Leitfaden für Digital Forensics

Computer-Forensik oder digitale Forensik ist ein Begriff in der Informatik den gesetzlichen Beweise in digitalen Medien oder Computer Speicher gefunden zu erhalten. Mit digitalen forensischen Untersuchung können die Ermittler zu finden, was mit den digitalen Medien wie E-Mails, Festplatten, Protokolle, Computer-System und das Netzwerk selbst. In vielen Fällen können forensische Untersuchung zu produzieren, wie das Verbrechen geschehen konnte und wie können wir uns davor schützen next time.

Einige Gründe, warum wir brauchen, um eine forensische Untersuchung durchzuführen:
Ein. Um Beweise zu sammeln, so dass sie vor Gericht verwendet werden kann, um rechtliche Fälle zu lösen.
2. Um unser Netzwerk Stärke analysieren und um die Sicherheit Loch mit Patches und Fixes zu füllen.
3. Um gelöschte Dateien oder alle Dateien im Falle eines Hardware-oder Software-Fehler zu erholen

In Computer-Forensik, sind die wichtigsten Dinge, die erinnert werden, wenn die Durchführung der Untersuchung werden müssen:

Ein. Die ursprüngliche Nachweis muss nicht sowieso geändert werden, und zu tun, führen den Prozess, Forensiker muss einen Bitstrom Bild zu machen. Bit-Stream-Bild ist ein Bit für Bit Kopie des Originals Speichermedium und exakte Kopie der Original-Medien. Der Unterschied zwischen einem Bitstrom Bild und normale Kopie der ursprünglichen Lagerung ist Bitstrom Bildes ist der Durchhang Platz in der Speichereinheit. Sie finden keinen slack space Informationen auf einer Kopie Medien.

2. Alle kriminaltechnischen Verfahren müssen sich an die gesetzlichen Gesetzen in entsprechenden Land, in dem die Verbrechen geschehen ist. Jedes Land hat unterschiedliche Klage im IT-Bereich. Einige nehmen es Regeln sehr ernst, zum Beispiel: Großbritannien, Australien.

3. Alle kriminaltechnischen Verfahren kann nur durchgeführt werden, nachdem die Ermittler hat den Durchsuchungsbefehl werden.

Forensische Ermittler normalerweise Blick auf die Timeline, wie die Verbrechen geschah rechtzeitig. Damit können wir produzieren den Tatort, wie, wann, was und warum Verbrechen geschehen konnte. In einem großen Unternehmen, wird vorgeschlagen, einen Digital Forensic Team oder First Responder-Team zu schaffen, so dass das Unternehmen noch erhalten die Beweise, bis die Forensiker zum Tatort kommen.

First Response Regeln sind:
Ein. Unter keinen Umständen sollte jemand, mit Ausnahme der Forensic Analyst, um Versuche der Informationen von jedem Computer-System oder Gerät, das elektronische Informationen hält erholen machen.
2. Jeder Versuch, die Daten von Personen abgerufen sagte in Nummer 1, sollte vermieden werden, da sie die Integrität des Beweismaterials, in denen unzulässig rechtliche Hof wurde gefährden könnten werden.

Basierend auf diesen Regeln, ist es bereits die wichtige Rolle der mit einem First Responder Team in einem Unternehmen erläutert. Die unqualifizierte Person kann nur sichern den Umfang, so dass niemand den Tatort zu berühren, bevor Forensic Analyst gekommen ist (Dies kann durch Foto des Tatorts durchgeführt werden. Sie können auch Notizen machen über die Szene und die waren damals anwesend .

Es müssen Schritte unternommen, wenn ein digitaler Verbrechen aufgetreten in einer professionellen Art und Weise werden:
Ein. Sichern Sie den Tatort, bis die forensische Analytiker ankommen.

2. Forensic Analyst muss für die Hausdurchsuchung von lokalen Behörden oder Management des Unternehmens anzufordern.

3. Forensic Analyst machen ein Bild des Tatorts im Falle, wenn es keine keine Fotos entnommen sind.

4. Wenn der Computer noch eingeschaltet ist, lassen Sie sich nicht den Computer eingeschaltet. Stattdessen verwendet ein forensischer Werkzeuge, wie Helix, um einige Informationen, die nur gefunden werden, wenn der Computer noch auf, wie Daten auf ram, und Registern gespeist werden erhalten. Solche Werkzeuge hat seine spezielle Funktion, nichts zu schreiben, zurück zu dem System, so die Integrität bleiben Aufnahme.

5. Sobald alle Live-Beweise gesammelt, wandte Forensic Analyst cant Sie den Computer aus und nehmen Festplatte zurück zur forensischen Labor.

6. All die Beweise müssen dokumentiert werden, in dem Chain of Custody verwendet wird. Chain of Custody Aufzeichnungen über die Beweise, wie zB: die Beweise für die letzte Zeit hat.

7. Die Sicherung der Beweise müssen von Justitiar wie Polizei als eine Formalität begleitet werden.

8. Zurück im Labor, nehmen Forensic Analyst den Beweis, den Bitstrom-Bild zu erstellen, als Original Beweise dürfen nicht verwendet werden. Normalerweise wird Forensic Analyst erstellen 2-5 Bit-Stream-Bild bei 1 Bild ist beschädigt. Natürlich Chain of Custody noch in dieser Situation verwendet, um Datensätze der Beweise zu halten.

9. Hash der ursprünglichen Beweise und Bitstream-Bild erstellt. Dies wirkt wie ein Beweis dafür, dass Original-Belege und das Bit-Stream-Bild die exakte Kopie ist. Also jede Veränderung, die auf der Bit-Bild wird in verschiedene Hash, der die Beweise gefunden werden, unzulässig Gericht weist führen.

10. Forensic Analyst beginnt Beweise in der Bit-Stream-Bild zu finden, indem Sie vorsichtig suchen an der entsprechenden Stelle hängt von der Art des Verbrechens passiert ist. Zum Beispiel: Temporary Internet Files, Slack Space, Deleted File, Steganographie Dateien.

11. Jeder Beweise dafür gefunden, muss auch gehasht werden, so die Integrität Aufenthalt Aufnahme.

12. Forensic Analyst wird einen Bericht erstellen, in der Regel im PDF-Format.

13. Forensic Analyst senden Sie den Bericht zurück an die Firma zusammen mit Gebühren.