Informática forense de los ordenadores portátiles presentan problemas o retos de la conservación de datos, la eficiencia y la precisión. Los investigadores forenses pueden recoger una gran cantidad de información de los usuarios de estos dispositivos portátiles, ya menudo el blanco los utiliza para realizar negocios de forma rápida y la marcha, si bien no deja tiempo para borrar pistas o cifrar los datos. La mayoría de los análisis forenses de los ordenadores portátiles se realiza fuera de línea (en un sistema que se alimenta hacia abajo) en lugar de en un sistema vivo, ya que los usuarios tienden a apagar las computadoras portátiles después de su uso. La mayor parte de los mismos principios de la informática forense se aplican a la investigación del ordenador portátil, con el reto añadido de trabajar con las partes internas portátiles más pequeños y más.
Instrucciones
1 Categorizar correctamente el sistema de destino y dispositivos extraíbles. análisis forense informático eficaz depende de mantenimiento de registros adecuados. Describir con precisión el lugar donde se encontró el ordenador portátil y la condición de la portátil de destino se encontraba cuando fue retirado de la escena. Cualquier evidencia física, como las huellas dactilares y el ADN, debe ser obtenida de la máquina antes del análisis para garantizar la fiabilidad forense. Además de reunir correctamente, categorizar y práctica de pruebas, establecer una cadena de custodia para todas las pruebas tangibles. Esto proporciona una secuencia de trazabilidad de los examinadores forenses que son responsables de la seguridad y la pureza de los sistemas de destino, tales como ordenadores portátiles.
2 Extraer el disco duro de destino y los dispositivos extraíbles del sistema de potencia de despegue. Extraiga la unidad con cuidado, asegurando que no haya piezas dañadas por la electricidad estática o fuerza física. Sólo para llevar los medios necesarios (disco duro, CD-ROM, USB / Flash Drives), preservando tanto del sistema de destino como sea posible en su forma original. Coloque el soporte extraíble en una estación de trabajo sin electricidad estática lejos del polvo y otros contaminantes y conectar los cables adecuados para el sistema anfitrión y de destino para la copia de datos de medios.
3 Crear una copia bit a bit de los datos de destino. Usando una utilidad como dd (dumper datos) o netcat, copiar cuidadosamente los datos de los medios de acogida a un forense limpia (borrada y puesto a cero) el medio para su análisis. Verificar que la suma de control único del objetivo y combinar datos copiados mediante la ejecución de una utilidad como md5sum o sha1sum. Después de la verificación de las huellas dactilares únicas de los datos coinciden exactamente, coloque el soporte original de nuevo en el sistema de destino y seguro para el almacenamiento.
4 Ejecutar reconocimiento de patrones y otras herramientas de detección forense basadas en software en la copia de destino. Dado que la copia de los datos de destino coincide con los datos del host, bit a bit, cualquier análisis realizado en la copia es tan eficaz como lo sería en el original. patrón de ejecutar programas, tales como mecanismos de grep o extracción de archivos como bisturí para encontrar y analizar datos de interés a juego.
Consejos y advertencias
- Asegúrese de obtener una orden de registro o el permiso del administrador del sistema o el propietario antes de realizar un examen forense en un ordenador portátil.