PROSES

Proses

Untuk melakukan analisis menggunakan IT-forensik proses adalah diperlukan terpisahkan. Proses ini terdiri dalam arti biasa dari empat langkah berikut:

§ Identifikasi

§ Jaminan

§ Analisa

§ Presentasi / Pengobatan

Dalam langkah-langkah individu dari proses keseluruhan pada dasarnya untuk mengklarifikasi hal-hal berikut dalam kaitannya dengan peristiwa yang menyebabkan penyelidikan:

§ 'Siapa' - yang pindah atau berubah data? Siapa yang hadir dan terlibat?

§ 'Ketika' - tanggal dan waktu.

§ 'Mengapa' - Mengapa perubahan, gerakan dan / atau penyimpangan telah dibuat?

§ 'Di mana lokasi - tepat.

§ 'Apa - apa yang sebenarnya dilakukan?

§ , Sebagai '- Bagaimana diambil dan apa alat dan / atau sumber daya fisik apa yang digunakan?

Identifikasi

Seperti yang akan ditampilkan di bagian proses posisi awal, kegiatan utama adalah dokumentasi yang paling akurat dari situasi yang dihadapi. Selain inventarisasi insiden keamanan aktual dan menebak pertama tentu memiliki pertanyaan lebih untuk penyelidikan lebih lanjut yang perlu diperjelas. Ini mengikuti struktur yang begitu, apa jenis bukti pihak memiliki akses. Jika bukti, misalnya dalam bentuk log khusus file yang tersedia? Ketika datang ke bukti dalam bentuk data non-volatile set di media ini? Hal ini lebih lanjut mencatat bahwa di mana bukti- bukti tersedia. Lingkungan yang tersedia di mana bukti (misalnya sistem operasi) akan didokumentasikan dan dicatat.

Pada akhirnya, dapat dibuat mengenai hal itu dengan melihat fakta-fakta dasar keputusan untuk yang berarti bukti harus disediakan (relevansi). Perhatian khusus pertanyaan dari metode backup (cadangan) adalah diklarifikasi. Proses berikut merupakan salah satu langkah pada non-volatile (seperti data pada hard disk) dan data volatile (misalnya data dalam memori RAM datang), merupakan bukti. Karena itu perlu memilih yang benar berarti untuk mengamankan bukti tersebut. Di sini juga pertanyaan dari bantuan luar mungkin memainkan peran penting.

Memastikan

Langkah ini melibatkan bukti yang sebenarnya. Menggunakan matriks pertanyaan sebelumnya diperkenalkan dalam proses ini, integritas dari bukti digital dan menjaga rantai bukti, tugas pusat. Biasanya, ini berarti mengamankan bukti pada media elektronik. Ini harus digunakan media yang unik untuk menggambarkan. Penggunaan metode kriptografi untuk digital sign bukti data harus dipertimbangkan dan diterapkan jika mungkin, untuk menjamin integritas data.

Dalam proses ini sering muncul pertanyaan penting: Apakah sistem TI yang terkena dampak mematikan karena situasi berbahaya atau dapat itu dioperasikan? Pertanyaan ini adalah sangat penting, karena merupakan langkah untuk mengamankan data volatile set seperti memori RAM, koneksi jaringan dan membuka file serta data non-volatile file seperti file pada hard drive berjalan. Dalam kasus mematikan set volatile data akan hilang.

Analisis

Setelah data dikumpulkan dan bukti yang relevan disimpan dengan aman pada media yang tepat, diikuti dengan analisis terlebih dahulu. Berikut Allroundwissen topologi jaringan sekitar, aplikasi, dan kerentanan sistem yang sekarang dikenal sebagai juga, mungkin meminta tingkat yang sangat tinggi improvisasi. Di sini harus berpikir organisasi, apakah ahli eksternal dikonsultasikan. Pengetahuan yang dibutuhkan jauh melampaui murni administrasi jaringan atau sistem operasi dan membutuhkan betriebssystemnahe kadang-kadang bahkan keterampilan pemrograman. Analisis sukses selalu tergantung pada interpretasi yang benar dari bukti yang tersedia. Tujuan dari analisis ini adalah ilustrasi dan pemeriksaan bukti, menilai penyebab kejadian dan tindakan insiden itu terjadi. Analisis ini biasanya terjadi pada sistem yang asli dan tidak pernah memerlukan dokumentasi lebih cermat daripada di langkah sebelumnya.

Persiapan dan Presentasi

Pada langkah terakhir, proses yang terlibat dalam analisis orang-orang mempersiapkan temuan mereka dalam bentuk laporan. Berikut adalah laporan motivasi dasar penyelidikan harus disepakati. Tersebut dapat diringkas dengan cara berikut:

§ Tentukan identitas pelaku / pelaku,

§ Menentukan periode dari tindakan (menciptakan "Time Line"),

§ Tentukan lingkup tindakan,

§ Tentukan motivasi tindakan dan

§ Tentukan penyebab dan implementasi

Apakah yang akan menjelaskan semua poin yang sepenuhnya tergantung baik pada bukti yang tersedia dan kualitas analisis.