Preserve la evidencia en la escena. Si la verificación forense en la escena o que están trabajando en un sistema que ha sido enviado al laboratorio, documentar la condición del sistema . Fotografiar la pantalla del ordenador si hay recuperación de la evidencia en la escena y el sistema está funcionando . Documentar el sistema con fotografías , incluyendo la marca, modelo y el estado del sistema . Utilice bloqueadores de escritura , un dispositivo de adquisición de información en las unidades sin dañar los datos , y la imagen del sistema, imagen de disco utilizando para su posterior análisis . De imagen del sistema requiere el uso de software especializado para hacer una copia exacta del sistema . Crear un archivo de hash del sistema también . Un archivo de hash se utiliza para mostrar que el equipo no ha sido alterado.
Analizar las pruebas
Realice una búsqueda por palabras clave en todo el sistema. Una búsqueda por palabra clave puede ser ejecutado mientras que otras tareas se llevan a cabo en el sistema . Si está ejecutando un análisis directo , compruebe la CMOS sistemas o semiconductores de óxido metálico complementario, la configuración para asegurarse de que el sistema está configurado para arrancar desde un disco o un disco de arranque forense. Observe qué dispositivo el sistema está configurado para arrancar primero . Además , tenga en cuenta el tiempo en el reloj del sistema. Si el reloj del sistema es diferente que el tiempo real , tenga en cuenta esto en el informe.
Examine la estructura de archivos y carpetas , y tenga en cuenta lo que la plataforma del sistema se ejecuta, como Linux o Windows . Localizar y copiar todos los archivos de registro. Los archivos de registro grabar acciones tomadas por los usuarios y todos los sitios que se visitaron . Localizar y extraer archivos de cola de impresión temporales. Estos archivos contienen información sobre los documentos que se envían a la impresora .
Copia cifrada o archivar archivos . Cualquier cosa con un . Zip , por ejemplo, debe ser descomprimido y visto . Los archivos cifrados se necesita una herramienta de cifrado que desea ver. Lleve a cabo un examen de los archivos de Internet , archivos de la papelera de reciclaje y los archivos de registro. El Registro contiene información sobre la configuración de sistemas. Es importante tener en cuenta que una persona puede cambiar el registro mediante regedit.exe . Completar el análisis con otro archivo de hash y garantizar que la suma de hash desde el principio del análisis y la realización de análisis del partido .
Reporte de un caso completo
Escribe un informe de los resultados de la comprobación del sistema en un informe aprobado. Copie todos los archivos de resultados a un archivo de datos y copiar en un disco compacto o un subdirectorio para el caso . Tenga en cuenta los valores de hash en sus notas. Listar archivos de prueba en el caso. Siempre volver a leer su informe antes de presentarlo .