Computer forensics è un processo utilizzato per ottenere informazioni da dispositivi digitali quali i computer e dispositivi correlati (ad esempio, unità USB, fotocamere digitali e telefoni cellulari), scatole nere, tag RFID e pagine web. Questo avviene in genere per ottenere la prova per procedimenti giudiziari, ma può anche essere utilizzato per recuperare i dati persi, analizzare gli errori di protezione nel computer compromessi, decodifica hardware e software e ottimizzare le prestazioni di un computer. Ci sono cinque passaggi di base nella computer forensic raccolta.

Preparazione

Gli investigatori forensi di computer sono adeguatamente formati, con formazione specifica relativi al tipo di indagine che stanno conducendo. Oltre alla formazione professionale, l'investigatore sarà consapevole di tutti gli strumenti che saranno necessari e li hanno a portata di mano per l'indagine.

Collezione

Durante il processo di raccolta delle prove digitali, il ricercatore deve garantire che i dati rimangono intatte e inalterate. Per la prova successiva che la prova non sia stato manomesso, egli sarà calcolare e registrare un hash crittografico di un file di prova, da confrontare con l'originale come prova che la prova non è stata modificata. Egli assicurerà ulteriormente l'integrità della prova digitale supporti informatici con uno strumento writeblocking di imaging, stabilendo una catena di custodia e documentare tutto quello fatto all'evidenza. Egli esaminerà la RAM di un computer per prove prima di spegnerla, come alcune prove digitali possono essere conservate solo nella RAM e andranno perse dopo che il computer è spento.

Esame

Durante la fase di esame, l'investigatore verificherà e la presenza e l'integrità della prova originale e di tutte le copie del catalogo.

Analisi

L'investigatore utilizza software specializzato per determinare il tipo di informazioni memorizzate su prova digitale e conduce un'analisi approfondita dei media. Questo include un esame manuale di tutti i materiali presenti sui media, una revisione del registro di Windows, tecniche per craccare le password e recuperare i dati, ricerche di parole chiave protetti ed estrazione di e-mail e immagini per ulteriore revisione.

Reporting

Dopo l'analisi, l'investigatore forense computer prepara e consegna di un report. Potrebbe trattarsi di una relazione scritta o una testimonianza orale. In alcuni casi, lei può preparare una relazione scritta sia un rapporto orale supplementare.