Acasă / Examinarea criminalistică a hard disk-ului

Examinarea criminalistică a hard disk-ului

Primary tabs

Submitted by nicolae on Sâm, 10/10/2009 - 10:02
Română
Societate: 
Justiţie
Tags: 
programe
stocare
teste
fişiere
investigare
condiţii
Imaginea
examinarea criminalistică
hard disk
anti-virus
CMOS
ceasul intern
datele de bootare
Calculatoare: 
Calculatoare

Hard disk drive

  1. Sunt stabilite condiţii sterile din punct de vedere criminalistic. Toate mediile de stocare folosite în timpul procesului de examinare sunt pregătite recent, curăţite de date neesenţiale, verificate anti-virus şi testate înainte de utilizare;
     
  2. Toate programele informatice folosite au licenţă ăşi pot fi folosite de instituţia respectivă;
     
  3. Sistemul informatic original este examinat fizic. Se realizează o descriere a hardware-ului care este înregistrată. Se comentează orice element ieşit din comun întâlnit în timpul examinării fizice a sistemului informatic.
     
  4. Sunt luate toate precauţiunile în timpul copierii sau accesului la mediile de stocare originale în scopul de a preveni transferul de viruşi, programe distructive sau orice alte conţinuturi inadvertente de pe/pe mediile de stocare originale. Se recunoaşte faptul că datorită limitărilor hardware şi ale sistemelor de operare acest lucru nu este tot timpul posibil;
     
  5. Sunt verificate conţinutul CMOS şi ceasul intern, iar corectitudinea datei şi orei este înregistrată. Data şi ora ceasului intern este în mod frecvent importantă ăîn stabilirea datei şi orei creării sau modificării unor fişiere.
     
  6. În mod normal, mediile de stocare originale nu sunt folosite în investigare. O copie identică ăsau o imagine fidelă ăa mediului de stocare original va fi realizată. Această copie sau imagine va fi folosită pentru examinarea propriu-zisă. Va fi înregistrată o descriere detaliată a procesului de creare a copiei sau imaginii.
     
  7. Copia sau imaginea hard-disk-ului original va fi examinatăşi o descriere a ceea ce s-a observat va fi înregistrată.
     
  8. Datele de boot-are precum şi fişierele de comandă operaţionale şi de configurare a sistemului, definite de utilizator (cum ar fi CONFIG. SYS sau AUTOEXEC.BAT) sunt examinate şi o descriere a ceea ce s-a observat va fi înregistrată.
     
  9. Toate fişierele şterse care mai pot fi recuperate vor fi salvate. Atunci când este util sau posibil, primul caracter al fişierelor recuperate va fi modificat din HEX E5 în „-„ sau în alt caracter unic, în scop de identificare.
     
  10. Se realizează, în mod normal, o listare a tuturor fişierelor conţinute de mediul de stocare examinat, indiferent dacă acestea conţin sau nu potenţiale probe.
     
  11. Dacă este cazul, spaţiul nealocat este examinat pentru identificarea de date ascunse sau pierdute.
     
  12. Dacă este cazul, spaţiul inactiv corespunzător fiecărui fişier este examinat pentru identificarea de date ascunse sau pierdute.
     
  13. Se examinează conţinutul fiecărui fişier de date din directoarele rădăcinăşi fiecare sub-director (dacă este cazul).
     
  14. Fişierele protejate cu parolă sunt deblocate şi examinate.
     
  15. Se realizează o imprimare sau o copie a tot ceea ce aparent constituie probe. Fişierul sau locaţia de unde aceste posibile probe au fost obţinute este notat(ă) pe fiecare foaie imprimată. Toate probele sunt marcate, numerotate în ordine şi asigurate şi transmise în mod corespunzător.
     
  16. Programele executabile de interes specific vor fi examinate. Fişierele de date ale utilizatorului care nu au putut fi accesate prin alte mijloace vor fi examinate folosind aplicaţia implicită.
     
  17. Comentariile şi concluziile vor fi documentate în mod corespunzător.

(Ghid MCTI)

Adaugă comentariu nou