Informática Forense Colección Pasos y Procedimientos

September 24

forense es un proceso utilizado para obtener información de los dispositivos digitales, tales como ordenadores y dispositivos relacionados (tales como unidades USB, cámaras digitales y teléfonos celulares), así como cajas negras, etiquetas RFID y páginas web. Esto se hace normalmente para obtener pruebas para los procedimientos legales, pero también se puede utilizar para recuperar datos perdidos, analizar los fallos de seguridad en las computadoras comprometidas, realizar ingeniería inversa de hardware y software y optimizar el rendimiento de una computadora. Hay cinco pasos básicos en la colección de informática forense.

Preparación

los investigadores forenses informáticos están debidamente capacitados, con formación específica relacionada con el tipo de investigación que se están llevando a cabo. Además de la educación y la formación, el investigador estará al tanto de todas las herramientas que serán necesarias, y tenerlos a mano para la investigación.

Colección

Durante el proceso de recolección de evidencia digital, el investigador se asegurará de que los datos permanecen intactos y sin alteraciones. Para la prueba después de que las pruebas no ha sido manipulado, que va a calcular y registrar un hash criptográfico de un expediente de prueba, para ser comparado con el original como prueba de que la evidencia no ha sido modificado. Él va a asegurar aún más la integridad de la evidencia digital por imágenes de los medios de comunicación del ordenador con una herramienta writeblocking, estableciendo una cadena de custodia y la documentación de todo lo hecho a la evidencia. Se examinará la memoria RAM de un ordenador para pruebas antes de apagarla, como alguna evidencia digital puede almacenarse solamente en la memoria RAM y se pierde después de que el ordenador está apagado.

Examen

Durante la etapa de exploración, el investigador verificará y catalogar la presencia y la integridad de las pruebas originales y las copias.

Análisis

El investigador utiliza un software especializado para determinar el tipo de información almacenada en la evidencia digital, y lleva a cabo un análisis exhaustivo de los medios de comunicación. Esto incluye una revisión manual de todos los materiales que se encuentran en los medios de comunicación, una revisión del registro de Windows, técnicas para descifrar contraseñas protegidas y recuperar datos, búsquedas de palabras clave y extracción de correo electrónico e imágenes para su posterior revisión.

informes

Después del análisis, el investigador forense prepara y entrega un informe. Esto puede ser un informe escrito o un testimonio oral. En algunos casos, se puede preparar tanto un informe escrito y un informe oral suplementario.