Computer Forensics är en vetenskap sysslar med insamling och analys av digitala bevis . Detta bevis kan ta många former och sin analys har många användningsområden . Digital bevis finns inom själva datorn , inom nätverket och inom olika typer av lagringsenheter ( t.ex. USB-enheter, dlash hårddiskar, CD - ROM, DVD ) . Analysen av dessa typer av digitala bevis används i rättsfall - både kriminella och inrikes - och inom företagen för att övervaka användningen av resurser . Trots de olika tillämpningarna av datorrelaterade rättsliga aspekter , de faktiska tekniker som används är nästan identiska . Tekniker
Computer Forensics , som någon vetenskap , följer ett mönster av analys . Data samlas objektivt , är data analyseras ( men konserverade ) och en rapport om resultaten är beredd att handlingar hur data har samlats in , hur det analyseras och beskrivs alla fynd . Den primära genomgående tendens i denna typ av datainsamling och analys är att uppgifter bevaras . Sätt vetenskapligt , kan resultaten dupliceras .
För att säkerställa att uppgifterna bibehåller sin integritet , är det viktigt att det samlas i ett nonobtrusive sätt . Det finns olika program som finns för detta, men många system kommer att tillåta en annan dator som skall anslutas till den och filer kopieras. Detta kommer dock inte alltid kopiera raderade filer , register filer eller filer historia, som alla är avgörande för dator kriminalteknik . Dock kan det vara så att en full-out analys inte krävs och en enkel anslutning - och - kopia kan vara tillräckligt .
När du utför datarättsvetenskapen , eller anställa någon för den delen , är det viktigt att förtydliga målen . Kanske är det en viss serie e-postmeddelanden eller en fil som laddades ned , vad det än är , är det helt enkelt inte kan kräva timmar av forskning vanligen utförs i dator kriminalteknik . I själva verket är den största tiden hindret för en dator kriminalteknisk analytiker inte uppgifterna , de flesta människor aldrig kryptera sina datorer . Det största hindret är själva storleken på de hårddiskar i datorer idag och tid för att analysera så mycket minne . Vidare är de flesta av de uppgifter som används i rättsfall inte den typ som är uppenbart genom att helt enkelt skriva ut en lista över filer på en hårddisk , . Betydligt oftare , är informationen dold eller skymd på något sätt
Exempel av dator kriminaltekniska metoder inkluderar :
- Vilka användare är inloggad in.w > /data /w.txt
Running processes.ps - auwx > /data /ps.txt
- portar öppna och lyssnande processes.netstat - ANP > /data /Netstat.txt
- Information om alla gränssnitt ( PROMISC ? ) ifconfig - a > /data /network.txt < . br >
- Lista över alla filer med åtkomsttid , inoden ändra tid och modifiering time.ls - alRu /> /data /filer - atime.txtls - alRc /> /data /filer - ctime.txtls - AlR /> /data /filer - mtime.txt
- . Bash historia av root ( och andra användare ) cat /root /.bash_history > /data /roothistory.txt
- Senaste inloggningar till system.last > /data /last.txt
- Grundläggande kontroll av tillträde loggar söker tillträde till TMP directories.cat /* /access_log
