Forensics, raccolta di prove contro acquisizione di dati

Per quanto ne so, evidence è generalmente definito come

Any information of probative value that is either stored or transmitted in a digital form

Quindi la prova è l'informazione che può essere utilizzata in tribunale per supportare il tuo caso.

Quando acquisisci dati da una fonte come registri o file di dati o immagini, li analizzi e trovi se c'è qualcosa di sospetto che possa aiutare il tuo caso in tribunale. Quindi quando chiedi

Imaging the RAM on a live system;

Retrieving logs from a running a webserver;

Queste sono le fonti da cui si acquisiscono i dati per eseguire le indagini. Guardi dentro di loro e trovi qualcosa di valore credibile per aiutare il tuo caso in tribunale. Se trovi qualcosa che un processo dannoso stava usando la RAM, diventa prova. Se non si trova nulla nei file di registro, li si tiene nel file del caso, indipendentemente dal fatto che sia di valore o meno. È come una vera prova fisica. Se il pipistrello macchiato di sangue con le impronte digitali è sufficiente per provare il crimine, allora non ha senso presentare l'impronta di un cane che hai fotografato durante la tua visita alla scena del crimine per ogni evenienza. Queste sono tecnicamente proprietà del team investigativo e sono conservate come evidence nel loro file del caso.

Spero che tu abbia capito l'idea. :)

La raccolta delle prove raccoglie e raccoglie tutti i dati necessari per l'acquisizione dei dati. Qualunque cosa tu possa usare ti aiuterà a raccogliere dati su qualunque cosa tu stia cercando di usare tecniche forensi. Quindi si utilizzano tutti i dati raccolti per scrivere un report ben dettagliato che può essere utilizzato per servire come report dettagliato delle prove raccolte dall'imaging della ram e dei log sul server.

Anche Caine 7.0 è un ottimo sistema operativo da scaricare su una macchina virtuale per esercitarti nella tua analisi forense. Qualsiasi cattura delle bandiere che coinvolgono computer forensics sono davvero buone pratiche.