Ciência da Computação Forense

Computação forense é a aplicação de métodos científicos para a mídia digital, a fim de estabelecer a informação factual para revisão judicial. O processo envolve muitas vezes a investigar sistemas de computador para determinar se eles são ou foram, utilizados para atividades ilegais ou não autorizados. Principalmente, especialistas em computação forense investigar dispositivos de armazenamento de dados, quer fixas, como discos rígidos ou removíveis, como CDs e dispositivos de estado sólido. Especialistas em computação forense identificar fontes de documentos ou outras evidências digitais, preservar as provas, analisar e apresentar os resultados.

Computação forense é feito de uma forma que adere aos padrões de evidência de que são admissíveis em qualquer tribunal. É absolutamente vital para a equipe forense para ter uma compreensão sólida do nível de sofisticação do suspeito (s). Se a informação disponível é insuficiente para formar essa opinião, os suspeitos devem ser considerados especialistas, e presume-se ter instalado contramedidas contra as técnicas forenses. Devido a isso, é fundamental que o equipamento é tão indistinguível quanto possível de seus usuários normais até que você desligá-lo completamente, seja de uma forma que proíbe a máquina modificando as unidades, ou no exatamente da mesma maneira que o fariam.

Se o equipamento contém apenas uma pequena quantidade de dados críticos no disco rígido, o software pode ser instalado, a fim de acabar com os dados de forma permanente e rapidamente se uma determinada ação acontece, a partir daí, a máquina está ajustado para desligar após a exclusão do arquivo ter terminado. No entanto, basta "puxar a ficha" nem sempre é uma ótima idéia, como quer informações armazenadas apenas na memória RAM ou em periféricos especiais, podem ser perdidos para sempre. Perder uma chave de criptografia armazenadas exclusivamente no carneiro, e possivelmente desconhecida até mesmo para os próprios suspeitos, em virtude de ter sido gerado automaticamente, pode render uma grande quantidade de dados no disco rígido / dirige inutilizável, ou pelo menos pode levar a um extremamente caro e demorado caso de se recuperar.

Como qualquer outra peça de evidência utilizado em qualquer caso, a informação gerada como um resultado da investigação forense devem seguir as normas de prova admissíveis. Cuidados especiais devem ser tomados ao manusear arquivos de um suspeito; perigos para as provas incluem vírus, danos eletromagnética ou mecânica, e até mesmo armadilhas. Há um grupo de regras fundamentais que devem ser observadas, a fim de assegurar que a evidência não é destruída ou comprometida, tal como a manipulação da evidência original tão pouco quanto possível para evitar a alteração de dados, estabelecer e manter a cadeia de custódia, documentando tudo feito e nunca superior a conhecimento pessoal.

Se essas medidas não forem seguidas, os dados originais podem ter mudado, arruinado ou tornar-se contaminado, e assim todos os resultados gerados serão desafiados e não pode realizar-se em um tribunal de direito. Outras coisas a ter em consideração é o tempo que as operações de negócios estão incomodados com sensibilidade e como a informação que é descoberto acidentalmente serão tratadas. Em qualquer investigação em que o proprietário das evidências digitais não deu consentimento para que media seus examinados - como na maioria dos casos criminais - cuidados especiais devem ser tomados para garantir que você como um especialista forense tem autoridade legal para aproveitar, imagem, e examinar cada dispositivo. Além disso, depois de ter o caso para fora do campo, o examinador pode encontrar a si mesmo no lado errado de uma ação bolada civil. Como regra geral, se não se tem certeza de uma parte específica dos meios de comunicação, não se deve examiná-lo. Amadoras examinadores forenses deve manter isso em mente, antes de iniciar qualquer investigação não autorizada....