Guia para Digital Forensics

Computação forense ou forense digital é um termo em ciência da computação para obter evidência legal encontrada em mídia digital ou de armazenamento de computadores. Com a investigação forense digital, o pesquisador pode encontrar o que aconteceu com os meios de comunicação digitais, como e-mails, disco rígido, registros, sistema de computador e da rede em si. Em muitos casos, a investigação forense pode produzir como o crime poderia aconteceu e como podemos nos proteger contra isso da próxima vez.

Algumas razões pelas quais temos de conduzir uma investigação forense:
1. Para buscar evidências de modo que ele pode ser usado no tribunal para resolver processos judiciais.
2. Para analisar a nossa força de rede, e para preencher o buraco de segurança com patches e correções.
3. Para recuperar arquivos apagados ou quaisquer arquivos no caso de falha de hardware ou software

Em computação forense, as coisas mais importantes que precisam ser lembradas ao conduzir a investigação são:

1. A prova original não deve ser alterado em qualquer forma, e para fazer conduzir o processo, o investigador forense deve fazer uma imagem de fluxo de bits. Pouco de fluxo de imagem é um pouco a cópia pouco do meio de armazenamento original e cópia exata da mídia original. A diferença entre a imagem de fluxo de bits e cópia normal do armazenamento original é de fluxo de bits de imagem é o espaço de folga na armazenagem. Você não vai encontrar nenhuma informação espaço de folga em uma mídia de cópia.

2. Todos os processos forenses deve seguir as leis jurídicas no país correspondente onde os crimes aconteceram. Cada país tem direito terno diferente na área de TI. Alguns levá-lo muito a sério as regras, por exemplo: Reino Unido, Austrália.

3. Todos os processos judiciais só pode ser realizada após o investigador tem o mandado de busca.

Investigadores forenses normalmente olhando para a linha do tempo de como os crimes aconteceram em tempo hábil. Com isso, nós podemos produzir a cena do crime sobre como, quando, o quê e por que crimes poderiam aconteceu. Em uma grande empresa, sugere-se para criar uma Equipa Forense Digital ou Equipe de Resposta Primeiro, para que a empresa ainda pode preservar a prova até que o investigador forense chegar à cena do crime.

Regras de Resposta primeiros são:
1. Sob nenhuma circunstância deve a ninguém, com exceção de analista forense, de fazer quaisquer tentativas de recuperar informações de qualquer sistema de computador ou dispositivo eletrônico que contém informações.
2. Qualquer tentativa de recuperar os dados por pessoa disse no número 1, deve ser evitado, pois pode comprometer a integridade das provas, em que se tornou inadmissível no tribunal legal.

Com base em que as regras, já explicou os importantes papéis de ter uma equipe First Responder em uma empresa. A pessoa não qualificada só pode proteger o perímetro de modo que ninguém pode tocar a cena do crime até a analista forense veio (Isto pode ser feito através de fotos da cena do crime. Eles também podem fazer anotações sobre a cena e que estavam presentes na época .

Medidas precisam ser tomadas quando um crimes digitais ocorreu de uma forma profissional:
1. Fixe a cena do crime até que o analista forense chegar.

2. Analista forense deve solicitar o mandado de busca das autoridades locais ou de gestão da empresa.

3. Analista forense fazer tirar uma foto da cena do crime, no caso de se não há nenhuma foto foi tirada.

4. Se o computador ainda está ligado, não desligou o computador. Em vez disso, usou algumas ferramentas forenses como Helix para obter alguma informação que só pode ser encontrada quando o computador ainda está ligado, como dados de memória RAM, e registros. Tais ferramentas tem a sua função especial para não escrever qualquer coisa de volta para o sistema de forma a integridade ficar ingestão.

5. Uma vez que todas as provas são recolhidas ao vivo, não posso analista forense desligou o computador e ter disco rígido de volta ao laboratório forense.

6. Todas as evidências devem ser documentados, em que a cadeia de custódia é utilizado. Cadeia de Custódia manter registros sobre as provas, tais como: quem tem a evidência para a última hora.

7. Protegendo a prova deve ser acompanhada de jurista, como polícia como uma formalidade.

8. De volta ao laboratório, analista forense tomar o depoimento para criar fluxo de bits de imagem, como prova original não deve ser usado. Normalmente, analista forense vai criar 2-5 imagem pouco de fluxo no caso de uma imagem está corrompido. Claro Cadeia de Custódia ainda utilizado nesta situação para manter registros de provas.

9. Hash da evidência original e pouco de fluxo de imagem é criado. Este age como uma prova de que a evidência original ea imagem de fluxo de bits é a cópia exata. Assim, qualquer alteração na imagem pouco resultará em hash diferente, o que faz com que as evidências encontradas tornar inadmissível no tribunal.

10. Analista forense começa a encontrar evidências na imagem de fluxo de bits por cuidadosamente olhando para o local correspondente depende de que tipo de crime que aconteceu. Por exemplo: Arquivos de Internet Temporários, espaço Slack, arquivo excluído, arquivos de esteganografia.

11. Cada evidências encontradas devem ser desordenado, bem como, de modo que o consumo de estadia integridade.

12. Analista forense irá criar um relatório, normalmente em formato PDF.

13. Analista forense enviar o relatório de volta para a empresa, juntamente com as taxas....