HomeĐời SốngForensic là gì

Forensic là gì

04:10, 29/03/2021
Quản Trị Mạng - lúc tập đoàn năng lượng Enron tuyên ổn ba vỡ nợ trong tháng 1hai năm 2001, hàng trăm ngàn nhân viên cấp dưới mất vấn đề, trong lúc một trong những quan lại chức có thể có lợi trường đoản cú sự sụp đổ này của công ty. Quốc hội Mỹ quyết định khảo sát sau khi bao gồm lời đồn thổi về vấn đề công ty này đã làm cho ăn lận lận. Hầu không còn cuộc khảo sát của Quốc hội Mỹ triệu tập vào mọi tệp tin máy tính nhằm search tìm vật chứng. Một lực lượng chuyên nghiệp hóa ban đầu kiếm tìm tìm thông qua hàng ngàn máy vi tính của nhân viên cấp dưới Enron với computer forensic – tìm minh chứng tội vạ technology cao.

Bạn đang xem: Forensic là gì


Mục đích áp dụng của kỹ thuật computer forensics là search tìm, gia hạn và so với lên tiếng trên hệ thống máy tính nhằm search kiếm vật chứng lỗi lầm cho 1 vụ án. Rất các cách thức khảo sát tất cả thực hiện vào bài toán điều tra tù nhân đều phải sở hữu sự kết phù hợp với hiện đại số, mặc dù cũng có thể có một trong những trường thích hợp quan trọng đặc biệt sử dụng điều tra máy tính.lấy ví dụ, chỉ việc mở 1 file trong đồ vật và biến đổi nó, máy tính vẫn ghi lại thời gian với ngày nó truy cập file. Nếu nhân viên cấp dưới có máy tính rồi bước đầu msinh hoạt các tệp tin, không một ai rất có thể chắc hẳn rằng chúng ta không đổi khác điều gì. Từ đó, quy định sự rất có thể lập luận về cực hiếm pháp luật của rất nhiều minh chứng này trường hợp vụ vấn đề được đưa ra tòa.
Một số fan nhận định rằng vấn đề thực hiện công bố kỹ thuật số là minh chứng là 1 trong phát minh tồi. trường hợp rất có thể biến hóa dữ liệu laptop dễ dãi, làm thế nào rất có thể sử dụng nó là minh chứng xứng đáng tin cậy? Rất các đất nước chất nhận được sử dụng dẫn chứng laptop trong các phiên tòa, nhưng vấn đề này cũng có thể bị thay đổi nếu như minh chứng kỹ thuật số được minh chứng là phần đa bằng chứng không an toàn và đáng tin cậy.Máy tính càng ngày càng trở cần trẻ khỏe, vì vậy, nghành computer forensics cũng nên tất cả sự trở nên tân tiến cân đối. Trong phần đa ngày đầu mới có laptop, rất đơn giản nhằm đa số nhân viên khảo sát hoàn toàn có thể tìm thấy một tệp tin làm sao đó do dung tích tàng trữ khôn cùng rẻ. Ngày ni, với dung tích lưu trữ của ổ đĩa lên đến gigabyte, thậm chí là là terabyte tài liệu, các bước lại càng khó khăn hơn. Điều tra viên đang đề nghị đưa ra phần nhiều phương thức không giống nhau nhằm có thể tìm kiếm bằng chứng nhưng mà không hẳn dùng cho tới vô số nguồn cho quy trình khảo sát, nâng tính công dụng mang lại quy trình.
