forense , como cualquier ciencia , sigue un patrón de análisis. Los datos se recopilan objetivamente , se analizan los datos (pero conserva ) y un informe de los hallazgos se prepara que documenta cómo se reunieron los datos, la forma en que se analizó y los detalles de todos los hallazgos . La tendencia constante principal en ese tipo de recolección de datos y el análisis es que se conservan los datos . Pon científica , los resultados pueden ser duplicados .
Con el fin de garantizar que los datos mantiene su integridad , es crucial que se reunió de manera nonobtrusive . Existen diferentes programas que existen para esto, pero muchos sistemas permitirán a otro equipo que se conecta a la misma y los archivos a copiar. Esta voluntad no obstante , siempre es copiar los archivos borrados , archivos de registro o archivos de la historia, todos los cuales son cruciales para la informática forense . Sin embargo , puede ser que no se requiere un análisis completo de salida y un sencillo de conectar y copia podría ser suficiente .
Al realizar la informática forense , o contratar a alguien para el caso, es importante aclarar los objetivos . Tal vez se trata de una cierta serie de mensajes de correo electrónico o un archivo que se ha descargado , sea lo que sea , simplemente no podrá exigir la hora de la investigación por lo general llevan a cabo en la informática forense . De hecho , el mayor obstáculo tiempo para un analista de computación forense no es la de datos , la mayoría de la gente nunca cifrar sus ordenadores . El obstáculo más grande es el tamaño de los discos duros de las computadoras de hoy y el tiempo empleado en el análisis de esta cantidad de memoria . Además, la mayoría de los datos utilizados en los juicios no es el tipo que es obvio , simplemente imprimiendo una lista de archivos en el disco duro ; . Con mucha más frecuencia , la información se oculta o se oculta de alguna manera
Ejemplos de las técnicas de informática forense son:
- ¿Qué usuarios se registran in.w > /data /w.txt
servicio processes.ps - auwx > /data /ps.txt
- Puertos abiertos y escuchando processes.netstat - anp > /data /netstat.txt
- Información sobre todas las interfaces ( PROMISC ? ) ifconfig -a > /data /Network.txt < . br>
- Lista de todos los archivos con el tiempo de acceso , tiempo de cambio de inodo y modificación time.ls Alru -/> /datos /archivos - atime.txtls - ALRC /> /data /archivos - ctime.txtls - ALR /> /datos /archivos - mtime.txt
- . historia Bash de la raíz (y otros usuarios) cat /root /.bash_history > /data /roothistory.txt
- Última logins al system.last > /data /last.txt
- Control básico de acceder a los registros en busca de acceso a directories.cat tmp /* /access_log