Computer Forensics est une science concernée par la collecte et l'analyse des preuves numériques . Cette preuve peut prendre plusieurs formes et son analyse a de nombreuses utilisations . Preuves numériques se trouve dans l'ordinateur lui-même , au sein du réseau et au sein de divers types de dispositifs de stockage (par exemple , les lecteurs USB , lecteurs de dlash , CD- ROM, DVD ) . L'analyse de ces types d'éléments de preuve numérique est utilisée dans les affaires judiciaires - à la fois pénale et domestique - et au sein des entreprises de surveiller l'utilisation des ressources . En dépit des diverses applications de l'informatique judiciaire , les techniques actuelles employées sont presque identiques . Techniques

informatique judiciaire , comme toute science , suit un modèle d'analyse. Les données sont recueillies de manière objective , les données sont analysées (mais conservé) et un rapport d'observations est préparé qui documente la façon dont les données ont été recueillies, comment il a été analysé et les détails toutes les conclusions . La tendance constante primaire dans ce type de collecte de données et d'analyse , c'est que les données sont conservées . Mettez scientifiquement , les résultats peuvent être dupliqués .

Afin de s'assurer que les données conserve son intégrité , il est essentiel qu'elle soit recueillie de façon nonobtrusive . Il existe différents programmes qui existent pour cela, mais de nombreux systèmes vont permettre à un autre ordinateur pour être connecté à elle et les fichiers copiés. Ce ne sera toutefois pas toujours copier des fichiers supprimés, les fichiers de registre ou des fichiers de l'histoire, qui tous sont cruciaux pour la criminalistique informatique . Cependant, il se peut qu'une analyse complète -out n'est pas nécessaire et un simple Connect-and- copie pourrait être suffisante .

Lors de l'exécution de l'informatique judiciaire , ou d'embaucher quelqu'un pour cette question , il est important de clarifier les objectifs . Peut-être qu'il ya une certaine série de courriels ou d'un fichier qui a été téléchargé , quel qu'il soit, il peut tout simplement pas exiger que les heures de recherche généralement effectuées dans la criminalistique informatique . En fait , le plus grand obstacle à une heure criminalistique informatique analyste n'est pas les données , la plupart des gens ne cryptent leurs ordinateurs. Le plus grand obstacle est l'ampleur des disques durs d' ordinateurs d'aujourd'hui et le temps nécessaires à l'analyse que beaucoup de mémoire. En outre, la plupart des données utilisées dans les affaires judiciaires n'est pas le type qui est évident en imprimant simplement une liste de fichiers sur un disque dur ; . Beaucoup plus souvent , l'information est cachée ou masquée en quelque sorte

exemples des techniques de l'informatique judiciaire inclure :

- quels utilisateurs sont connectés in.w > /data /w.txt

cours processes.ps - auwx > /data /ps.txt < br >

- ports ouverts et à l'écoute processes.netstat -ANP > /data /netstat.txt

- Informations sur toutes les interfaces ( PROMISC ? ) ifconfig-a > /data /Network.txt < . br>

- Liste de tous les fichiers dont le temps d'accès , temps de changement d' inode et modification time.ls - alRu /> /données /fichiers - atime.txtls - ALRC /> /data /fichiers - ctime.txtls - ALR /> /données /fichiers - mtime.txt

- . histoire de coup de pied ( et d'autres utilisateurs) cat /root /.bash_history > /data /roothistory.txt

- Dernier connexions à la system.last > /data /last.txt

- vérification de base des journaux d'accès à la recherche de l'accès à directories.cat tmp /* /access_log