Computer Forensics Richtlijnen

Computer forensisch onderzoek en analyse

Een grondig Computer forensisch onderzoek en de latere analyse is niet iets wat gedaan kan worden door zomaar iemand. Een specialist op het gebied zal worden belast met het bestuderen van elk verdachte computersysteem dat in beslag is genomen voor dit doel.

Hij zal het systeem moeten kunnen bestuderen als een detective in plaats van als een IT-expert. De specialist zal niet een geïsoleerd stuk van informatie na jagen; in plaats daarvan zal hij de aanwijzingen en de digitale gegevens als geheel laat zodat ‘het verhaal’ compleet is. Om dit te doen, en ervoor te zorgen dat het bewijsmateriaal aanvaardbaar is voor een rechtbank, moet hij in beide kampen een voet hebben - IT-expert en detective.

Bescherming van de media tijdens computer forensische analyse

Een computer forensisch onderzoek zal een aantal richtlijnen volgen, te beginnen met het aanschakelen van de computer – wat hij juist niet zal doen. Wanneer een computer draait wordt door de start-up sequence toegang tijden van bepaalde bestanden veranderd, en deze informatie kan van cruciaal belang zijn voor het onderzoek.

Om dit te voorkomen moet de originele media veilig worden gesteld, hetzij door het afsluiten van de harde schijf en het opstarten vanaf een diskette, of het installeren van de harde schijf als een slave schijf in een andere machine.

Hij zal dan een exacte kopie van de schijf maken, door het maken van een mirror schijf stukje bij beetje.

Hij houdt een gedetailleerd overzicht van de methode bij die wordt gebruikt voor het geval dat hij verplicht is te bewijzen dat de oorspronkelijke afbeelding op geen enkele manier niet meer is gewijzigd. Alle verdere computer forensische analyse wordt uitgevoerd op de kopie in plaats van op de oorspronkelijke, voor het behoud van de oorspronkelijke gegevens.

Wat wordt bekeken tijdens een Computer forensische analyse?

Met behulp van de kopie van de originele disk, zal het computer forensisch onderzoek zich richten op verschillende gebieden; de vrije ruimte op de harde schijf, de bestand speling, en de swap bestanden.

Vrije ruimte is de niet-gebruikte ruimte op de schijf, maar er zullen gebieden zijn die in het bezit zijn van verwijderde bestanden die gerecoverd kunnen worden. Bestand speling is de niet-gebruikte ruimte op het einde van een cluster bestand, dat ook al eens gebruikt is voor de opslag van bestanden die nu zijn verwijderd. Swap bestanden zijn caches gebruikt om informatie op te slaan voordat het wordt weggeschreven naar de harde schijf, en ze kunnen ook waardevolle informatie bevatten.

Computer forensische tools vermijden inbreuk op privacy

Met de snel groter groeiende capaciteit van harde schijven is het fysiek onmogelijk voor een mens om alle gegevens zelf te onderzoeken die kunnen worden opgeslagen. Veel van de computer forensische bedrijven hebben daarom in eigen beheer ontwikkelde software om te helpen bij het onderzoek van bewijzen. Dit voorkomt bijvoorbeeld dat de overheid bezorgd is over misbruik door hackers, vanwege de licentiebeperkingen op grote computer forensische programma’s die bewijsmateriaal verzamelen.

Deze software is meestal in de vorm van een text search tool, en de computer forensisch specialist zal gebruik maken van een combinatie van zijn ervaring, achtergrond informatie over het geval, deductieve redenering, en het gezond verstand, om de lijst van sleutelwoorden te bedenken.

Deze lijst zal worden ingevoerd in de zoekmachine om relevant bewijsmateriaal op te sporen. Deze methode is populair omdat het netjes vermijdt inbreuk te maken op particuliere informatie van derden die eveneens kunnen zijn opgeslagen op het station.