Wat is een forensisch beeld? Wat is een kloon? Hoe is een forensisch beeld anders dan een kloon? Dit zijn vragen die we vaak aan te pakken bij Capsicum. Hoewel op zijn gezicht lijkt dit gemakkelijk te worden beantwoord, Het is veel genuanceerder dan je zou kunnen voorstellen. In de loop der jaren zijn er veel termen gebruikt om een forensisch beeld versus een kloon te beschrijven en het proces van het maken van een forensische back-up. Termen zoals spiegelbeeld, exacte kopie, bit-stream image, disk duplicating, disk cloning en mirroring hebben het steeds moeilijker gemaakt om te begrijpen wat er precies wordt geproduceerd of gevraagd.In het algemeen worden forensische back-ups gemaakt door alle gegevens van een bronmedium (computers, mobiele telefoons, tablets, enz.) op een forensisch correcte manier zodat alle originele gegevens een ongewijzigde staat zijn. Dit betekent dat de volledige inhoud van de bronmedia wordt verzameld, inclusief ongebruikte ruimte, alle slack-gegevens, alle niet-toegewezen ruimte en andere media.
Hoe onderscheid je een afbeelding en een kloon?
een forensisch beeld is een uitgebreid duplicaat van elektronische media zoals een harde schijf. Artefacten (informatie of gegevens die zijn gemaakt als gevolg van het gebruik van een elektronische apparaten die eerdere activiteit tonen) zoals verwijderde bestanden, Verwijderde bestandsfragmenten en verborgen gegevens kunnen worden gevonden in slack (ongebruikte ruimte die wordt gemaakt tussen de end-of-file marker en het einde van de harde schijf cluster waarin het bestand wordt opgeslagen en niet-toegewezen ruimte (het ongebruikte deel van een harde schijf). Deze exacte kopie van de gegevens wordt aangeduid als een bit-by-bit kopie van de bronmedia en wordt een afbeelding genoemd. Beelden zijn versteend snapshots, die worden gebruikt voor analyse en bewijs behoud. Afbeeldingen kunnen niet als werkkopie worden gebruikt.
een forensische kloon is ook een uitgebreid duplicaat van elektronische media zoals een harde schijf. Artefacten zoals verwijderde bestanden, Verwijderde bestandsfragmenten en verborgen gegevens kunnen worden gevonden in de slappe en niet-toegewezen ruimte. Deze exacte kopie van de gegevens wordt aangeduid als een bit-by-bit kopie van de bronmedia en wordt een kloon genoemd. Klonen zijn werkende snapshots, die aanpasbaar zijn en niet noodzakelijk bewaard worden. Kloon worden gebruikt als werkkopieën ter vervanging van origineel bewijs voor analyse en gegevensbewaring doeleinden.
een hash (een foutdetectieschema dat berekening uitvoert op de binaire waarde van het pakket/frame en vervolgens wordt toegevoegd aan het pakket/frame als een veld met vaste lengte. Zodra het pakket / frame is ontvangen, wordt een soortgelijke berekening uitgevoerd. Als het resultaat niet overeenkomt met de eerste berekening, heeft zich tijdens de transmissie een gegevenswijziging voorgedaan. De berekening kan een Som zijn( Checksum), een restant van een deling of het resultaat van een hashing functie) van een origineel apparaat kan valideren als het medium een exacte kopie is (forensisch correcte kopie). Elke variatie in de hashwaarde van een origineel naar zijn kloon of afbeelding zal bevestigen dat het geen exacte kopieën zijn. Dit is van belang om te weten wanneer het gaat om juridische zaken.
waarom doet het er bij uw advocatenkantoor toe voor een rechtszaak?
een kloon kan worden gebruikt voor digitale forensische analyse, maar wordt meestal gebruikt om werkkopieën of exacte vervangende schijf te maken.
beelden worden voornamelijk gebruikt om forensische gegevens te analyseren en originele gegevens te bewaren. Ze zijn versteend en in hun beeldformaat kan niet worden gewijzigd. Capsicum had onlangs een geval dat nauw verband hield met dit onderwerp. Een advocaat geloofde dat een afbeelding en kloon hetzelfde waren. De advocaat vroeg om een foto zodat ze bestanden van een computer konden bekijken. Capsicum experts hielden een Eisen verzamelen vergadering en waren in staat om tot de wortel van wat werkproducten nodig waren. We konden uitleggen dat zonder forensische hulpmiddelen het beeld niet leesbaar was. We legden verder uit dat terwijl een kloon kon worden beoordeeld en doorzocht, originele gegevens zouden worden gewijzigd. Uiteindelijk, na samenwerking met de advocaat, produceerden we zowel kloon als beeld. Bij Capsicum bieden we diepgaande technische expertise en zijn we goed thuis in het leiden of deelnemen aan uw elektronisch onderzoek.
ongeacht de complexiteit, het team van technische en juridische experts van Capsicum Groups is uitgerust met de geavanceerde technologie en intensieve strategieën voor uw succes. Lees meer over onze forensische herstel-en cybersecurity-diensten in Philadelphia, New York en Zuid-Florida door contact met ons op te nemen via onze contactpagina of door te bellen naar 1-888-220-3101.
hier zijn een aantal aanvullende artikelen geschreven door Capsicum die u wellicht interessant kunt vinden:
How to Break a Secured PDF
just Text Me: Top 5 Questions Digital Forensics Experts Are Asked Regarding Text Message Evidence
Metadata: The Smoking Gun