Vậy, số đông điều cnạp năng lượng bản của computer forensic – tìm kiếm bằng chứng tù nhân technology cao là gì? Những khảo sát viên search kiếm điều gì? Họ search kiếm ngơi nghỉ đâu?Những điều cơ bản của Computer Forensic
*
Lĩnh vực computer forensic vẫn tồn tại khá mớ lạ và độc đáo. Những ngày đầu của sản phẩm tính, TANDTC coi minh chứng từ bỏ laptop ko không giống gì so với phần đa nhiều loại vật chứng khác. Khi laptop ngày dần trsống bắt buộc phát triển rộng với phức hợp hơn, quan tâm đến này đã thay đổi – TAND biết được minh chứng tù nhân hết sức dễ ợt hoàn toàn có thể bị biến đổi, bị xóa hoặc bị phá hỏng.Điều tra viên nhận biết rằng quan trọng nên phát triển một chính sách nào kia hoàn toàn có thể giúp Việc khảo sát vật chứng trong máy vi tính nhưng mà ko làm cho ảnh hưởng tới biết tin. Họ đang bắt tay thao tác cùng với rất nhiều đơn vị kỹ thuật máy tính, lập tình viên để bàn luận về các phương thức cùng hiện tượng cân xứng mà họ yêu cầu mỗi khi đề nghị tầm nã hồi ban bố từ một laptop. Từ kia, bọn họ sẽ cải cách và phát triển phương thức nhằm hình thành nên nghành nghề dịch vụ computer forensic.
Đôi khi, nhân viên điều tra phải gồm lệnh của tòa bắt đầu được tra cứu tìm đọc tin bên trên một laptop tình nghi. Lệnh này đã bao gồm địa điểm khảo sát viên được phnghiền tìm kiếm và loại bằng chứng mà người ta có thể tra cứu. Nói Theo phong cách khác, khảo sát viên chỉ được gia công theo lệnh cùng search kiếm đầy đủ gì mà họ cho rằng xứng đáng nghi hoặc. Thêm vào đó, các điều trong lệnh không được thừa tầm thường phổ biến. Hầu hết các TAND phần đông từng trải rất ví dụ những điều Lúc đưa ra một lệnh cho những điều tra viên.Vì nguyên nhân này, khảo sát viên vẫn đề nghị tra cứu tìm càng các mối cung cấp tình nghi trước khi đề nghị lệnh của tòa án nhân dân càng xuất sắc. Ví dụ: một điều tra viên bao gồm lệnh điều tra một máy tính ở trong diện tình nghi. Người này mang đến nhà đất của tín đồ bị nghi vấn nhằm đi khám theo lệnh. Khi mang lại nơi, khảo sát viên thấy một mẫu máy vi tính nhằm bàn. Nhân viên điều tra này sẽ không thể tra cứu kiếm minh chứng bên trên mẫu laptop này bởi vì nó không được bao gồm trong các luật pháp của lệnh xét nghiệm.Plain ViewĐiều biện pháp plain view – đều điều thấy được trước mắt – cho phép điều tra viên quyền thu thập bất cứ minh chứng làm sao tất cả vào quy trình tra cứu kiếm. Nếu khảo sát viên vào ví dụ vừa rồi phân phát hiển thị minh chứng trên screen máy tính của tín đồ hiện nay đang bị nghi vấn, nhân viên cấp dưới này có thể sử dụng máy tính xách tay này nhằm kiếm tìm tìm vật chứng tuy vậy nó không được bao gồm vào lệnh đi khám. Nếu máy vi tính nhằm bàn này sẽ không được nhảy thì nhân viên cấp dưới khảo sát không có quyền chất vấn nó.

