Guide de criminalistique numérique

L'informatique judiciaire ou médico-légales numériques est un terme en informatique pour obtenir des preuves juridiques dans les médias numériques ou de stockage des ordinateurs. Avec enquête médico-légale numérique, l'enquêteur peut trouver ce qui s'est passé dans les médias numériques tels que les e-mails, disque dur, journaux, système informatique, et le réseau lui-même. Dans de nombreux cas, l'enquête médico-légale peut produire la façon dont le crime pourrait arrivé et comment nous pouvons nous protéger contre la prochaine fois.

Quelques raisons pour lesquelles nous avons besoin pour mener une enquête médico-légale:
1. Pour réunir des preuves afin qu'il puisse être utilisé en cour pour résoudre des cas juridiques.
2. Pour analyser notre force du réseau, et pour combler le trou de sécurité avec des patchs et correctifs.
3. Pour récupérer des fichiers supprimés ou des fichiers en cas de panne matérielle ou logicielle

Dans l'informatique judiciaire, les choses les plus importantes qui ont besoin de se rappeler lors de la conduite de l'enquête sont les suivants:

1. La preuve originale ne doit pas être modifiée dans de toute façon, et de faire conduire le processus, enquêteur en médecine légale doivent faire une image bit-stream. Bit-flux de l'image est un peu par copie bit du support de stockage original et la copie exacte des données d'origine. La différence entre une image bit-stream et une copie normale du stockage d'origine est un peu en amont l'image est l'espace de mou dans le stockage. Vous ne trouverez pas toutes les informations d'espace de jeu sur un support de copie.

2. Tous les processus judiciaires doivent respecter les lois juridiques dans le pays correspondant où les crimes qui s'est passé. Chaque pays a le droit costume différent dans le domaine des TI. Certains prennent très au sérieux les règles IT, par exemple: Royaume-Uni, en Australie.

3. Tous les processus judiciaires ne peut être réalisée après que l'enquêteur a le mandat de perquisition.

Enquêteurs judiciaires normalement regardant le calendrier de la façon dont les crimes qui s'est passé dans les meilleurs délais. Avec cela, nous pouvons produire la scène du crime sur la façon dont, quand, quoi et pourquoi les crimes pourrait arrivé. Dans une grande entreprise, il est suggéré de créer une équipe médico-légale ou numérique Première équipe répondeur, de sorte que la société pourrait encore conserver la preuve que l'enquêteur judiciaire venir à la scène du crime.

Règles de première intervention sont les suivants:
1. En aucun cas, devrait-on, à l'exception de l'analyste médico-légale, de faire toute tentative de récupérer les informations depuis n'importe quel système informatique ou un dispositif qui détient l'information électronique.
2. Toute tentative pour récupérer les données par ladite personne dans le numéro 1, devrait être évitée car elle pourrait compromettre l'intégrité de la preuve, dans lequel est devenu irrecevable devant un tribunal judiciaire.

Sur la base de ce que les règles, il a déjà expliqué les rôles importants d'avoir une équipe de First Responder dans une entreprise. La personne non qualifiée ne peut sécuriser le périmètre de telle sorte que personne ne peut toucher la scène du crime jusqu'au analyste médico-légale est venu (Ceci peut être fait en prenant photo de la scène du crime. Ils peuvent également prendre des notes sur la scène et qui étaient présents à ce moment-là .

Des mesures doivent être prises quand un des crimes numériques s'est produite d'une manière professionnelle:
1. Fixez la scène du crime jusqu'à ce que l'analyste médico-légal arrivent.

2. Analyste légale doit demander le mandat de perquisition auprès des autorités locales ou la gestion entreprise.

3. Analyste Forensic faire prendre une photo de la scène du crime, en cas de s'il n'y a pas de photos a été prise.

4. Si l'ordinateur est toujours allumé, ne pas éteint l'ordinateur. Au lieu de cela, utilisé un des outils médico-légaux tels que Helix pour obtenir des informations qui peuvent être trouvées que lorsque l'ordinateur est toujours sous tension, tels que des données sur mémoire vive, et les registres. Ces outils a sa fonction spéciale que de ne rien écrire de nouveau au système afin de l'intégrité rester apport.

5. Une fois que toutes les preuves sont recueillies en direct, dévers analyste médico-légale éteint l'ordinateur et de prendre le disque dur de retour au laboratoire médico-légal.

6. Toutes les preuves doivent être documentées, dans lequel la chaîne de responsabilité est utilisé. Chain of Custody tenir des registres sur les éléments de preuve, tels que: qui a la preuve pour la dernière fois.

7. Sécurisation de la preuve doit être accompagné par un agent juridique tel que la police comme une formalité.

8. De retour au labo, analyste médico-légale de recueillir le témoignage de créer bit-stream image, comme une preuve d'origine ne doit pas être utilisé. Normalement, analyste judiciaire créera 2-5 bit-stream image dans le cas 1 image est corrompu. Bien sûr, Chain of Custody encore utilisé dans cette situation de tenir des registres de la preuve.

9. Hash de la preuve d'origine et flux de bits d'image est créé. Cela agit comme une preuve que la preuve originale et l'image binaire est la copie exacte. Donc, toute altération de l'image peu se traduira par hachage différent, ce qui rend les évidences trouvées deviennent inadmissibles en cour.

10. Analyste légale commence à trouver des preuves dans l'image bit-stream par regarder attentivement à l'emplacement correspondant dépend de quel genre de crime qui s'est passé. Par exemple: Temporary Internet Files, espace Slack, les fichiers supprimés, les fichiers de stéganographie.

11. Chaque éléments de preuve trouvés doivent être hachés ainsi, si l'apport séjour intégrité.

12. Analyste Forensic créer un rapport, normalement en format PDF.

13. Analyste légale renvoyer le rapport à la société ainsi que les frais....