Computer-Forensik-Techniken
Computer-Forensik ist eine Wissenschaft, die sich mit der Erhebung und Analyse von digitalen beweisen. Dieser Beweis kann viele Formen annehmen und ihre Analyse hat viele Verwendungen. Digitale Beweise findet innerhalb der Computer selbst, innerhalb des Netzwerks und innerhalb der verschiedenen Arten von Speichermedien (z.B. USB-Sticks, Dlash-Laufwerke, CD-ROMs, DVDs). Die Analyse dieser Arten von digitalen Beweise vor Gericht--sowohl strafrechtliche als auch einheimische--verwendet wird und in den Unternehmen zu überwachen verwenden, Ressourcen. Trotz der vielfältigen Anwendungen der Computerforensik sind die tatsächlichen Techniken beschäftigt nahezu identisch.
Techniken
Computer-Forensik, wie jede Wissenschaft, folgt eine Analyse. Daten werden Objektiv erfasst, die Daten analysiert (aber erhalten) und ein Bericht über die Ergebnisse ist, dass Dokumente bereit, wie die Daten gesammelt wurden, wie es analysiert wurde und alle Erkenntnisse detailliert. Die primäre konsistente Tendenz in dieser Art der Datenerfassung und Analyse ist, dass die Daten erhalten bleiben. Wissenschaftlich ausgedrückt, können die Ergebnisse dupliziert werden.
Um sicherzustellen, dass die Daten seiner Integrität behält, ist es entscheidend, dass es in einer nonobtrusive Weise gesammelt werden. Es gibt verschiedene Programme, die dafür vorhanden sind, aber viele Systeme erlaubt einen anderen Computer angeschlossen werden und Dateien kopiert. Dies wird nicht jedoch immer gelöschte Dateien, Registry-Dateien oder Geschichte, kopieren alle sind entscheidend für Computer-Forensik. Allerdings kann es sein, dass eine voll-Out-Analyse nicht erforderlich ist und ein einfaches Verbindung und kopieren konnte ausreicht.
Beim Computer-Forensik, durchführen oder Einstellung jemand für diese Angelegenheit, ist es wichtig, Ziele zu klären. Vielleicht ist es eine bestimmte Reihe von e-Mails oder eine Datei, die heruntergeladen wurde. Was immer es ist, kann sie einfach nicht die Stunden der Forschung, die normalerweise ausgeführt im Computer Forensics verlangen. In der Tat ist das größte Hindernis der Zeit für ein Computer-Forensik-Analyst nicht die Daten; die meisten Menschen verschlüsseln nie Sie ihre Computer. Die größte Hürde ist die schiere Größe der Festplatten von Computern heute und Zeitaufwand bei der Analyse, die viel Speicher. Außerdem die meisten Daten in Gerichtsverfahren verwendet ist nicht der Typ, der offensichtlich ist, indem Sie einfach eine Liste der Dateien auf einer Festplatte drucken; weit häufiger wird die Informationen ausgeblendet oder in irgendeiner Weise verdeckt.
Beispiele für Computer-Forensik-Techniken:
Welche Benutzer angemeldet sind.w > /data/w.txt Laufende Prozesse.PS - Auwx > /data/ps.txt
Ports öffnen und hörende verarbeitet.Netstat - Anp > /data/netstat.txt
Informationen über alle Schnittstellen (PROMISC?).Ifconfig - a > /data/network.txt
Auflisten aller Dateien mit Zugriffszeit, Inode ändern Zeit und Änderungszeit.ls - AlRu / > /data/files-atime.txtls - AlRc / > /data/files-ctime.txtls - AlR / > /data/files-mtime.txt
Bash Geschichte Wurzel (und andere Nutzer).Katze-/root/.bash_history > /data/roothistory.txt
Letzte Anmeldungen für das System.Letzte > /data/last.txt
Grundlegenden Überprüfung der Protokolle für den Zugriff auf Tmp-Verzeichnissen suchen.Katze //access_log | Grep "%20/tmp" > /data/access.txt Katze //access_log | Grep "%20/var/tmp" > /data/access.txt
Liste der geöffneten Dateien von Prozessen.Lsof -i > /data/lsof.txt
Geführte "Rasusers" alle Benutzer erhalten über RAS verbunden.
Führen Sie "net Start" um eine Liste aller laufenden Dienste zu erhalten.
Wiederherstellung von gelöschten Dateien: eine Datei wird eigentlich nie gelöscht; Es ist einfach umbenannt und woanders gespeichert. Beispielsweise wird in Windows, das erste Zeichen des Dateinamens in hex 0xe5 geändert. Um die Datei wiederherzustellen, muss es einfach umbenannt werden. Die Computer-Forensik-Analyst fordert seine Kenntnisse der Betriebssysteme, verschiedene Technologien--Vergangenheit, und aufstrebenden--die Arten von Informationen, die gefunden werden kann und die Techniken, die die Daten extrahiert werden, ohne Manipulation oder Beschränkungen es in irgendeiner Weise zu ermöglichen.