Типовий процес цифрової криміналістичної експертизи охоплює вилучення, візуалізацію (отримання) та аналіз цифрових носіїв (даних), а також складання звіту про зібрані докази.

​

Фактичний процес аналізу може варіюватися залежно від поставлених питань адвокатського запиту, але загальні методології включають пошук за ключовими словами в середовищі цифрового носія (у файлах, а також у нерозподіленому та вільному просторі), відновлення видалених файлів та дослідження інформації, що містяться у реєстрі ОС (наприклад, для виведення списку облікових записів користувачів або під'єднаних раніше, USB-пристроїв). Витягнуті з інформаційного середовища цифрові артефакти аналізуються та реконструюються, для визначення причетності цифрової події до реального фізичної дії певної особи.

​

Або це може бути пошук конкретних даних або пошук конкретних файлів. Це може бути складніший аналіз даних, наприклад для побудови часової шкали використання цифрового засобу, для реконструкції схеми подій та інтерпретації їх виникнення в інформаційному просторі в той чи інший час. По суті, більшість даних можна відновити за допомогою інструментів судової експертизи, якщо вони незашифровані, що також потребує участі фахівця у дослідженні виявлених даних.

 

За допомоги цифрової криміналістики можна здобувати комп’ютерні артефакти такі як:

 

• Відновлення видалених файлів, включаючи електронну пошту.

• Визначити, який комп'ютер, пристрій та / або програмне забезпечення створили шкідливий файл, програмне забезпечення та / або атаку.

• Відстеження вихідну IP-адресу та / або MAC-адресу атаки.

• Відстеження джерел шкідливого ПЗ за його сигнатурою та компонентами.

• Визначення часу, місця та пристрою, за допомогою якого було зроблено скріншот екрану.

• Визначення місця розташування пристрою з підтримкою стільникового телефону (з увімкненим GPS або без нього).

• Визначення часу зміни, доступу або створення файлу.

• Підбір паролів на зашифрованих носіїв даних, файлів або електронних поштових повідомлень.

• Визначення, які веб-сайти відвідував користувач інформаційної системи та які файли завантажував.

• Визначення, які команди та програмне забезпечення використовував користувач інформаційної системи.

• Встановлення/відновлення важливої інформації з енергозалежної пам'яті.

• Визначення, хто зламав бездротову мережу, або чи присутні неавторизовані користувачі у мережі.

,

За більш детальними консультаціями або зустрічами, звертайтесь до нас по телефону +38(096)-611-98-01.

До зустрічі, будемо раді Вам допомогти у Ваших справах.