Forensic Toolkit - o que está nele?

No mundo da forense digital, o investigador bem preparado precisa de um kit de ferramentas forenses. As ferramentas que esta pessoa vai usar vai ajudar a ele ou ela reunir provas do crime de colarinho branco ou fraude, documentar a evidência da ocorrência, e, talvez, o lugar que o investigador no banco das testemunhas para depoimento de um especialista no que processos legais nunca saem de o processo. As ferramentas utilizadas por esses pesquisadores são principalmente ferramentas de software, apesar de existirem algumas considerações de hardware também.

O kit de ferramentas básicas de informática forense provavelmente será contida em um CD ou DVD e ser apresentado principalmente em um formato de processamento de texto. Qualquer computador investigação forense produz uma quantidade gigantesca de papelada, já que o objetivo da investigação é documentar absolutamente tudo o que for encontrado. Estes kit de ferramentas CD são projetados para fornecer o investigador com formas experimentadas e verdadeiras e modelos que permitam ao investigador para documentar tudo o que for encontrado. Eles também servem como uma lista de verificação eficaz para ajudar a equipe de investigação para garantir que nenhum passo é perdido e que tudo é feito na ordem correta.

Outro componente importante do kit de ferramentas serão modelos e ferramentas para auxiliar na apresentação das conclusões do inquérito à gestão. É vital que todos os resultados sejam divulgados de forma que é profissional, imparcial, completa e cientificamente sólida. Este é o produto final da investigação, e que vê a gestão como sendo o que paga os pesquisadores que realmente fazer. Este relatório também pode acabar sendo a base (e anexos) dos processos judiciais que possam surgir do processo, por isso é vital que estes relatórios e apresentações sejam precisas, claras e totalmente alinhada com a lei.

A ferramenta de software principal não que é usado em um computador forense kit de ferramentas é um dispositivo de imagem. Fazer uma imagem exata do disco rígido (ou outro meio de armazenamento) do computador é o passo inicial mais comum na captura de dados. É absolutamente necessário que uma cópia "limpa" da memória do computador e os dados armazenados estar no lugar, de modo que os pesquisadores têm certeza de que estão olhando e analisando os dados no mesmo padrão precisa em que ocorre no computador em questão . Existem muitas marcas de dispositivo disponível, e todos eles têm a mesma função básica.

Primeiro, estes dispositivos devem fazer uma cópia exata dos dados. Em segundo lugar, a realizar a cópia normalmente ao nível dos sectores do disco como um processo de fluxo de bits (em oposição a um simples processo de cópia de arquivo). Este método faz uma cópia mais completa e precisa dos dados, o que, por sua vez, permite uma análise mais aprofundada e precisa. Fonte: Accrcomputerforencics pontocom, Louis Zhang...