Desfazendo alguns mitos da computação forense

1. Passar o dia inteiro atrás de um computador - Este é mais verdadeiro, mas ele não funciona para todos. Pense sobre isso, você não vai estar carregando uma arma, perseguindo "bandidos" e passar o dia inteiro na frente do computador.

2. Perseguindo criminosos - Você vai estar perseguindo um cursor na interface de linha de comando, mais que qualquer outra coisa.

3. Todo mundo é rastreável - Bull! Eu posso bater seu PC, e quando estou a fazer, tudo que você terá a lista dos 5.000 usuários que estavam no mesmo proxy eu era quando acertou o seu PC. Existem vários servidores proxy que não irá revelar os arquivos de log, além disso, há uma boa chance de mais do que uma procuração foi usada. Os tribunais, e as empresas não costumam passar por todos os problemas que, para obter informações para descobrir quem baixou o seu "Meus Documentos" pasta.

4. Tudo tem uma assinatura - Isso é verdade. O problema é, quantos dispositivos se um documento de passar antes que você recebeu? Mesmo traçando um e-mail pode ser quase impossível depois de ter sido ao redor do mundo algumas vezes.

5. Command Line Interface - Sim, você vai ter que saber a linha de comando muito bem, você também tem que saber como interpretar os resultados de um inquérito de linha de comando. Essas interfaces gráficas são bons, mas eles nem sempre lhe dar todas as informações que você precisa para fazer o trabalho.

6. O FBI Precisa de Você - (ROFL) O FBI tem um "ciber-crime" unidade, mas a maior parte de suas informações vêm de fontes do partido 3.

Se você quer ação, forense não é realmente o lugar. Rede de segurança tem mais ação, e muitas vezes você prevenir crimes, em vez de olhar para os vestígios de um crime.

Ainda está interessado?

Começar a investigar o seu próprio PC. Encontrar todos os cookies de internet, analisá-los e escrever o seu histórico de navegação a partir da análise cookie. Existem programas que fazem isso para você, mas a análise cookie é uma boa maneira de aprender como servidores de internet comunicar.

Excluir alguns arquivos, substituí-los, e depois tentar recuperá-los.

Criar um "usuário limitado" conta em seu PC. Tente chegar aos documentos administrativos e programas, sem a senha. Isto pode ser feito na maioria dos sistemas de Windows.

Forense pode ser muito divertido, se você é do tipo curioso. Ela exige uma compreensão profunda de como os computadores se comunicam, e seus processos subjacentes.

Começando, não se preocupe em pegar os bandidos, a preocupação sobre a expansão de seu próprio conhecimento.

Em 2005 eu comecei a usar o Windows XP. Eu nunca tinha usado o Windows, eu era um usuário da Apple. Dentro de um mês, eu sabia o que cada arquivo no sistema de 32 e na pasta Windows fez. Eu sabia onde alterar senhas, onde para remover o Microsoft branding, onde a mudar números de série, onde parar os pop-ups na barra de tarefas, etc, etc, etc

Por que eu preciso que o conhecimento? Quando um vírus ou spyware entra em meu PC eu posso dizer "onde" é de "o que" ele está fazendo. Em vez de simplesmente apagar os arquivos, eu salvá-los e analisá-los para ver onde o vírus veio.

Se as coisas como esta não parece interessante para você, então você não pode ser cortado para computação forense. Se lhe interessam, eu prometo que nunca vai se entediar com sentado atrás de um computador o dia todo, há todo um mundo virtual de possibilidades lá fora esperando para ser descoberto. Há muito mais a computação forense do que apenas escolher além someones disco rígido antigo.