Mỗi cuộc điều tra bên trên sản phẩm công nghệ có sự khác hoàn toàn riêng biệt. Một số cuộc khảo sát rất có thể mất một tuần để có hiệu quả, cơ mà số không giống rất có thể ra mắt các tháng nhằm kết thúc. Dưới đây là một vài điều có thể ảnh hưởng tới thời hạn của một vụ điều tra:• Trình độ chuyên môn của khảo sát viên• Số lượng máy tính phải kiểm tra• Toàn bộ dung tích cơ mà nhân viên khảo sát cần kiểm soát (ổ cứng, đĩa CD, đĩa DVD và các trang bị tàng trữ cắm ngoài)• Liệu tín đồ bị tình nghi bao gồm xóa giỏi giấu thông tin• Xử lý các tệp tin được mã hóa hoặc những file được bảo đảm an toàn bởi password.Các tiến độ của câu hỏi điều tra Computer ForensicJudd Robbins, một chuyên gia máy vi tính với cũng là người đi đầu trong computer forensic sẽ liệt kê một số bước mà lại hầu hết khảo sát viên đề xuất có tác dụng mọi khi hy vọng truy nã hồi vật chứng từ bỏ sản phẩm tính:1. Kiểm rà khối hệ thống máy tính để chắc chắn là rằng sản phẩm và dữ liệu được bình an. Điều này còn có nghĩa điều tra viên cần phải chũm quyền bảo mật nhằm không tồn tại một cá thể nào rất có thể truy vấn máy tính xách tay cùng sản phẩm tàng trữ đang rất được kiểm tra. Nếu khối hệ thống máy tính xách tay gồm kết nối cùng với Internet, khảo sát viên nên kiểm soát được kết nối này.2. Tìm kiếm toàn bộ những tệp tin gồm vào hệ thống laptop, bao gồm những tệp tin đã làm được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng lại không bị ghi đè. Nhân viên khảo sát buộc phải xào nấu lại toàn bộ các tệp tin của khối hệ thống, bao hàm những fiel gồm vào ổ đĩa của sản phẩm tính hay file từ các ổ cứng gặm bên cạnh. Bởi khi truy vấn các tệp tin hoàn toàn có thể biến đổi nó yêu cầu nhân viên khảo sát chỉ nên thao tác với những bạn dạng copy của các file lúc kiếm tìm kiếm bằng chứng. Bản nguyên ổn cội cần phải bảo vệ và không được cồn mang đến.3. Khôi phục lại càng các thông tin bị xóa càng xuất sắc bằng phương pháp áp dụng các áp dụng hoàn toàn có thể tìm tìm và tầm nã hồi tài liệu bị xóa.4. Tìm kiếm thông tin của tất cả các tệp tin ẩn5. Giải mã với truy vấn các file được bảo vệ6. Phân tích các Khu Vực quan trọng bên trên ổ đĩa máy tính xách tay, bao hàm những phần thường xuyên cạnh tranh hoàn toàn có thể tiếp cận.7. Ghi lại toàn bộ các bước của quá trình. Điều này cực kỳ đặc biệt quan trọng so với nhân viên cấp dưới điều tra để cung ứng bằng chứng rằng các bước khảo sát của họ thực hiện gồm đảm bảo an toàn công bố của hệ thống máy tính mà lại ko làm thya đổi hoặc làm cho lỗi bọn chúng. Một vụ khảo sát cùng vụ xử án có thể mất tới thường niên, còn nếu như không có tài liệu đúng đắn, dẫn chứng thậm chí còn còn ko được chấp nhận. Robbins cho rằng đều tài liệu chuẩn xác này không chỉ có bao hàm những tệp tin cùng tài liệu được Phục hồi từ khối hệ thống mà hơn nữa bao hàm cả phiên bản vẽ của hệ thống và nơi những tệp tin được mã hóa hoặc được ẩn.
8. Hãy sẵn sàng là nhân chứng trước tòa vào computer forensics. Thậm chí, Khi quy trình điều tra hoàn chỉnh, công việc điều tra của mình vẫn không hoàn thành. Họ có thể vẫn đề xuất chứng thực trước tòa.Không xóa file như chúng ta nghĩMỗi Khi xóa một tệp tin làm sao kia, máy vi tính của các bạn sẽ gửi tệp tin này sang một danh bạ new. Lúc làm trống thùng rác, máy tính đã thông tin rằng dung tích được thực hiện cho tệp tin này đã được trống. File vẫn được duy trì ở đó trừ phi laptop ghi một dữ liệu new lên phần kia của ổ đĩa. Với các phần mềm thích hợp, chúng ta có thể truy nã hồi những file đã trở nên xóa nếu như bọn chúng vẫn chưa bị ghi đtrằn.

