August 29
Computer forensics su computer portatili presentano temi impegnativi della conservazione dei dati, efficienza e precisione. investigatori forensi possono raccogliere un sacco di informazioni utente da questi dispositivi portatili, perché spesso il bersaglio li utilizza per condurre affari in modo rapido e on-the-fly, pur non lasciando il tempo per cancellare tracce o crittografare i dati. La maggior parte l'analisi forense dei computer portatili è fatto in linea (su un sistema che è alimentato giù) piuttosto che su un sistema live, in quanto gli utenti tendono a spegnere i computer portatili dopo l'uso. La maggior parte degli stessi principi di computer forensics si applicano alle indagini computer portatile, con la sfida aggiunto di lavorare con parti interne portatili più piccole e più.
1 Correttamente classificare il sistema di destinazione e dispositivi rimovibili. Efficace computer di analisi forense dipende corretta tenuta dei registri. Descrivere con precisione la scena in cui è stato trovato il computer portatile e la condizione del computer portatile bersaglio era quando è stato rimosso dalla scena. Qualsiasi prova fisica, come le impronte digitali e il DNA, devono essere raccolti dalla macchina prima di analisi per garantire l'affidabilità forense. Oltre alla corretta raccolta, categorizzare ed esaminando le prove, stabilire una catena di custodia per tutte le prove tangibili. Ciò fornisce una sequenza tracciabile di esaminatori forensi che sono responsabili per la sicurezza e la purezza di sistemi di destinazione, come ad esempio i computer portatili.
2 Estrarre il disco rigido di destinazione e dispositivi rimovibili dal sistema alimentato-off. Rimuovere l'unità con attenzione, garantendo senza parti sono danneggiati dall'elettricità statica o forza fisica. Estrarre solo il supporto necessario (hard disk, CD-ROM, USB / unità flash), preservando il più del sistema di destinazione il più possibile nella sua forma originale. Posizionare il supporto rimovibile su una workstation privo di elettricità statica lontano da polvere o altri contaminanti e collegare i cavi appropriati per il sistema host e di destinazione dei media per copia dei dati.
3 Creare una copia bit per bit dei dati di destinazione. Utilizzando un'utilità come dd (dumper dati) o netcat, copiare attentamente i dati da parte dei media di accoglienza ad una forense pulito (cancellato e azzerato) medio per l'analisi. Verificare che il checksum unico del bersaglio e abbinare i dati copiati eseguendo un'utilità come md5sum o sha1sum. Dopo aver verificato le impronte digitali uniche della partita di dati esattamente, inserire il supporto originale di nuovo nel sistema di destinazione e sicuro per la conservazione.
4 Eseguire pattern-matching e di altri strumenti di rilevazione forense basati su software sulla copia di destinazione. Poiché la copia dei dati di destinazione corrisponde ai dati host bit per bit, ogni analisi condotta sulla copia è altrettanto efficace come sarebbe sull'originale. Eseguire il pattern matching programmi, come i meccanismi di grep o di estrazione dei file come bisturi per trovare e analizzare i dati di interesse.