Médecines légales d\'ordinateur

orensicScience La définition simple du

des médecines légales d'ordinateur de le … est l'art et la science de l'application de l'informatique pour faciliter le processus légal. Bien que l'abondance de la science soit attribuable aux médecines légales d'ordinateur, la plupart des investigateurs réussis possèdent un nez pour des investigations et pour résoudre des puzzles, qui est où l'art entre. Brown, collection d'évidence d'ordinateur et conservation, 2006

ainsi, elle est plus que l'inspection technologique et systématique du système informatique et de son contenu pour l'évidence ou l'évidence de support d'un mal civil ou d'un acte criminel. Les médecines légales d'ordinateur exigent l'expertise spécialisée et les outils au-dessus dont va et au delà des techniques normales de collecte et de conservation de données disponibles aux utilisateurs ou au personnel de soutien de système. Une définition est analogue au " ; Le rétablissement probatoire électronique, connu également comme e-découverte, exige les outils et la connaissance appropriés de répondre aux critères de la cour, tandis que les médecines légales d'ordinateur sont simplement l'application des techniques de recherche et d'analyse d'ordinateur dans l'intérêt de déterminer evidence." légal potentiel ; Un autre est " ; un processus pour répondre à des questions au sujet des états et de l'events" numériques ;. Ce processus implique souvent les systèmes informatiques de recherche et d'examen, incluant, mais non limité au par acquisition de données qui réside sur les médias dans l'ordinateur. L'examinateur légal rend une opinion, basée sur l'examen du matériel qui a été récupéré. Après le rendu d'une opinion et d'un rapport, pour déterminer s'ils sont ou pour avoir été employé pour des activités criminelles, civiles ou non autorisées. La plupart du temps, les experts légiste d'ordinateur étudient des dispositifs de stockage de données, ceux-ci incluent mais ne sont pas limités aux unités de disque dur, dispositifs de données portatifs (commandes d'USB, commandes externes, commandes de micro et beaucoup plus). Experts légiste d'ordinateur :

identifient des sources documentaire ou toute autre évidence numérique du .

Préserver l'évidence.

Analyser l'évidence.

Présenter les résultats. Des médecines légales d'ordinateur sont faites d'une mode qui adhère aux normes de de l'évidence qui sont admissibles à un Tribunal . Ainsi, les médecines légales d'ordinateur doivent être techno-légales en nature plutôt que purement techniques ou purement légales. Se référer au recherchant et saisissant des ordinateurs et obtenant l'évidence électronique dans les enquêtes criminelles pour le ministère de la justice des USA de des conditions pour l'ordinateur Forensices et traitement électronique de d'évidence.

Comprendre les suspects

Il est absolument essentiel pour les médecines légales team pour avoir un arrangement plein du niveau de la sophistication des suspects. Si l'information insuffisante est disponible pour former cette opinion, le de suspects doit être considéré les experts , et devrait être présumé d'avoir installé des contre-mesures contre des techniques légales. Pour cette raison, il est critique que l'examinateur semblent à l'équipement être aussi indistinguible comme possible de ses utilisateurs normaux jusqu'à ce que vous l'ayez fermé complètement, l'un ou l'autre en quelque sorte qui interdisent probablement la machine modifiant les commandes, ou exactement de la même manière elles.

Si l'équipement contient seulement un peu de données critiques sur l'unité de disque dur, par exemple, le logiciel existe pour l'essuyer de manière permanente et rapidement si une action donnée se produit. Il est franc pour lier ceci au " de Microsoft Windows ; Shutdown" ; commande, par exemple. Cependant, simplement " ; traction du plug" ; n'est pas toujours une grande idée, l'une ou l'autre-- l'information stockée seulement dans le RAM , ou sur les périphériques spéciaux, peut être de manière permanente perdue. La perte d'une clef de chiffrage stockée seulement dans la mémoire à accès sélectif, et probablement inconnu même aux suspects eux-mêmes en vertu d'avoir été automatiquement produit, peut rendre beaucoup de données sur les unités de disque dur inutilisables, ou au moins extrêmement cher et long pour récupérer.

