Vad är en rättsmedicinsk bild? Vad är en klon? Hur är en rättsmedicinsk bild annorlunda än en klon? Det här är frågor som vi ofta tar upp på Capsicum. Även om det i ansiktet verkar vara lätt att svara, är det mycket mer nyanserat än du kan tänka dig. Under åren har det varit många termer som används för att beskriva en rättsmedicinsk bild kontra en klon och processen att göra en rättsmedicinsk backup. Termer som spegelbild, exakt kopia, bitströmbild, disk duplicering, diskkloning och spegling har gjort det allt svårare att förstå exakt vad som produceras eller begärs.
i stort sett uppnås rättsmedicinska säkerhetskopior genom att fånga all data från ett källmedium (datorer, mobiltelefoner, surfplattor etc.) på ett rättsmedicinskt sätt så att alla originaldata är oförändrade. Detta innebär att hela innehållet i källmediet samlas in, inklusive oanvänt utrymme, all slack-data, allt odelat utrymme och andra medier.
hur skiljer man en bild och en klon?
en rättsmedicinsk bild är en omfattande kopia av elektroniska medier som en hårddisk. Artefakter (Information eller data som skapats som ett resultat av användningen av en elektronisk enhet som visar tidigare aktivitet) som raderade filer, raderade filfragment och dolda data kan hittas i slack (oanvänt utrymme som skapas mellan filens slutmarkör och slutet på hårddiskklustret där filen lagras och odelat utrymme (den oanvända delen av en hårddisk). Denna exakta kopia av data kallas en bit-för-bit-kopia av källmediet och kallas en bild. Bilder är förstenade ögonblicksbilder, som används för analys och bevis bevarande. Bilder kan inte användas som arbetskopior.
en rättsmedicinsk klon är också en omfattande kopia av elektroniska medier som en hårddisk. Artefakter som raderade filer, raderade filfragment och dolda data kan hittas i dess slack och odelat utrymme. Denna exakta kopia av data kallas en bit-för-bit-kopia av källmediet och kallas en klon. Kloner arbetar ögonblicksbilder, som är modifierbara och inte nödvändigtvis bevarade. Klon används som arbetskopior för att ersätta ursprungliga bevis för analys samt data bevarande ändamål.
en hash (ett feldetekteringsschema som utför beräkning på paketets/ramens binära värde och sedan läggs till paketet/ramen som ett fast längdfält. När paketet / ramen har mottagits utförs en liknande beräkning. Om resultatet inte matchar den första beräkningen inträffade en dataändring under överföringen. Beräkningen kan vara en summa (kontrollsumma), en återstod av en division eller resultatet av en hashfunktion) av en originalanordning kan validera om media är en exakt duplikat (kriminaltekniskt ljudkopia). Varje variation i hashvärdet för ett original till dess klon eller bild kommer att bekräfta att de inte är exakta kopior. Detta är viktigt att veta när man hanterar juridiska frågor.
Varför spelar det någon roll på din advokatbyrå för ett rättsfall?
medan en klon kan användas för digital kriminalteknisk analys används den vanligtvis för att skapa arbetskopior eller exakt ersättningsenhet.
bilder används främst för att forensically analysera och för att bevara originaldata. De är förstenade och i deras bildformat kan inte ändras.
Capsicum hade nyligen ett fall mycket nära relaterat till detta ämne. En advokat leddes att tro att en bild och klon var desamma. Advokaten bad om en bild så att de kunde granska filer från en dator. Capsicum-experter höll ett kravsamlingsmöte och kunde komma till roten till vilka arbetsprodukter som krävdes. Vi kunde förklara att utan rättsmedicinska verktyg var bilden inte läsbar. Vi förklarade vidare att medan en klon kunde granskas och sökas, skulle originaldata ändras. Till slut, efter att ha samarbetat med advokaten, producerade vi både klon och bild. På Capsicum tillhandahåller vi djup teknisk expertis och är väl insatta i att leda eller delta i din elektroniska undersökning.
oavsett graden av komplexitet är Capsicum Groups team av tekniska och juridiska experter utrustade med den ledande tekniken och intensiva strategier för din framgång. Läs mer om våra rättsmedicinska återhämtnings-och cybersäkerhetstjänster i Philadelphia, New York och Södra Florida genom att ansluta till oss via vår kontaktsida eller genom att ringa 1-888-220-3101.
här är några ytterligare artiklar skrivna av Capsicum som du kan av intresse:
hur man bryter en säker PDF
bara Text Me: Top 5 frågor Digital Forensics experter ställs om textmeddelande bevis
Metadata: The Smoking Gun