Xem thêm: Amd'S Virtual Super Resolution And Radeon, Amd Virtual Super Resolution

Tất cả các bước này cực kỳ đặc trưng, tuy thế bước trước tiên new là quan trọng đặc biệt độc nhất. Nếu nhân viên cấp dưới điều tra tất yêu kiểm soát cục bộ khối hệ thống máy tính, minh chứng họ kiếm được sẽ không còn được thừa nhận. Đây cũng chính là việc khôn xiết khó. Trong thời hạn đầu của sản phẩm tính, hệ thống chỉ bao gồm một chiếc máy với một vài loại đĩa mềm. Ngày ni, nó bao hàm không hề ít máy tính, ổ đĩa, ổ cứng cắm quanh đó, ….Một số kẻ xấu đã search phương pháp gây trở ngại cho nhân viên điều tra để tra cứu thấy biết tin trong khối hệ thống của chúng. Chúng thực hiện các công tác với vận dụng có tên anti-forensic. Điều tra viên đã bắt buộc dè chừng hầu như công tác này và kiếm tìm bí quyết loại bỏ bọn chúng giả dụ người ta muốn truy cập thông tin trong khối hệ thống.Vậy, anti-forensic là gì? Mục đích của chúng là như vậy nào?Anti-ForensicAnti-forensic rất có thể là ác mộng so với những người dân điều tra máy tính. Lập trình viên kiến thiết nguyên tắc anti-forensic nhằm khiến các bước truy hồi thông báo vào quá trình khảo sát trsinh hoạt buộc phải trở ngại rộng hoặc thậm chí là chẳng thể triển khai được. Về bản chất, anti-forensic dùng làm chỉ bất kì một phương thức, dụng cụ tốt ứng dụng nào đó được thiết kế nhằm gây khó khăn mang đến Việc điều tra laptop.
*
Có không ít bí quyết không giống nhau nhằm các bạn rất có thể giấu thông báo. Một số chương trình rất có thể gạt gẫm laptop bằng phương pháp biến hóa công bố trong header của file. Một header thường được ẩn với đa số tín đồ tuy nhiên nó đích thực đặc trưng khi nó thông tin mang đến laptop một số loại file nhưng nó đang rất được thêm với. Nếu chúng ta vừa đổi khác thương hiệu của một tệp tin mp3 thành tệp tin “.gif”, laptop vẫn biết sẽ là file mp3 do ban bố trong header. Một số lịch trình cho phép bạn biến hóa lên tiếng vào header để máy tính xách tay dìm dạng kia là một tệp tin không giống. Điều tra viên đang search kiếm một định dạng file rõ ràng hoàn toàn có thể bỏ qua mất công bố quan trọng bởi nó trông không liên quan tới báo cáo bắt buộc tìm kiếm.
Các chương trình khác rất có thể chia những tệp tin ra thành những mục nhỏ tuổi không giống nhau với giấu mỗi mục tại 1 file khác biệt. Những file không áp dụng cho dung lượng được điện thoại tư vấn là slaông chồng space. Với công tác phù hợp, chúng ta cũng có thể giấu phần lớn tệp tin này bằng phương pháp sử dụng slack space. Điều này gây trở ngại rất to lớn đến Việc truy vấn hồi cùng tập đúng theo hồ hết đọc tin bị ẩn.Hình như, cũng hoàn toàn có thể giấu một file bên trong tệp tin khác. Executable files – là gần như tệp tin máy vi tính thừa nhận dạng là một trong lịch trình cũng hoàn toàn có thể khiến khoskhawn. Những lịch trình được gọi là packer hoàn toàn có thể lồng những executable file vào những tệp tin các loại tệp tin không giống, trong những khi các điều khoản binder hoàn toàn có thể gắn kết không hề ít executable tệp tin lại với nhau.Mã hóa cũng là 1 trong cách giấu tài liệu khác. lúc chúng ta mã hóa tài liệu, bạn cũng có thể áp dụng các thuật tân oán tinh vi để khiến cho dữ liệu cạnh tranh hoàn toàn có thể gọi được. ví