Considérations électroniques d'évidence

L'évidence électronique peut être rassemblée d'une série de sources. Dans le réseau d'une compagnie, démontrer sera trouvé sous n'importe quelle forme de la technologie qui peut être employée pour transmettre ou stocker des données. L'évidence devrait être rassemblée par trois parts du réseau d'un contrevenant : au poste de travail du contrevenant, sur le serveur accédé par le contrevenant , et sur le réseau qui relie les deux. Les investigateurs peuvent donc employer trois sources différentes pour confirmer le origine de s de données le '.

Comme n'importe quelle autre preuve utilisée dans un cas, l'information produite comme résultat d'une recherche de médecines légales d'ordinateur doit suivre les normes de de l'évidence admissible . Le soin spécial doit être pris en manipulant les dossiers d'un suspect ; les dangers à l'évidence incluent les virus , le électromagnétique ou les dommages mécaniques, et même le piège . Il y a une poignée de règles cardinales qui sont employées pour s'assurer que l'évidence n'est pas détruite ou n'est pas compromise : Employer seulement les outils et les méthodes qui ont été examinés et évalués pour valider leur exactitude et sérieux. Afin de vérifier qu'un outil est légal sain, l'outil devrait être examiné dans un faux examen légal pour vérifier l'exécution de l'outil. Il y a des organismes gouvernementaux tels que l'institut de crime de Cyber de la défense qui acceptent des demandes d'examiner les outils légaux numériques spécifiques et les méthodes pour les administrations nationales, les organismes de police, ou les fournisseurs des produits légaux numériques à aucun coût au demandeur. Manipuler l'évidence originale le moins possible pour éviter de changer les données.

Établir et maintenir la chaîne de la garde.

Document tout fait.

Ne jamais dépasser la connaissance personnelle. Si de telles étapes ne sont pas suivies les données originales peuvent être changées, ruinées ou devenues corrompues, et ainsi tous les résultats produits seront contestés et peuvent ne pas supporter à un Tribunal . D'autres choses à prendre en compte sont : Le temps que des opérations commerciales sont gênées.

Comment les informations sensibles qui sont involontairement découvertes seront traitées. Dans n'importe quelle recherche dans laquelle le propriétaire de l'évidence numérique n'a pas donné le consentement pour avoir ses médias ont examiné - comme dans des la plupart des affaires pénales - le soin spécial doivent être pris pour s'assurer que vous car le spécialiste légal ont l'autorité légale à saisir, image, et examinent chaque dispositif. Sans compter qu'avoir le cas jeté hors de la cour, l'examinateur peut se trouver sur la fin fausse d'un procès civil lourd. En règle générale, si vous n'êtes pas sûr au sujet d'un morceau spécifique de médias, ne pas l'examiner. Les examinateurs légaux d'amateur devraient maintenir ceci dans l'esprit avant de commencer n'importe quelle recherche non autorisée.

Une partie d'information la plus valable obtenue au cours d'un examen légal viendra de l'utilisateur d'ordinateur elles-mêmes. Selon des lois applicables, statuts, politiques d'organisation, et d'autres règlements applicables, une entrevue de l'utilisateur d'ordinateur peut souvent rapporter l'information de valeur inestimable concernant la configuration de système, les applications, et la la plupart des méthodologie et clefs importantes, de logiciel ou de matériel de chiffrage utilisées avec l'ordinateur. L'analyse légale peut devenir exponentiellement plus facile quand des analystes font utiliser des passphrase par les dossiers ou les récipients chiffrés ouverts d'utilisateur utilisés sur le système informatique local, ou sur des systèmes tracés à l'ordinateur local par un réseau local ou l'Internet.

Fixer la machine et les données

À moins que complètement inévitables, des données devraient ne jamais être analysées using la même machine qu'il est rassemblé de. Au lieu de cela, des copies légal saines de tous les dispositifs de stockage de données, principalement les unités de disque dur est tirées. La considération exceptionnelle à cette pratique sont détaillée au-dessous de considérer des considérations de phase de système.

