Guide pour la criminalistique numérique

L'informatique judiciaire ou de la criminalistique numérique est un terme en informatique pour obtenir des preuves juridiques dans les médias numériques ou de stockage des ordinateurs. Avec enquête médico-légale numérique, le chercheur peut trouver ce qui s'est passé pour les médias numériques tels que les emails, disque dur, les billes, le système informatique et le réseau lui-même. Dans de nombreux cas, une enquête médico-légale peut produire la façon dont le crime pourrait arrivé et comment nous pouvons nous protéger contre la prochaine fois.

Quelques raisons pour lesquelles nous avons besoin pour mener une enquête médico-légale: 1. Afin de recueillir des preuves afin qu'il puisse être utilisé au tribunal pour résoudre les affaires juridiques. 2. Pour analyser notre force du réseau, et pour combler le trou de sécurité avec les patchs et correctifs. 3. Pour récupérer des fichiers supprimés ou les fichiers en cas de défaillance matérielle ou logicielle

Dans l'informatique judiciaire, les choses les plus importantes qui doivent se rappeler lors de la conduite de l'enquête sont:

1. La preuve originale ne doit pas être modifié en toute façon, et de faire conduire le processus, l'enquêteur légiste doit faire une image bit-stream. Bit-flux d'image est un peu en copie bit du support de stockage original et la copie exacte du support d'origine. La différence entre une image bit-stream et une copie normale du stockage d'origine n'est flux de bits d'image est l'espace mou dans le stockage. Vous ne trouverez pas toutes les informations d'espace mou sur un support de copie.

2. Tous les processus judiciaires doivent suivre les lois juridiques dans le pays où les crimes correspondants arrivé. Chaque pays a action en justice dans les différents domaine des TI. Certains prennent très au sérieux les règles informatiques, par exemple: Royaume-Uni, en Australie.

3. Toutes les procédures d'expertise ne peut être réalisée après que l'enquêteur a le mandat de perquisition.

Enquêteurs judiciaires seraient normalement regardant le calendrier de la façon dont les crimes qui s'est passé dans les meilleurs délais. Avec cela, nous pouvons produire la scène du crime comment, quand, quoi et pourquoi les crimes pouvait arrivé. Dans une grande entreprise, il est suggéré de créer une équipe médico-légale ou numérique First Responder équipe, afin que l'entreprise pourrait encore conserver la preuve que l'enquêteur légiste venu à la scène du crime.

Règles de première intervention sont les suivants: 1. En aucun cas, quiconque, à l'exception de l'analyste médico-légale, de faire toute tentative de récupérer les informations depuis n'importe quel système informatique ou un dispositif qui détient l'information électronique. 2. Toute tentative de récupérer les données en personne a dit dans le numéro 1, devrait être évitée car elle pourrait compromettre l'intégrité de la preuve, dans lequel est devenu inadmissible en justice légale.

Basé sur des règles, il a déjà expliqué le rôle important d'avoir une équipe de premiers répondants dans une entreprise. La personne non qualifiée ne peut sécuriser le périmètre afin que personne ne peut toucher la scène du crime jusqu'au analyste légiste est venu (Ceci peut être fait en prenant la photo de la scène du crime. Ils peuvent également prendre des notes sur la scène et qui étaient présents à ce moment-là .

Des mesures doivent être prises quand un crime survenu numériques d'une manière professionnelle: 1. Fixez la scène du crime jusqu'à la analyste judiciaire arrivent.

2. Analyste légale doit demander de mandat de perquisition par les autorités locales ou la gestion de l'entreprise.

3. Analyste Forensic faire prendre une photo de la scène du crime, en cas de s'il n'ya pas toutes les photos ont été prises.

4. Si l'ordinateur est toujours allumé, ne pas éteint l'ordinateur. Au lieu de cela, a utilisé un des outils légaux tels que Helix pour obtenir quelques informations qui peuvent être trouvées que lorsque l'ordinateur est toujours allumé, comme les données sur la RAM, et les registres. De tels outils a sa fonction particulière de ne pas écrire n'importe quoi revenir au système afin de l'intégrité séjour d'admission.

5. Une fois que toutes les preuves recueillies en direct est, analyste légiste ne peux pas éteint l'ordinateur et prendre le disque dur de retour au laboratoire médico-légal.

6. Toutes les preuves doivent être documentées, dans lequel la chaîne de possession est utilisé. Chain of Custody tenir des registres sur les preuves, telles que: qui a les preuves pour la dernière fois.

7. Sécuriser les preuves doivent être accompagnés par un agent de police judiciaire telles que comme une formalité.

8. De retour au labo, analyste légale de prendre les preuves afin de créer l'image bit-stream, comme une preuve d'origine ne doit pas être utilisé. Normalement, analyste judiciaire créera 2-5 bit-stream image dans le cas 1 l'image est corrompu. Bien sûr, Chain of Custody encore utilisé dans cette situation de tenir des registres de la preuve.

9. Hash des preuves originales et bit-stream image est créée. Cela agit comme une preuve que la preuve originale et l'image bit-stream est la copie exacte. Ainsi, toute altération de l'image peu se traduira par hachage différent, ce qui rend les preuves trouvées deviennent inadmissibles en cour.

10. Analyste légale commence à trouver des preuves dans l'image bit-stream en regardant attentivement à l'emplacement correspondant dépend de quel genre de crime qui s'est passé. Par exemple: Fichiers Internet temporaires, l'espace Slack, fichier supprimé, les fichiers stéganographie.

11. Chaque éléments de preuve trouvés doivent être hachés ainsi, donc l'intégrité séjour d'admission.

12. Analyste Forensic va créer un rapport, normalement en format PDF.

13. Analyste Forensic renvoyer le rapport à l'entreprise avec les frais.

Source de l'article: http://EzineArticles.com/3742904