dụ, thuật tân oán hoàn toàn có thể biến đổi một tệp tin text thành tập hợp đều số lượng cùng ký kết trường đoản cú bất nghĩa. Ai kia mong muốn phát âm tài liệu rất cần phải mlàm việc được mật mã, giúp đưa đầy đủ số lượng và ký kết trường đoản cú thành văn uống bản. Nếu không tồn tại password, điều tra viên vẫn phải sử dụng mang đến những công tác điện toán để có thể bẻ khóa mật khẩu đăng nhập. Các thuật toán thù càng phức hợp, càng mất thời hạn giải thuật nó mà không tồn tại mật khẩu.Một công cụ khác anti-forensic khác hoàn toàn có thể biến hóa metadata – lý định kỳ tài liệu – được đi kèm với file. Metadata bao hàm đọc tin y như lúc một file được tạo thành hoặc lần file được biến hóa sau cuối. Thông thường, bạn cần thiết thay đổi mọi đọc tin này, tuy vậy vẫn đang còn những lịch trình giúp người tiêu dùng hoàn toàn có thể đổi khác metadata được đính với file. Hãy thử tưởng tượng lúc kiểm tra một lỹ lịch tài liệu cùng vạc chỉ ra nó nói rằng tệp tin này không trường thọ trong 3 năm tới và lần truy cập cuối cùng vẫn một vắt kỷ trước. Nếu metadata đã biết thành tàn phá, nó khiến cho việc minh chứng bằng chứng trlàm việc yêu cầu khó khăn hơn.Một số ứng dụng vẫn xóa dữ liệu trường hợp ai kia không được quyền cơ mà vẫn cố ý truy cập hệ thống. Một số lập trình sẵn viên đã làm nghiệm coi các chương trình computer forensic hoạt động ra sao với cố gắng tạo ra những vận dụng vừa rất có thể ngăn chặn vừa có thể tấn công các công tác. Nếu những Chuyên Viên computer forensic đối mặt với phần lớn kẻ như thế, chúng ta sẽ cần cẩn thận cùng khôn xiết khéo bắt đầu hoàn toàn có thể truy vấn hồi dữ liệu.Một số người tiêu dùng anti-forensic để chứng tỏ dữ liệu laptop rất có thể tiện lợi bị tiến công và ko xứng đáng tin đến cả làm sao. Nếu bạn ko chắc chắn là thời hạn 1 file được tạo nên, lần cuối cùng truy vấn nó hoặc thậm chí là nó đã có lần mãi mãi, làm thế nào chúng ta cũng có thể chứng tỏ được các vật chứng này là phù hợp pháp trước tòa? Trong Lúc đây vẫn là một câu hỏi có căn cứ, không hề ít giang sơn vẫn chấp nhận bằng chứng bên trên máy tính sinh sống các vụ xét xử, tuy nhiên tiêu chuẩn chỉnh của minh chứng ở mỗi đất nước khác nhau.Vậy, tiêu chuẩn của vật chứng là gì?Tiêu chuẩn của minh chứng trường đoản cú đồ vật tính"Suy suy nghĩ thế giới, hành động quần thể vực"Một thách thức gần như nhân viên điều tra trên laptop nên đối mặt là trong những khi tù túng máy tính chuyển động không biên thuỳ, pháp luật cũng như vậy. Một điều biết đến không phù hợp pháp ở nước này nhưng lại là vừa lòng pháp nghỉ ngơi nước khác. mà hơn nữa, không tồn tại chuẩn quốc tế bình thường về Việc thu thập thông tin trên máy vi tính. Một số nước nhà cố gắng chuyển đổi vấn đề này. Nhóm G8, bao hàm Mỹ, Canada, Pháp, Đức, Anh, Nhật Bản, Ý và Nga, vẫn đồng điệu 6 điều phổ biến về việc tìm và đào bới minh chứng lầm lỗi technology cao. Những điều bình thường này tập trung vào bài toán lưu lại giữ nguyên cội dẫn chứng.

Tại Mỹ, các điều phương tiện tổng quan vấn đề kiểm soát cùng áp dụng vật chứng bên trên máy tính. Sở bốn pháp Hoa Kỳ tất cả cuốn sổ tay với tên "Searching & Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations"(tìm kiếm kiếm, kiểm soát máy vi tính cùng thu thập dