El método de investigación informática y recopilación de pruebas es un modelo técnico emergente en la investigación y recopilación de pruebas actuales. Ha recibido atención continua de las agencias de investigación relevantes en el entorno práctico actual. Medidas implicadas en el proceso de recogida de pruebas informáticas. Procedimientos específicos y métodos específicos. Existen muchos métodos de informática forense y el proceso de informática forense generalmente implica el análisis de evidencia. Es difícil aislar completamente la informática forense y el análisis. Por lo tanto, la clasificación de la informática forense es muy complicada y, a menudo, es difícil hacerla razonable. decisiones según ciertos estándares. Habitualmente, las pruebas obtenidas se clasifican según sus diferentes usos, pudiendo normalmente dividirse en dos tipos de recogida de pruebas de diferente naturaleza. Un tipo es la recopilación de pruebas de fuentes y el otro tipo es la recopilación de hechos. La denominada recopilación de pruebas de origen se refiere al propósito de la recopilación de pruebas principalmente para determinar la fuente de los sospechosos de delitos o de las pruebas. Por ejemplo, en la investigación de delitos cibernéticos, para identificar a un sospechoso de un delito, puede ser necesario encontrar la dirección IP de la máquina utilizada por el sospechoso al cometer el delito. Encontrar la dirección IP es la fuente de recopilación de pruebas. Este tipo de análisis forense incluye principalmente análisis forense de direcciones IP, análisis forense de direcciones MAC, análisis forense de correo electrónico, análisis forense de cuentas de software, etc.
El análisis forense de direcciones IP se utiliza principalmente en Internet. Cada computadora conectada a Internet tiene una dirección IP global única en un momento determinado. El método consiste en identificar mejor la máquina del sospechoso en función de la información de la dirección IP encontrada en la escena del crimen y luego utilizar la máquina del delincuente para encontrar personas relacionadas con el caso.
La análisis forense de direcciones MAC se utiliza principalmente en algunas LAN o redes de direcciones IP asignadas dinámicamente, ya que existe un cierto grado de libertad en el uso de direcciones IP, si no está claro qué dirección IP alquila quién. , puede basarse en la dirección física y se encuentra la relación entre la dirección lógica y la dirección física, y la dirección física también es única y generalmente difícil de cambiar. Por lo tanto, existe una cierta correspondencia entre la dirección MAC y la tarjeta de red en un dispositivo informático específico, que puede usarse para determinar la fuente.
La ciencia forense del correo electrónico se refiere al método de encontrar la máquina que envió el correo electrónico basándose en la información del encabezado del correo electrónico y encontrar a la persona específica basándose en la máquina bloqueada.
El software forense de cuentas se refiere a un software específico que se puede utilizar para probar el origen de un caso si existe una correspondencia uno a uno entre una cuenta y una persona específica. La recopilación de pruebas fácticas se refiere al propósito de recopilar pruebas, no para identificar a sospechosos de delitos. Más bien, se trata de obtener pruebas que prueben los hechos relevantes del caso, como pruebas del delito del sospechoso. Los métodos forenses comunes en la recopilación de hechos incluyen investigación del contenido de archivos, investigación de seguimiento de uso, análisis de funciones de software, análisis de similitud de software, análisis de archivos de registro, análisis de estado de red, análisis de paquetes de red, etc.
La investigación del contenido de archivos se refiere a la obtención del contenido de archivos de documentos, archivos de imágenes, archivos de audio y video, archivos de animación, páginas web, contenido de correo electrónico y otros archivos relacionados en el dispositivo de almacenamiento. Incluyendo el contenido de los archivos después de eliminarlos, formatear el sistema de archivos o restaurar los datos.
La investigación de seguimiento de uso incluye rastros de ejecución de Windows (incluido el historial de la barra de ejecución, el historial de la barra de búsqueda, registros de archivos abiertos/guardados, carpetas temporales, archivos a los que se accedió recientemente, etc., investigación de archivos y programas de uso), acceso a Internet registrado. encuestas (caché, historial, registros de autocompletar, URL desplegables de la barra de direcciones del navegador, cookies, archivos index.dat, etc.), listas de reproducción de Office, realplay y mediaplay y otro historial de uso de software de aplicaciones.
El análisis de funciones de software analiza principalmente la naturaleza y las funciones de software y programas específicos. Comúnmente, es el análisis de código malicioso para determinar sus características destructivas, contagiosas y de otro tipo. Este tipo de método de recopilación de pruebas se utiliza generalmente para destruir sistemas de información informática, invadir sistemas de información informática y propagar virus informáticos.
El análisis de similitud de software se refiere a comparar dos software para descubrir si existe evidencia de similitud sustancial entre los dos. Este tipo de método de recopilación de pruebas se utiliza principalmente en casos relacionados con la propiedad intelectual del software.
El análisis de archivos de registro se refiere al análisis de registros del sistema, registros de bases de datos, registros de red, registros de aplicaciones, etc. para descubrir si hay evidencia de intrusión u otros comportamientos de acceso en el sistema.
El análisis del estado de la red se refiere a la obtención del estado de la red del ordenador en un momento concreto. Por ejemplo, qué máquinas de la red están conectadas a esta máquina, la configuración de red de esta máquina, qué servicios están habilitados, qué usuarios han iniciado sesión en esta máquina, etc.
El análisis de paquetes de red se refiere al proceso de descubrir evidencia relevante mediante el análisis de paquetes de datos transmitidos en la red. El análisis de paquetes de red se produce principalmente en análisis forense en tiempo real y es un método forense integral. A veces, el análisis de paquetes de red también se denomina "escucha de red". Durante la investigación en tiempo real de delitos cibernéticos o investigaciones "seductoras", a menudo se utilizan métodos de interceptación de redes para descubrir actividades delictivas de sospechosos de delitos, captar pistas sobre el delito y brindar apoyo para capturar a sospechosos de delitos.
En el sistema de métodos de investigación de pruebas comúnmente utilizado, la informática forense, como método emergente de investigación y recopilación de pruebas, tiene una naturaleza extremadamente profesional y técnica, pero una vez que se logra un gran avance, también se pueden encontrar pruebas más obvias. Obtuvimos pistas para promover eficazmente la recopilación de pruebas del caso. Como departamento profesional de investigación de pruebas, continuamos resumiendo y dominando la tecnología informática forense especializada para brindar mejor a los clientes servicios de pruebas de alta calidad;