Pour s'assurer que la machine peut être analysée aussi complètement comme possible, l'ordre suivant des étapes est suivi :

Examiner les environnements de la machine

La phase de collection commence avec l'équipe légale d'ordinateur analysant ses environnements. Semblable à la police étudiant un crime dans n'importe quel autre cas, toute la liste imprimée, disques, notes, et toute autre preuve physique sont rassemblés pour prendre de nouveau au laboratoire pour l'analyse. En outre, une équipe de investigation doit prendre les photographies de Digitals de de l'environnement environnant avant que le matériel l'un des soit traité. Cette première phase de collection donne la tonalité pour le reste de la recherche et donc l'évidence est fermée à clef loin solidement, avec l'accès limité accordé aux membres de l'équipe autorisés seulement.

Le domaine est examiné pour des notes, caché ou dans la vue plate, qui peut contenir des mots de passe ou des instructions de sécurité. Tous les médias enregistrables, y compris des mélanges de musique est fixés. Une recherche est également faite pour les dispositifs de stockage démontables tels que les joueurs de MP3 de des keydrives ou les marques de sécurité de voient le : Catégorie : Médias à semi-conducteur de mémoire interne.

Examiner le système de phase et enregistrer les applications ouvertes

Si la machine est toujours en activité, n'importe quelle intelligence qui peut être gagnée en examinant les applications actuellement ouvertes est enregistrée. Si on suspecte la machine de l'utilisation pour des communications illégales, telles que le trafic de terroriste, pas toute cette information peut être stockée sur l'unité de disque dur. Si l'information stockée seulement dans le RAM n'est pas récupérée avant d'actionner en bas de elle peut être perdue, ainsi acquérant les données tandis que le RAM est encore actionné est une priorité. Que la plupart des buts pratiques, il n'est pas possible balayent complètement le contenu des modules de RAM dans un ordinateur courant. Bien que le matériel spécialisé pourrait faire ceci, l'ordinateur a pu avoir été modifié pour détecter l'intrusion de châssis (un certain Dell usine , par exemple, peut faire ces actions ; le besoin de logiciel surveillent seulement pour lui) et l'élimination de la couverture pourrait faire vider le système le contenu. Dans le meilleur des cas, l'intelligence ou la surveillance antérieure indiquera quelle action devrait être prise pour éviter de perdre cette information.

Plusieurs outils d'Open Source sont disponibles pour réaliser une analyse des ports ouverts, commandes tracées (par raccordement actif y compris de VPN), et des dossiers chiffrés d'importance, ouverts ou monté significatifs (récipients) sur le système informatique de phase. En plus, par Microsoft l'exécution du a chiffré le système de fichiers (EFS), une fois qu'un système est mis hors tension, il devient plus difficile d'examiner les dossiers d'EFS et les structures d'annuaire précédent-montés. Utilisant des outils de source ouverte et des produits disponibles dans le commerce, il est possible d'obtenir une image de ces commandes tracées et des récipients chiffrés ouverts dans un format non codé. Pour les systèmes basés sur Windows, ces outils d'Open Source incluent le Knoppix et la spirale . Les outils commerciaux de formation image incluent la trousse à outils légale des données d'accès et le du logiciel de conseils emballent l'application de .

Les outils mentionnés ci-dessus d'Open Source peuvent également analyser l'information de RAM et d'enregistrement pour montrer les emplacements basés sur le WEB récemment accédés d'email et la combinaison d'ouverture/mot de passe utilisée. En plus ces outils peuvent également rapporter l'ouverture/mot de passe pour récemment des applications locales d'email d'accès comprenant MS Outlook.

Avec la milliseconde la plupart d'addition récente, utilisation de Vista, et de Vista de BitLocker et du module de confiance de plate-forme (TPM), il deviendra probablement plus important d'élaborer des procédures pour les systèmes de phase d'examen et de formation image (monté non codé).

Il est possible que dans l'utilisation usine pour analyser et documenter un système informatique de phase que des modifications peuvent être apportées au contenu de l'unité de disque dur. Pendant chaque phase d'analyse fonctionnelle, l'examinateur légal documente ce qu'elles ont fait et pourquoi elles l'ont fait. Spécifiquement, l'examinateur détaille l'information potentiel-périssable qui peut/sera perdue pendant une puissance de système traitent vers le bas. L'examinateur équilibre la nécessité de changer potentiellement des données sur l'unité de disque dur contre la valeur probatoire de telles données périssables.

Le RAM peut être analysé le contenu antérieur après la perte de puissance. Bien que pendant que les méthodes de production deviennent plus propres les impuretés employées pour indiquer la charge des cellules particulières avant la perte de puissance deviennent moins communs. Cependant, les données contenues statiquement dans une région de RAM pendant de longues périodes sont pour être discernables suivre ces méthodes. La probabilité d'un tel rétablissement augmente à mesure que les tensions à l'origine appliquées, températures de fonctionnement et la durée du stockage de données augmente. Tenir le RAM unpowered au-dessous du °C du − 60 aidera à préserver les données résiduelles par un ordre de grandeur, de ce fait améliorant les possibilités du rétablissement réussi. Cependant, il peut être impraticable de faire ceci au cours d'un examen sur le terrain.

Pendant que la destruction expéditive de la contrainte résiduelle chronique dans le module peut vraiment seulement être réalisée par exposition impraticable à de hautes énergies, les applications écrites avec la protection des données à l'esprit périodiquement peu-renversent des données critiques de , telles que des clefs de chiffrage, pour éliminer la « impression » de ces données sur le RAM, de ce fait empêchant la nécessité de la détruire activement en premier lieu.

Il est important de noter que quand une analyse de phase est exécutée, les données qui sont le plus susceptibles d'être modifiées ou première endommagé doivent être capturées d'abord. L'ordre de la volatilité est comme suit :

1. Connexions réseau

Les connexions réseau ne peuvent se fermer rapidement et souvent laisser aucune évidence derrière d'où elles ont été reliées ou les données étant transférées. Processus courants

Les programmes fonctionnant sur un ordinateur sont notés avant que l'analyse approfondie soit conduite. RAM

La mémoire d'accès aléatoire de systèmes contient l'information sur tous les programmes courants, comme des programmes récemment lancés. L'information qui peut être obtenue de la RAM de système inclut des mots de passe, des clefs de chiffrage, des informations personnelles et système et des arrangements de programme. Arrangements de système

Les arrangements du système d'exploitation peuvent maintenant être extraits. ceci inclut des listes utilisateurs, des utilisateurs actuellement ouverts une session, date et temps de système, des dossiers actuellement accédés et des politiques de sécurité courantes. Disque dur

Le disque dur peut alors être reflètent. Il est important de noter que ce n'est pas légal-bruit à l'image par unité de disque dur tandis qu'il est fonctionnement de phase à moins que là atténuent des circonstances.

Mise hors tension soigneusement

Si l'ordinateur fonctionne une fois saisi, il est actionné vers le bas d'une manière dont est moins préjudiciable aux données actuellement dans la mémoire et ce qui est sur le disque dur . Quelle méthode est employée dépend de beaucoup de valeurs différentes, telles que le du système d'exploitation en service, et du rôle de l'ordinateur à saisir. L'exécution d'un approprié arrêté peut causer les manuscrits malveillants d'être courue, ou les données volatiles à perdre. D'une part, l'élimination de la prise de puissance peut causer la corruption du système de fichiers ou de la perte de données cruciales.

Les examinateurs se rendent compte du fait que les ordinateurs peuvent comporter une alimentation d'énergie non interruptible interne de du (UPS). Avec de tels dispositifs l'ordinateur peut rester courant longtemps après que le cable électrique ait été enlevé.

Inspecter pour assurer les pièges

voient également : Terrains communaux de : Catégorie :

du matériel d'ordinateur

Entièrement configuration de matériel de document

La photographie et diagram la configuration du système. Des numéros de série et d'autres inscriptions sont notés, avec l'attention particulière étant payée à ce qui suit :

1. Ordre dans lequel les unités de disque dur sont câblées, puisque ceci indiquera l'ordre de botte, comme étant nécessaire pour reconstruire une rangée de RAID . Jonctions de câble, y compris le modem, les sous-systèmes de LAN et de stockage. Matériel sans fil de gestion de réseau.

