Début d'une enquête numérique

Comme un enquêteur judiciaire il ya certaines étapes qui doivent être suivies et utilisées lors de la réalisation de toute enquête. La première est que le processus qui est utilisé doit être documenté et doit être suivie à chaque fois! Cela ne peut pas être assez souligné comme un avocat de la défense va déchirer sur une stratégie et si l'avocat découvre que l'enquêteur dévie alors ils commenceront déchiquetage le cas avant toutes les preuves et les constatations a même été évoquée.

Ce ne sont plus les outils que les examinateurs utilisent interrogé. Les outils tels que EnCase Guidance Software, Suite Forensic Paraben, et même l'accès FTK Data (Tool Kit Forensic) ont tous résisté à l'examen que les tribunaux et les avocats de la défense ont soumis à leur. Il est maintenant plus fréquent de voir la question avocat de la défense soit la méthode de l'enquête, ou bien la formation de l'enquêteur. Ils veulent savoir ce processus a été suivi et ce qui donne à l'examinateur le droit d'effectuer l'enquête.

Oui, il est vrai que l'information doit être acquise de manière expertise judiciaire (chaîne de traçabilité, l'intégrité des données, acquisition de données sans modifier les données, et la liste est longue). Toutefois, il n'est pas toujours à l'examinateur qui ne l'acquisition, donc je vais me concentrer sur le processus une fois que l'examinateur reçoit le disque dur ou autre support qui contient les preuves et le type de processus qui doivent être suivies.

La première chose, et peut-être la chose la plus importante, qui doit être fait lorsque l'on commence une enquête est de garder les notes et la documentation appropriée. Les gens ne peuvent se souvenir de choses depuis si longtemps et les cas prendre un certain temps de poursuivre. Les chances d'un examinateur souvenir de toutes les informations pertinentes qui se rapporte à un cas où il se pose enfin dans la cour est très peu probable. Non seulement cela, mais les notes peuvent également être utilisés comme preuves qui peuvent être partagées avec la poursuite et la défense qui peut conduire à un règlement hors cour avec une confession ou de traiter plaidoyer de la défense!

Dès que la preuve est reçue, si elle était livrée par la poste ou physiquement déposés, l'examinateur devrait créer un formulaire de chaîne de garde. La date et l'heure doivent être enregistrées ainsi que ce qui a été reçu, la condition si a été reçu en, et toute autre note. Une bonne habitude à prendre est de l'aide d'un appareil photo numérique et prendre des photos de l'emballage a reçu avant l'ouverture. Ceci est particulièrement utile si l'emballage a été endommagé ou si l'emballage n'a pas été suffisante pour maintenir le contenu de se déplacer autour.

D'autres choses à prendre note de sont les paramètres du support reçu. Ceci peut être le cavalier des paramètres sur un disque dur, les disquettes ont un commutateur pour verrouiller et déverrouiller sur eux, certains lecteurs ont le pouce des mécanismes de verrouillage. Essentiellement ces paramètres doivent être documentées comme si quelque chose change et que vous apportez des modifications, vous devez alors être en mesure de dire pourquoi vous avez fait ces changements. Tel que vous enlevé le cavalier qui a fait le disque dur d'un disque dur principal et vous l'avez déplacé pour en faire un esclave si vous pourriez le mettre dans la machine d'examen. Ce fut un changement physique qui devaient être faites et que vous avez à dire qu'un changement a été fait.

Une fois que vous obtenez les documents mis à avoir reçu le support dont vous avez besoin pour décider comment faire une sauvegarde complète du niveau du bit que les médias. La raison que vous faire est que vous n'avez jamais exécuté un examen sur le support original. Vous souhaitez sauvegarder l'original sur deux autres médias. La raison que vous faites deux copies est l'un pour l'examen et un pour le stockage dans le cas de la copie d'examen est compromise. De cette façon, vous mettez l'original sous clé à des fins de preuve. Vous avez ensuite vous copiez d'exécuter l'examen complet sur. Et si quelque chose arrive à la copie d'examen, comme il est tombé ou un peu ne retournez, vous avez encore une autre copie que vous pouvez utiliser sans avoir à déranger avec le support d'origine à nouveau.

Selon le programme que vous utilisez pour créer l'image / la sauvegarde et la taille de l'appareil qui est en cours de sauvegarde, vous aurez besoin d'allouer plusieurs heures. Maintenant, si c'est une clé USB de 256 Mo alors non, il ne prendra pas aussi longtemps. Toutefois, si vous cherchez à un disque dur de 160 Go IDE alors vous bien sûr que ça va prendre quelques heures pour le sauvegarder. Un grand nombre de logiciels que vous utilisez pour l'image du disque, il faudra un disque plus gros que celui que vous êtes d'imagerie. Pourquoi, parce que les programmes tels que EnCase va ajouter de hachage MD5 et du CRC au fur et à vérifier les informations. Ceux du CRC et le MD5 prendra plus de place. Oui, vous pouvez activer la compression et il sera très probablement permettre à ceux pour tenir sur le support de même taille, cependant, en tournant sur la compression augmente aussi considérablement le temps qu'il faut pour créer l'image de sauvegarde.

Exécution de l'examen lui-même de l'appareil va prendre un document entier à expliquer. Je vais créer un pour effectuer l'examen, en créant un rapport de l'examen, et l'archivage des résultats et des documents d'une façon que vous pouvez le ramasser si / quand votre cas permet en effet au tribunal.

Benjamin Corll directeur de la sécurité pour les DH Innovations, une société de services informatiques d'intégration.

Source de l'article: http://EzineArticles.com/564672