Computer εγκληματολογίας , όπως κάθε επιστήμη , ακολουθεί ένα πρότυπο ανάλυσης . Τα δεδομένα συγκεντρώνονται αντικειμενικά , τα δεδομένα αναλύονται ( αλλά κονσέρβες ) και την έκθεση των ευρημάτων είναι προετοιμασμένοι ότι τα έγγραφα πώς συγκεντρώθηκαν τα δεδομένα , πώς αναλύθηκε και λεπτομέρειες όλα τα ευρήματα . Ο πρωταρχικός σταθερή τάση σε αυτό το είδος της συλλογής δεδομένων και της ανάλυσης είναι ότι τα δεδομένα θα διατηρηθεί. Βάλτε επιστημονικά , τα αποτελέσματα μπορούν να αναπαραχθούν .
Προκειμένου να διασφαλιστεί ότι τα δεδομένα διατηρεί την ακεραιότητά του , είναι πολύ σημαντικό ότι πρέπει να συγκεντρωθούν σε ένα nonobtrusive τρόπο . Υπάρχουν διάφορα προγράμματα που υπάρχουν για αυτό, αλλά πολλά συστήματα θα επιτρέψει έναν άλλο υπολογιστή για να συνδεθεί με αυτό και αρχεία αντιγράφονται . Αυτό δεν θα ωστόσο, να αντιγράφετε πάντα τα διαγραμμένα αρχεία , αρχεία μητρώου ή τα αρχεία της ιστορίας , τα οποία είναι ζωτικής σημασίας για την εγκληματολογίας υπολογιστή . Ωστόσο , μπορεί να είναι ότι μια πλήρης ανάλυση -out δεν είναι απαραίτητη και μια απλή σύνδεση και - αντίγραφο θα μπορούσε να είναι επαρκής .
Κατά την εκτέλεση εγκληματολογίας υπολογιστή , ή μίσθωση κάποιος για εκείνο το θέμα , είναι σημαντικό να αποσαφηνίσει τους στόχους . Ίσως να είναι μια συγκεκριμένη σειρά από μηνύματα ηλεκτρονικού ταχυδρομείου ή ένα αρχείο που είχε κατεβάσει ? Ό, τι είναι , απλά δεν μπορεί να απαιτήσει από τις ώρες της έρευνας συνήθως πραγματοποιείται στις ιατροδικαστικές υπολογιστών . Στην πραγματικότητα , το μεγαλύτερο χρονικό διάστημα εμπόδιο για έναν αναλυτή εγκληματολογίας υπολογιστή δεν είναι τα δεδομένα ? Οι περισσότεροι άνθρωποι ποτέ δεν την κρυπτογράφηση των ηλεκτρονικών υπολογιστών τους . Το μεγαλύτερο εμπόδιο είναι το ίδιο το μέγεθος των σκληρών δίσκων των υπολογιστών σήμερα και το χρόνο που συμμετέχουν στην ανάλυση ότι το μέγεθος της μνήμης . Επιπλέον , τα περισσότερα από τα δεδομένα που χρησιμοποιούνται σε δικαστικές υποθέσεις , δεν είναι ο τύπος που είναι προφανές από την απλή εκτύπωση μια λίστα των αρχείων σε έναν σκληρό δίσκο ? Πολύ πιο συχνά , οι πληροφορίες είναι κρυφό ή κρύβονται κατά κάποιο τρόπο
παραδείγματα . του υπολογιστή εγκληματολογικές τεχνικές περιλαμβάνουν :
- Ποια χρήστες είναι συνδεδεμένοι in.w > /data /w.txt
Τρέξιμο processes.ps - auwx > /data /ps.txt
- Λιμάνια ανοικτή και ακούγοντας processes.netstat - ΑΝΡ > /data /netstat.txt
- . Πληροφορίες για όλες τις διεπαφές ( ? promisc ) ifconfig - a> /data /network.txt
- Λίστα όλων των αρχείων με το χρόνο πρόσβασης , ο χρόνος αλλαγής inode και τροποποίηση time.ls - alRu /> /δεδομένων /αρχείων- atime.txtls - alRc /> /δεδομένων /αρχείων- ctime.txtls - alR /> /δεδομένων /αρχείων- mtime.txt
- . ιστορία Bash της ρίζας ( και άλλους χρήστες) cat /root /.bash_history > /data /roothistory.txt
- Τελευταία συνδέσεις με την system.last > /data /last.txt
- Βασικός Έλεγχος των αρχείων καταγραφής πρόσβασης αναζητούν πρόσβαση tmp directories.cat /* /access_log
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα