1. Napišite SOP za upravljanje digitalnim kompjuterskim incidentom2. Potpuno razumeti legalne posledice i aspekte incidenta3. Razmišljajte šire od predmetnog uređaja (npr. dokumentacija koju treba zaštiti kao dokaz)4. Pravite kopije i numerisane zabeleške o svakoj aktivnosti (vreme, datum itd.)5. Izolovati ispitivanu opremu od Interneta (blutoot, Ir, ethernet, ADSL)6. Ne uključujte uređaj ako je isključen7. Ako je uređaj uključen i u toku je udaljeno brisanje podataka, isključite strujni kabal /bateriju

iz mašine8. Snimite(forografišite) sve periferije uređaja i aktivnosti na ekranu9. Sakupite svu pridruženu opremu (USB, CD/DVD, mobtel...)10. Tražite pomoć digitalnog forenzičara

Određivanje stanja opreme

Određivanje stanja opremeAko imate alat (Nigilant32 or Mandiant’s Memoryze):Možete oporaviti RAM i otkriti prisustvo malveraAktivirati personalni pretraživač i evidentirati internet konekcijeAko je u toku korinički izabrano isključivanje (brisanje podataka na HD i sl.):Isključiti računar izvalčenjem strujnog kabla/baterijeDalje ispitivanje vršiti na Virtuelnoj mašini u forenziičkoj laboratoriji

International Information Systems Forensics Association (IISFA) i

Computer Forensics Software Solutions to Ease the Burden on Digital Investigations Labs Everywhere

AccessData® enables computer forensics labs of all sizes, facing an array of challenges, to work more effectively. A single-person lab can radically speed up the processing of cases with the four-worker distributed processing available with FTK®. However, labs handling massive data sets, utilizing a distributed workforce, or looking to collaborate with attorneys, HR personnel or other non-forensic parties can step up to AccessData Lab. AD Lab adds powerful and intuitive web-based review functionality, expanded distributed processing capabilities with a centralized processing farm, and a centralized database infrastructure. This allows collaborative analysis among multiple forensic examiners, real-time task and case management, and secure, web-based collaboration with parties outside the lab. Regardless of the size, scope or mission of your computer forensics lab, AccessData has a solution that will meet your needs.

Which Computer Forensics Solution is Right for You?

1. Root User Folder artifactsRUFolder daje prava:pristupa kompletnom OS-ubrisanja i modifikacije fajlova OS-agenerisanovih korisnika i ovlašćenjaLokacija: Start\Run\%SYSTEMROOT%\System32.2. Desktop ArtifactsSvi fajlovi sa desktopa se skladište u desktop folder u OS-uPopunjava ga korisnik i programi (automatski) Lokacija: C:\USERS\username\desktop3. Pinned Files/Jump Lists ArtifactsRelativno nova funkcija uvedena u Win 7Lista sadrži sve priključene i poslednje pristupljene fajloveLokacija: C:\Users\username\AppData\Roaming\Microsoft\InternetExplorer\QuickLaunch\UserPinned\TaskBar.4. Recycle Bin ArtifactsSkladišti nedavno privremeno izbrisane fajloveMogu se oporaviti iz skrivenog (mora se onemogućiti) Recycle Folder-aLokacija: C:\$recycle.bin5. Registry ArtifactsInformacije istorije i tekuće upotrebe aplikacija i podešavana sistemaLokacija:NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ WordWheelQuerry6. App Data ArtifactsApp data obezbeđuju kompatibilnost unazad i informacije o podešavanju konfiguracijeLinkovi za preusmeravanje programa i fajlova na različite lokacije Čuvaju podatke o Win adres book i nedavno pritupljenim fajlovimaLokacija: C: User\ (username)\AppData\Roamingfolder7. Favorite ArtifactsOdnosi se na Windows Explorer i Internet ExplorerLokacija: C:\USERS\username\favorites.8. Send To ArtifactsUkazuje na destinacione tačke za slanje/aktivaciju fajlovaMože se modifikovatiLokacija: C:\Users\username \AppData\Roaming\Microsoft\Windows\SendTo9. Swap Files ArtifactsMemorijski fajl proširenje Ram-aPodrazumevano nije vidljivLokacija: MyComputer>Properties>Taskmenu>AdvancedSystemSettings>Advancedtab>Performance>Settings>Performance options dialogue box>Advanced tab>Change.

10. Thumbs Cache Artifacts

Thumbs.db fajlovi skladište svaki direktorijum na Win OS koji uključuje thumbnails Kreiraju se podrazumevano i skladište među slikeMože se isključiti čekiranjem ‘Always show icon, not thumbnails’Lokacija: C:\Users\Username\AppData\Local\Microsoft\Windows\Explorer11. HKey Class Root ArtifactsHKey Class Root sadrži osetljive informacije o ekstenzijama fajlova i registraciji u COM klasiKompatibilna sa16-bitnim Win registrom Skladišti informacije o različitim korisnicima sistema Lokacija: HKEY_LOCAL_MACHINE\Software\Classes – Skladišti informacije o interaktivnim korisnicimaLokacija: HKEY_CURRENT_USER\Software\Classes

12. Cookies ArtifactsMali tekstualni fajl sadrži informacije o posetama sajtovima i podacima o korisnikuLokacija: C: User\(username)\AppData\Roaming folder\ Microsoft\Windows\Cookies.13. Program Files ArtifactsWindows 7 sadrži dva foldera programskih 1. C:\program files (64-bitni)2. C:\Program files (x86) (32-bitni)14. Meta Data ArtifactsSadrže značajne digitalne dokaze u forenzičkoj istraziOtkrivaju se forenzičkim alatima15. Restore Points ArtifactsKreira imidž sistema i vraća sistem na dobru konfiguraciju posle velike greške16. My Documents ArtifactsInformacije o fajlovima koje kreira sam korisnikPodrazumevano informacije se skladište u ovaj folderLokacija: C:\\Users\username\MyDocuments.17. Start Menu ArtifactsDesna kolona u start prozoru sadrži linkove do važnih biblioteka18. Logo ArtifactsSadrži značajne informacije o događajima u:aplikacijama, bezbednosti, podešavanjima, prosčleđivanju19. Print Spooler ArtifactsOrganizuje sve poslove štampanjaLokacija: C:\\Window\System32\Spool\Printers.20. Recent Folder ArtifactsSkladišti linkove za nedavno pristupane fajlove Lokacija: C:\Users\username\AppData\Roaming\Microsoft\Windows\Recent.

Windows Forensics- Analysis of Windows ArtifactsAnalysis of Windows artifacts is the perhaps the most crucial and important step of the investigation process that requires attention to detail.The following flowchart depicts a typical windows artifact analysis for the collection of evidence.

AD lab za jednog forenzičara omogućava distribuiran rad 4 forenzičaraObbezbeđujeweb bazirane funkcionalnosti za revizijuProširuje distibuirane kapacitete za procesiranje sa centralizovanim sistemom i DBOmogućava kolaborativnu analizu, menadžment slučaja u realnom vremenu i bezbednu komunikaciju sa licima izvanlaboratorije