrav filer i fallet. Alltid åter läsa din rapport innan du skickar .