Computer Forensics Outils

En général, un enquêteur informatique judiciaire allons utiliser un outil afin de recueillir des données d'un système (par exemple, un ordinateur ou un réseau informatique) sans altérer les données de ce système. Cet aspect de l'enquête, le soin de ne pas altérer les données originales, est un principe fondamental de l'examen des ordinateurs et quelques-uns des outils disponibles incluent des fonctionnalités spécifiquement conçues pour respecter ce principe. En réalité, il n'est pas toujours facile de recueillir des données sans altérer le système d'une certaine façon (même l'acte de l'arrêt d'un ordinateur vers le bas afin de transporter ce sera provoquent des changements les plus probables pour les données sur ce système), mais un enquêteur expérimenté s'efforcera toujours pour protéger l'intégrité des données originales chaque fois que possible. Pour ce faire, les examens médico-légaux de nombreux informatiques impliquent la réalisation d'une copie exacte de toutes les données sur un disque. Cette copie est appelée une image et le processus de création d'une image est souvent désigné comme l'imagerie. C'est cette image qui est habituellement l'objet d'un examen ultérieur.

Un autre concept clé est que les données supprimées, ou parties de ceux-ci, peuvent être recouvrable. De façon générale, lorsque les données est supprimé, il n'est pas physiquement effacé du système, mais uniquement une référence à l'emplacement des données (sur un disque dur ou autre support) est supprimé. Ainsi, les données peuvent encore être présents, mais le système d'exploitation de l'ordinateur ne "sait" à ce sujet. Par l'imagerie et l'examen de toutes les données sur un disque, plutôt que seulement les parties connues du système d'exploitation, il peut être possible de récupérer des données qui ont été accidentellement supprimés ou délibérément.

Bien que la plupart des outils du monde réel sont conçus pour effectuer une tâche spécifique (le marteau pour planter des clous, le tournevis pour tourner une vis, etc), certains outils sont conçus pour être multi-fonctionnel. De même, certains outils informatiques judiciaires sont conçus avec un seul objectif en tête tandis que d'autres peuvent offrir toute une gamme de fonctionnalités. La nature unique de chaque enquête déterminera quel outil de boîte à outils de l'enquêteur est la plus appropriée pour la tâche à accomplir.

Ainsi que différents dans la fonctionnalité et de la complexité, les outils informatiques judiciaires diffèrent également des coûts. Quelques-uns des milliers de leader du marché des produits commerciaux de dollars tandis que les coûts d'autres outils sont entièrement gratuits. Encore une fois, la nature de l'examen médico-légal et le but de l'enquête permettra de déterminer les outils les plus appropriés à utiliser.

La collection d'outils à la disposition du chercheur continue de s'étendre et de nombreux outils sont régulièrement mis à jour par leurs développeurs pour leur permettre de travailler avec les dernières technologies. Par ailleurs, certains outils offrent des fonctionnalités similaires, mais une interface utilisateur différente, tandis que d'autres sont uniques dans l'information qu'ils fournissent à l'examinateur. Dans ce contexte, c'est la tâche de l'examinateur informatique judiciaire pour juger quels sont les outils les plus appropriés pour une enquête, compte tenu de la nature de la preuve qui doit être collectée et le fait qu'il peut à un certain moment être présenté à un cour de justice. Sans doute, le nombre croissant d'affaires tant civiles que pénales, où outils d'identification criminelle jouent un rôle important en fait un domaine fascinant pour tous ceux qui sont impliqués....