Reproduire les supports électroniques (l'évidence)

Le processus de créer une reproduction exacte des médias evidenciary originaux s'appelle souvent la formation image de . Using un autonome dur-conduisent le duplicateur ou des outils de formation image de logiciel tels que le DCFLdd ou le IXimager , l'unité de disque dur de entier du est complètement reproduits. Ceci est habituellement fait au niveau du secteur , tirant une copie de bit-stream de chaque partie des secteurs utilisateur-accessibles de l'unité de disque dur qui peut physiquement stocker des données, plutôt que reproduisant le système de fichiers. La commande originale est alors déplacée au stockage bloqué pour empêcher le trifouillage.

Habituellement un certain genre de matériel écrivent la protection pour s'assurer que l'aucun écrit sera fait à la commande originale est employé. Même si des logiciels d'exploitation comme le Linux peuvent être configurés pour empêcher ceci, un matériel écrivent le dresseur est habituellement les pratiques. L'institut de crime de Cyber de la défense de avertit que si un matériel écrire-bloquent est employé l'examinateur prend en compte le fait qu'écrire-bloque peut présenter des données bénignes supplémentaires en utilisant à l'image a endommagé des médias (mauvais secteurs). L'attention spéciale est également accordée aux unités de disque dur avec les zones protégées (HPAs) de centre serveur de et les recouvrements (DCOs) de configuration de dispositif de . Ces petits secteurs d'une unité de disque dur, normalement réservés pour le dispositif d'unité de disque dur et les utilités diagnostiques et cachée du du système d'exploitation, peuvent être changés jusqu'à la capacité entière de l'unité de disque dur et être employés pour stocker l'information (évidence potentielle) que beaucoup d'applications et de dispositifs de formation image échouent à l'image. Vous pouvez image à une autre commande de disque dur, à une bande, ou à d'autres médias. La bande est un format preferred pour des images d'archives, puisqu'elle est moins vulnérable pour des dommages et peut être stockée pendant un plus long temps. Il y a deux buts en faisant une image :

de perfection (formation image toute les information) Exactitude (le copiant tout correctement) Le processus de formation image est vérifié en employant l'algorithme du sommaire de message de du SHA-1 (avec un programme tel que sha1sum) ou d'autres algorithmes viables encore. Pour faire une image de légal-bruit, deux lit que le résultat dans le même rendement par l'algorithme de sommaire de message sont exigés. Généralement, une commande devrait être hachée dans au moins deux algorithmes pour aider à assurer son authenticité de modification, au cas où un des algorithmes serait criqué. Ceci peut être accompli par la première formation image à une bande marquée comme maître et puis faire une image marquée fonctionnement. Si sur place et le temps est critique, la seconde lue peut être faite pour annuler.

Note : Finalement la méthodologie employée par les investigateurs légaux d'ordinateur en capturant l'évidence potentielle sur un système (tel que les unités de disque dur de formation image) sera dictée par la proportionnalité d'importance probable de cette évidence dans le sujet pour lequel ces services sont engagés. Les influences additionnelles telles que des réclamations du privilège et des dommages potentiels cherchés pour l'interruption d'affaires créent des maux de tête potentiels pour des investigations de corporation où la solidité légale est souvent sacrifiée pour le caractère pratique. Le personnel de police entrant dans l'environnement de corporation tend à être terminé strict dans leur application des principes légaux d'ordinateur dans les litiges où le fardeau de la preuve ne l'exige pas. Il y a un besoin croissant de capturer des serveurs de phase et capturants la valeur moins qu'entière de disques des données dans un effort de travailler dans un cadre de temps et de coût. Même une recherche non résolue de meurtre doit être blessée vers le haut à un certain point où là diminuent des gains à avoir en progressant la recherche, tellement trop avec des investigations légales d'ordinateur dans les arènes de corporation et criminelles où la quantité fine d'évidence numérique peut devenir primordialement et menacer de surcharger des investigateurs.

En outre, il doit se rappeler que n'importe quelle évidence d'ordinateur est potentiellement admissible indépendamment de la méthodologie par laquelle elle est venue à l'attention de la cour. Si un examinateur ne crée pas un gâchis SHA ou MD5 sur l'unité de disque dur originale, les données ne sont pas nécessairement sans valeur ou non admissibles. La découverte traditionnelle s'était produite pendant au moins une décennie (souvent sans a hache). L'application des principes légaux appropriés cependant améliorera sa crédibilité globale et diminuera des défis d'admissibilité. Cependant, les tentatives raisonnables ont besoin fait pour s'assurer que l'image la plus complète et la plus précise possible est obtenue.

