Meilleures pratiques pour Computer Forensics dans le domaine

Introduction

Informatiques médecins légistes sont responsables de l'acuité technique, la connaissance de la loi et de l'objectivité dans le cadre d'enquêtes. Le succès est fondé sur des principes vérifiables et reproductibles résultats déclarés qui représentent une preuve directe de l'exonération répréhensibles présumés ou potentiels. Cet article établit une série de meilleures pratiques pour la recherche de preuves informatiques du praticien, ce qui représente la meilleure preuve de solutions défendables sur le terrain. Les meilleures pratiques elles-mêmes sont conçus pour capter les processus qui ont à maintes reprises démontré leur efficacité dans leur utilisation. Ce n'est pas un livre de cuisine. Les meilleures pratiques sont destinées à être révisé et appliqué en fonction des besoins spécifiques de l'organisation, l'espèce et l'affaire
réglage.

Connaissances professionnelles

Un examinateur ne peut en être informé quand ils marchent dans un environnement de campagne. Dans de nombreux
cas, le client ou le représentant du client fournira des informations sur
combien de systèmes sont en cause, leurs spécifications, et leur état actuel.
Et comme souvent, ils sont extrêmement mal. Cela est particulièrement vrai quand il s'agit de
tailles de disque dur, les ordinateurs portables craquage, le piratage mot de passe et le dispositif
interfaces. Une crise qui apporte le matériel au laboratoire devraient toujours être
la première ligne de défense, offrant un maximum de flexibilité. Si vous devez effectuer sur place,
établir une liste complète de travail de renseignements à recueillir avant de vous lancer
le champ. La liste doit être composée de petites étapes avec une case à cocher pour chaque
l'étape. L'examinateur doit être complètement informé de la prochaine étape et ne pas avoir
à «penser sur leurs pieds."

Surestimer

Surestimer l'effort d'au moins un facteur de deux la quantité de temps vous aurez besoin pour
terminer le travail. Cela comprend l'accès au périphérique, ouverture de la criminalistique
acquisition avec la bonne écriture blocage stratégie, remplir le cas échéant
paperasserie et la chaîne de documentation de garde, de copier les fichiers acquis à
un autre dispositif de rappel et le matériel à l'état initial. Gardez à l'esprit que vous
peut exiger manuels de réparation pour vous diriger à démonter les petits appareils pour accéder à la
disque, créant plus de difficulté dans la réalisation de l'acquisition et du matériel
restauration. Live par la loi de Murphy. Quelque chose va toujours vous remettre en question et de prendre des
plus de temps que prévu - même si vous avez fait de nombreuses fois.

Equipement inventaire
La plupart des examinateurs ont assez d'une variété d'équipements qu'ils puissent effectuer
expertise judiciaire acquisitions de plusieurs façons. Décidez à l'avance comment vous
aimerait idéalement mener à bien votre acquisition du site. Nous allons tous aller voir l'équipement
mauvais ou quelque autre incompatibilité devenir un show-bouchon au moment le plus critique.
Envisagez d'avoir deux bloqueurs d'écriture et un lecteur de stockage de masse supplémentaire, essuyés et
prêt. Entre deux emplois, assurez-vous de vérifier votre équipement avec un exercice de hachage.
Double-Check et inventorier l'ensemble de votre kit en utilisant une liste de contrôle avant le décollage.

Acquisition flexible

Au lieu d'essayer de faire des "meilleures estimations" au sujet de la taille exacte de la dur du client
lecteur, utilisez des périphériques de stockage de masse et si l'espace est un problème, un format d'acquisition qui
compresser vos données. Après avoir recueilli les données, copier les données vers un autre
emplacement. Bon nombre d'examinateurs se limiter aux acquisitions traditionnelles où l'
machine est fissuré, le disque retiré, placé derrière une écriture-bloquant et d'
acquises. Il existe également d'autres méthodes d'acquisition mis à disposition par le Linux
le système d'exploitation. Linux, démarré à partir d'un lecteur de CD, permet à l'examinateur de faire une
copie brute sans compromettre le disque dur. Être suffisamment familiarisé avec l'
traiter de comprendre comment collecter les valeurs de hachage et autres journaux. Acquisition en direct
est également abordée dans ce document. Laisser le lecteur sauvegardé avec le procureur ou le
client et prendre la copie de sauvegarde de votre laboratoire pour analyse.

