Fazah računalniške forenzike preiskovalnega
Judd Robbins, računalniški znanstvenik in vodilni strokovnjak na področju računalniške forenzike, navaja naslednje korake, raziskovalci pa morajo slediti pridobiti računalniške dokaze:
- Secure računalniškega sistema, da se zagotovi, da so oprema in podatki varno. To pomeni, da so detektivi morajo prepričati, da ne more nepooblaščeno posameznik dostop do računalnikov ali naprav za shranjevanje, ki sodelujejo pri iskanju. Če računalniški sistem poveže z internetom, mora detektivi ločiti povezavo.
- Poišči vse datoteke na računalniškem sistemu, vključno z datotekami, ki so šifrirane, zaščitenih z gesli, skritih ali izbrisane, vendar še ne prepišejo. Preiskovalci naj bi kopijo vseh datotek na sistemu. To vključuje tudi datoteke na trdem disku računalnika ali v drugih naprav za shranjevanje. Ker lahko dostop do datoteke jo spremeni, je pomembno, da preiskovalci delajo samo iz kopij datotek, medtem ko iščejo dokaze. Prvotni sistem mora ostati ohranjena in nedotaknjena.
- Obnovi toliko izbrišejo podatke, kot je mogoče z uporabo aplikacij, ki lahko zazna in pridobivanje izbrisane podatke.
- razkrivajo vsebino vseh skritih datotek s programi za odkrivanje Prisotnost skritih podatkov.
- Dešifriraj in dostop do zaščitenih datotek.
- Analizirajte posebna območja računalnika, diskov, vključno z deli, ki so običajno nedostopni. (V računalniških izrazov, se neuporabljen prostor na disku računalnika imenuje neizkoriščenost prostora. Ta prostor lahko vsebuje datotek ali delov datotek, ki so pomembni za zadevo.)
- Document vsak korak postopka. To je pomembno za detektivi predložiti dokazilo, da njihove preiskave ohranjene vse informacije o računalniškem sistemu, brez spreminjanja ali ga pri tem poškodovali. Leta lahko prenese med preiskavo in sojenjem, in brez ustrezne dokumentacije, dokazi, ne sme biti dopustna. Robbins pravi, da mora dokumentacija vključevati ne samo vse datoteke in podatke izterjati iz sistema, temveč tudi
