Computer Forensics er en vitenskap opptatt med å samle og analysere av digitale bevis . Dette bevis kan ta mange former og analysen har mange bruksområder . Digitale bevis er funnet i selve datamaskinen , innenfor nettverket og innen ulike typer lagringsenheter (for eksempel USB-stasjoner, dlash stasjoner, CD - ROM, DVD-er) . Analysen av disse typer digitale bevis blir brukt i rettssaker - både kriminell og innenlands - og innen foretak til å overvåke bruk av ressurser . På tross av de varierte anvendelser av datamaskinen dataanalyse , selve teknikker som anvendes er nesten identiske . Teknikker

dataetterforskning , som enhver vitenskap , følger et mønster av analysen . Data blir samlet objektivt , blir dataene analysert ( men bevart ) og en rapport om funnene er forberedt på at dokumentene hvordan dataene ble samlet inn , hvordan det ble analysert og detaljer alle funnene. Den primære konsistent trend i den type data - innsamling og analyse er at dataene er bevart . Sett vitenskapelig , kan resultatene bli duplisert .

For å sikre at data beholder sin integritet , er det avgjørende at det blir samlet i en nonobtrusive måte. Det finnes forskjellige programmer som finnes for dette , men mange systemer vil tillate en annen datamaskin som skal kobles til det og filer kopiert. Dette vil imidlertid ikke alltid kopiere slettede filer , register filer eller historie filer , som alle er avgjørende for dataetterforskning. Det kan imidlertid være at en full -out analysen ikke er nødvendig, og en enkelt koble - og - kopi kan være tilstrekkelig .

Når du utfører dataetterforskning , eller ansette noen for den saks skyld , er det viktig å avklare mål . Kanskje det er en viss rekke e-poster eller en fil som ble lastet ned , uansett hva det er, det rett og slett ikke kan kreve timer med forskning vanligvis utføres i dataetterforskning. Faktisk er den største tid hinder for en dataetterforskning analytiker ikke data , de fleste aldri kryptere sine datamaskiner . Det største hinderet er selve størrelsen på harddisker i datamaskiner i dag og tiden involvert i å analysere så mye minne . Videre er de fleste av dataene som brukes i rettssaker ikke den typen som er opplagt ved å skrive ut en liste over filer på en harddisk ; . Langt oftere , er informasjonen skjult eller skjult på noen måte

Eksempler av dataetterforskning teknikker inkluderer : en

- Hvilke brukere er logget in.w > /data /w.txt

Antall processes.ps - auwx > /data /ps.txt

- Porter åpen og lytte processes.netstat - anp > /data /Netstat.txt

- Informasjon om alle grensesnitt ( PROMISC ? ) ifconfig -a > /data /Network.txt < . br >

- Oppføring av alle filer med aksesstid , inoden endring tid og modifikasjon time.ls - alRu /> /data /filer - atime.txtls - alRc /> /data /filer - ctime.txtls - ALR /> /data /filer - mtime.txt

- . Bash historie root ( og andre brukere ) cat /root /.bash_history > /data /roothistory.txt

- Siste pålogginger til system.last > /data /last.txt

- Grunnleggende kontroll av tilgang logger på jakt etter tilgang til tmp directories.cat /* /access_log