Revue d'email

L'email a devenu des supports primaires de communication dans l'âge numérique, et de vastes quantités d'évidence peuvent être contenues là-dedans, si dans le corps ou être jointes dans un attachement. Puisque les utilisateurs peuvent accéder à l'email d'une série de manières, il est important de rechercher différents genres d'email. L'utilisateur a pu avoir employé un programme consacré, ou l'agent d'utilisateur de courrier (Muc), un web browser, ou un autre programme pour lire et écrire l'email. En plus, des dossiers pour chacun de ces programmes peuvent être stockés sur une unité de disque dur locale, un dispositif de réseau, ou un dispositif démontable. Un bon examinateur recherchera tous ces endroits des données d'email. Se rendre compte que beaucoup de clients d'email sauveront une copie des messages à diffuser, ainsi l'expéditeur et le récepteur peuvent avoir une copie de chaque message. En conclusion, le courrier peut également être stocké sur un mail server consacré, attendant la livraison ou en tant que mémoire permanente.

En-têtes d'email

voient également :

l'en-tête d'email d'E-mail#Internet de Tous les programmes d'email produisent des en-têtes qui attachent aux messages. L'étude de ces en-têtes est complexe. Quelques investigateurs favorisent lire les en-têtes du fond vers le haut, d'autres à partir du dessus vers le bas. Dans des circonstances normales, des en-têtes sont censés être créés par l'agent d'utilisateur de courrier et les serveurs par la poste alors ajoutés au début, le fond vers le haut de la méthode devraient fonctionner. Mais un mail server ou un faussaire malveillant peut rendre ceci difficile.

Les en-têtes se sont ajoutés par un Muc sont différents de ceux par la poste les serveurs supplémentaires. Par exemple, voici le format pour des en-têtes produits par Mozilla Thunderbird 1.0 courant sur Microsoft Windows. < ! --Note aux rédacteurs : Ceci devrait par la suite être déplacé à une page au sujet d'analyser des en-têtes de Muc-->

MESSAGE-IDENTIFICATION : <41B5F981.net> Date : Tue, 13h42 du 7 décembre 2004 : 09 -0500 De : Nom d'utilisateur Utilisateur-Agent : Mozilla Thunderbird 1.0 (Windows/20041206) X-Accepter-Langue : en-nous, en Pantomime-Version : 1.0 : recipient@example.com Objet : Essai Contenu-Type : texte/plat ; charset=ISO-8859-1 ; format=flowed Contenu-Transférer-Codage : 7bit

Les prolongements tels que l'enigmail peuvent ajouter les en-têtes supplémentaires.

Le champ Message-IDENTIFICATION a trois parts :

le temps où le message a été introduit les secondes après l'époque dans le

hexadécimal de grande (valeur Hex d'Endian de bit d'Unix 32) Une valeur aléatoire appelée un sel . Le sel est du format #0#0#0# où # est un chiffre aléatoire. Puisque Thunderbird traite le sel comme un nombre, il peut être plus court si les principaux chiffres sont des zéros. Par exemple, un sel de " ; 0030509" ; montrerait comme " ; 30509" ;.

Le Fully Qualified Domain Name de l'expéditeur.

MESSAGE-IDENTIFICATION : . (cryptographie)| de sel]] @

L'information sur l'en-tête Message-IDENTIFICATION a été dérivée du code source dans mozilla/mailnews/compose/src/nsMsgCompUtils.cpp dans le msg_generate_message_id de fonction () et s'applique donc seulement au courrier envoyé par cette application. Généralement le format de la Message-IDENTIFICATION est arbitraire, et vous devriez se référer au RFCs applicable.

