Etapus: Computer Forensic tyrimo
Judd Robbins, kompiuterių mokslininkas ir pirmaujanti ekspertas kompiuterių ekspertizės, išvardyti šiuos veiksmus tyrėjai turėtų laikytis siekiant gauti kompiuterinę įrodymus:
- Pritvirtinkite kompiuterinę sistemą, siekiant užtikrinti, kad įranga ir duomenys yra saugūs. Tai reiškia, kad detektyvai turi įsitikinti, kad nėra neleistino asmuo gali prieiti prie kompiuterių ar saugojimo įrenginiai dalyvaujančių paiešką. Jei kompiuteris sistema jungiasi prie interneto, detektyvai turi nutraukti ryšį.
- Ieškoti kiekvieną failą į kompiuterinę sistemą, įskaitant failų, kurie yra užšifruotas, saugomų slaptažodžių, paslėptas ar ištrinti, bet dar perrašyti. Tyrinėtojai turėtų padaryti visų failų kopiją sistemoje. Tai apima failus kompiuterio kietajame diske, arba kitose saugojimo įrenginiai. Nuo susipažinimo failą galite ją pakeisti, tai svarbu, kad tyrėjai dirbti tik iš kopijų failus ieškant įrodymais. Originali sistema turėtų likti išsaugoti ir nepažeistas.
- Atkurti, kiek ištrinti informaciją, kaip įmanoma, naudojant programų, kurios gali aptikti ir atkurti ištrintus duomenis.
- atskleisti visus paslėptus failus turinį programas, skirtas aptikti paslėptų duomenų buvimą.
- Iššifruoti ir prieigos apsaugotas rinkmenas.
- Analizuoti specialiuosius teritorijų kompiuterio diskų, įskaitant dalis, kurios paprastai neprieinamos. (Be Kompiuterinių terminų, nepanaudotos vietos ant kompiuterio diske yra vadinamas nepaskirstytų erdvę. Tai erdvė gali būti failus ar dalių failų, kurie yra susiję su byla.)
- Dokumentų kiekvieną procedūros žingsnis. Svarbu, Detektyvai pateikti įrodymus, kad jų tyrimai konservuoti visą informaciją apie kompiuterinę sistemą nekeičiant arba jai pakenkti. Metų, gali praeiti tarp tyrimo ir teismo, ir be reikiamų dokumentų, įrodymų, negali būti priimtinas. Robbins sako, kad dokumentai turi apimti ne tik visus failus ir duomenis susigrąžintas iš sistemos, tačiau taip pat ataskaitą apie sistemos fizinę išdėstymą ir ar failai buvo šifravimą arba buvo kitaip paslėptas.
