Guide de Digital Forensics

L'informatique judiciaire ou médico-légales numériques est un terme en informatique pour obtenir des preuves juridiques dans les médias numériques ou de stockage des ordinateurs. Avec enquête médico-légale numérique, le chercheur peut trouver ce qui s'est passé pour les médias numériques tels que les e-mails, disque dur, journaux, système informatique et le réseau lui-même. Dans de nombreux cas, l'enquête médico-légale peut produire la façon dont le crime aurait eu lieu et comment nous pouvons nous protéger contre la prochaine fois.

Quelques raisons pour lesquelles nous avons besoin pour mener une enquête médico-légale:
1. Pour recueillir des preuves afin qu'elle puisse être utilisée par le tribunal pour résoudre les affaires juridiques.
2. Pour analyser notre force du réseau, et de combler le trou de sécurité avec des patchs et correctifs.
3. Pour récupérer des fichiers supprimés ou les fichiers en cas de défaillance matérielle ou logicielle

Dans l'informatique judiciaire, les choses les plus importantes qui doivent se rappeler lors de la conduite de l'enquête sont les suivants:

1. La preuve d'origine ne doivent pas être modifiées en tout cas, et de le faire conduire le processus, enquêteur légiste doit faire une image bit-stream. Bit-stream image est un peu en copie bit du support de stockage original et la copie exacte des données d'origine. La différence entre une image bit-stream et copie normale du stockage d'origine est un peu en amont image est l'espace de mou dans le stockage. Vous ne trouverez aucune information espace mou sur un support de copie.

2. Tous les processus judiciaires doivent respecter les lois juridiques dans le pays où les crimes correspondante qui s'est passé. Chaque pays a le droit costume différent dans le domaine des TI. Certains prennent très au sérieux IT règles, par exemple: Royaume-Uni, en Australie.

3. Toutes les procédures d'expertise ne peut être réalisée après que l'enquêteur a le mandat de perquisition.

Enquêteurs judiciaires normalement en regardant le calendrier de la façon dont les crimes qui s'est passé dans les meilleurs délais. Avec cela, nous pouvons produire la scène du crime savoir comment, quand, quoi et pourquoi crimes pourrait arrivé. Dans une grande entreprise, il est suggéré de créer une équipe médico-légale numérique ou la première équipe répondeur, de sorte que la société pourrait encore conserver la preuve que l'enquêteur légiste venu de la scène du crime.

Règles First Response sont les suivants:
1. En aucun cas, quiconque, à l'exception de l'analyste médico-légale, de faire des tentatives pour récupérer des informations à partir de n'importe quel système informatique ou un dispositif qui contient de l'information électronique.
2. Toute tentative pour récupérer les données par ladite personne dans le numéro 1, doit être évitée car elle pourrait compromettre l'intégrité de la preuve, dans lequel est devenu irrecevable devant un tribunal judiciaire.

Sur la base de ce que les règles, il l'a déjà expliqué le rôle important d'avoir une équipe de premier répondant dans une entreprise. La personne non qualifiée ne peut sécuriser le périmètre afin que personne ne peut toucher la scène de crime jusqu'au analyste médico-légale est venu (Ceci peut être fait par la prise de photos de la scène du crime. Ils peuvent aussi prendre des notes sur la scène et qui étaient présents à ce moment-là .

Des mesures doivent être prises quand un crime a eu lieu numériques de manière professionnelle:
1. Fixez la scène de crime jusqu'à ce que l'analyste légiste arrive.

2. Analyste légiste doit demander le mandat de perquisition par les autorités locales ou la gestion de l'entreprise.

3. Analyste Forensic faire prendre une photo de la scène du crime dans le cas de l'absence de toute les photos ont été prises.

4. Si l'ordinateur est toujours sous tension, ne pas éteint l'ordinateur. Au lieu de cela, utiliser un des outils médico-légaux tels que Helix pour obtenir des informations qui ne peuvent être trouvées que lorsque l'ordinateur est toujours sous tension, telles que les données sur la RAM et des registres. De tels outils a sa fonction spéciale de ne pas écrire quoi que ce soit vers le système de manière à rester à l'intégrité d'admission.

5. Une fois que toutes les preuves sont recueillies en direct, analyste médico-légale ne peux pas éteint l'ordinateur et prendre disque dur retour au laboratoire médico-légal.

6. Toutes les preuves doivent être documentées, dans laquelle la chaîne de responsabilité est utilisé. Chain of Custody tenir des registres sur les preuves, telles que: qui a les preuves pour la dernière fois.

7. Sécuriser les éléments de preuve doivent être accompagnés par un agent de la police judiciaire tels que comme une formalité.

8. De retour au laboratoire, analyste médico-légale de recueillir le témoignage de créer bit-stream image, comme une preuve d'origine ne doit pas être utilisé. Normalement, analyste judiciaire créera 5.2 bit-stream image dans le cas 1 image est corrompu. Bien sûr Chain of Custody encore utilisé dans cette situation de tenir des registres de la preuve.

9. Hachage de la preuve originale et bit-stream image est créée. Cela agit comme une preuve que la preuve originale et l'image binaire est la copie exacte. Ainsi, toute altération de l'image binaire se traduira par hachage différent, ce qui rend les évidences trouvées deviennent pas irrecevables devant un tribunal.

10. Analyste légale commence à trouver des preuves dans l'image bit-stream en prenant soin de regarder à l'emplacement correspondant dépend de ce genre de crime qui s'est passé. Par exemple: Fichiers Internet temporaires, espace Slack, fichiers supprimés, les fichiers de stéganographie.

11. Chaque preuves trouvées doivent être hachés ainsi, si l'apport séjour intégrité.

12. Analyste légale va créer un rapport, généralement en format PDF.

13. Analyste légale renvoyer le rapport à la société ainsi que les frais....