Tirez sur la fiche

Vive discussion a lieu au sujet de ce qu'il faut faire quand ils rencontrent un fonctionnement
machine. Deux choix clairs existent; tirant sur la fiche ou d'effectuer un arrêt propre
(En supposant que vous pouvez vous connecter). La plupart des examinateurs tirez sur la fiche, et c'est la meilleure façon de
permettant d'éviter toute sorte de processus malveillant de s'exécuter qui peuvent supprimer et
effacer des données ou une fosse similaire. Il permet également l'accès examinateur pour créer
un aperçu des fichiers d'échange et d'autres informations système tel qu'il était la dernière course. Il
convient de noter que tirant sur la fiche peut également endommager certains des fichiers qui s'exécutent sur
le système, ce qui les rend indisponibles pour l'examen ou l'accès utilisateur. Entreprises
préfèrent parfois un arrêt propre et doit être donné le choix, après avoir été
a expliqué l'impact. Il est essentiel de documenter la façon dont la machine a été ramené
parce que ce sera la connaissance absolument essentielle pour l'analyse.

Acquisitions en direct

Une autre option consiste à effectuer une acquisition en direct. Certains définissent "live" comme en cours d'exécution
Machine comme il est constaté, ou à cet effet, la machine elle-même sera en cours d'exécution lors
l'acquisition, par un moyen quelconque. Une méthode consiste à démarrer dans un personnalisé
Environnement Linux qui inclut un soutien suffisant pour prendre une image du disque dur
(Souvent parmi d'autres capacités médico-légales), mais le noyau est modifié pour ne jamais toucher
l'ordinateur hôte. Des versions spéciales existent également qui permettent à l'examinateur de levier
fonction d'exécution automatique de la fenêtre de s'acquitter de réponse aux incidents. Ceux-ci exigent une
une connaissance approfondie de Linux et expérience avec l'informatique judiciaire. Cette
type d'acquisition est idéal lorsque pour des raisons de temps ou de complexité, de démonter la
machine n'est pas une option raisonnable.

Les principes fondamentaux

Un oubli étonnant d'airain que l'examinateur font souvent néglige de démarrer le
dispositif une fois que le disque dur est hors de lui. Contrôle du BIOS est absolument essentielle à la
pouvoir effectuer une analyse entièrement validée. L'heure et la date indiquée dans le BIOS
doivent être signalés, en particulier lorsque les fuseaux horaires sont un problème. Une riche variété d'autres
informations sont disponibles en fonction de ce constructeur a écrit le logiciel BIOS.
Rappelez-vous que les fabricants de disques peuvent également masquer certaines zones du disque
(Zones de protection matérielle) et de votre outil d'acquisition doit être en mesure de faire un plein
copie binaire qui prend cela en compte. Une autre clé pour l'examinateur de
comprendre, c'est comment le mécanisme de hachage fonctionne: Certains algorithmes de hachage peut être
préférables à d'autres pas nécessairement pour leur solidité technologique, mais pour combien de
ils peuvent être perçus dans une situation tribunal.

Stocker en toute sécurité

Images acquises doivent être stockés dans un endroit protégé, non statique environnement.
Les examinateurs devraient avoir accès à un coffre-fort verrouillé dans un bureau fermé à clé. Les disques doivent être
stockées dans des sacs antistatiques et protégés par l'utilisation de matériaux d'emballage non statiques ou
l'emballage d'origine. Chaque lecteur doit être étiqueté avec le nom du client,
bureau du procureur et le numéro de la preuve. Certains examinateurs copier des étiquettes de disque sur le
copier machine, si elles ont accès à un lors de l'acquisition, ce qui devrait être
stockée avec la paperasse cas. A la fin de la journée, chaque lecteur doit relier
avec une chaîne de document de garde, un travail, et un certain nombre des preuves.

Mettre en place une politique

De nombreux clients et avocats va pousser pour une acquisition immédiate de l'ordinateur
et ensuite s'asseoir sur les preuves pendant des mois. Assurez-clair avec le procureur de combien de temps
vous êtes prêt à maintenir les éléments de preuve à votre laboratoire et perçoit une redevance de stockage pour
travaux critiques ou grande échelle. Vous pouvez être le stockage des données cruciales pour un crime ou civile
action et tout d'un point de vue marketing, il peut sembler comme une bonne idée de garder
une copie de l'entraînement, il peut être préférable du point de vue de l'affaire de restituer tous les
copie à l'avocat ou le client avec la chaîne appropriée de la garde
documentation.

Conclusion

Examinateurs informatiques ont beaucoup de choix sur la façon dont ils vont procéder à une place
acquisition. Dans le même temps, l'acquisition sur place est la plus volatile
environnement pour l'examinateur. Outils peuvent échouer, les contraintes de temps peuvent être graves,
les observateurs peuvent ajouter de la pression, et les suspects peuvent être présents. Les examinateurs doivent prendre
sérieusement l'entretien de leurs outils et le développement de la connaissance permanente de
apprendre les meilleures techniques adaptées à chaque situation. En utilisant les meilleures pratiques présentes,
l'examinateur devrait être préparé pour presque toutes les situations qu'ils peuvent rencontrer et avoir
la capacité de se fixer des objectifs et des attentes raisonnables pour l'effort en question....