Tri par les masses

Tandis que théoriquement possible pour passer en revue tous les email, le volume fin qui peut être sujet à la revue peut être une tâche effrayante ; les revues à grande échelle d'email ne peuvent pas regarder chaque email dû à l'impraticabilité et au coût fins. Outils de revue d'utilisation d'experts légiste pour tirer des copies de et à rechercher par des email et leurs attachements recherchant l'évidence d'incrimination using des recherches par mot-clé. Quelques programmes ont été avancés au point qu'ils peuvent identifier les fils généraux dans les email en regardant des groupements de mot de chaque côté du mot de recherche en question. Grâce à cette technologie de vastes nombres de heures peut être sauvée en éliminant des groupes d'email qui ne sont pas appropriés au cas actuel.

En outre, les email peuvent contenir Dans-Répondre-À : en-têtes qui permettent à des fils d'être reconstruits. Les bons clients d'email peuvent faire ceci.

Exemples légaux d'ordinateur

Des médecines légales peuvent être définies comme utilisation de technologie et de science pour le rétablissement de recherche et de fait en traitant les sujets criminels. Les médecines légales d'ordinateur sont l'aspect technologique de rechercher l'évidence pour employer au sein des Tribunaux criminels ou civils. Elles peuvent récupérer les dossiers endommagés et supprimés. Quelques cas ont en particulier employé l'art des médecines légales d'ordinateur en tant que leur fil d'évidence pour accuser un contrevenant criminel ou pour trouver l'endroit d'une personne disparue.

Exemple

Le prélèvement , qui de Chandra de est allé manquer le 30 avril , le 2001 , était un Washington, l'interne de C.C dont la disparition a été largement rendue publique. Tandis que son endroit était inconnu, elle avait l'habitude l'Internet aussi bien que l'email pour prendre des arrangements de voyage et pour communiquer avec ses parents. L'utilisation de cette technologie a aidé un criminaliste d'ordinateur à tracer son endroit. L'information a trouvé sur sa police menée par ordinateur à son endroit, quoiqu'elle ait été absente pendant une année.

Exemple deux

Il y a eu un certain nombre de cas aux écoles privées où des chiffres d'autorité ont été chargés de la possession de la pornographie infantile. Ces découvertes ont été faites using des médecines légales d'ordinateur. En dépistant les achats et la vente de la pornographie en ligne, les investigateurs légaux d'ordinateur ont pu localiser des personnes impliquées dans ces crimes. Ils peuvent employer l'information trouvée sur les ordinateurs en tant que preuve indirecte devant le tribunal, permettant à la poursuite de se produire.

Exemple trois

Un exemple final de la façon dont les médecines légales d'ordinateur affectent le lieu de travail courant est l'aspect de la sécurité. Des ordinateurs du travail des employés maintenant sont surveillés pour n'assurer aucune action illégale ont lieu dans le bureau. Ils également ont intensifié la sécurité ainsi les étrangers ne peuvent pas accéder aux dossiers confidentiels de compagnie. Si cette sécurité est cassée une compagnie peut alors employer les médecines légales d'ordinateur pour tracer de nouveau quel ordinateur était trifouillé et quel information a été extraite à partir de elle, probablement menant aux parties coupables et à d'autres parties potentielles concernées.

Comparaison aux médecines légales physiques

Il y a beaucoup de différences de noyau entre les médecines légales d'ordinateur et le " ; forensics." physique ; Au de plus haut niveau, les sciences légales physiques se concentrent sur l'identification et l'individualisation . Tous les deux processus comparent un article d'une scène du crime à d'autres substances pour identifier la classe de l'article (c. est le jus ou le sang de fruit liquide rouge ?) ou la source d'article (a c. fait ce sang vient de la personne X ?). Les médecines légales d'ordinateur d'une part se concentrent sur trouver l'évidence et l'analyser. Par conséquent, elle est plus analogue à une recherche physique de scène du crime que les processus légaux physiques.

Voir également

Contre- médecines légales
Analyse de données de (technologie de l'information)
Cryptanalyse
Rétablissement de données de
Remanence de données de
Chiffrage
Steganography
Steganalysis
le MAC de chronomètre
Médecines légales de l'information de
Audit de technologie de l'information de
Évidence de Digitals de
Outils légaux de Digitals de
Audit de degré de sécurité d'ordinateur de
Essai de logiciel de
le kit de détective

Random links: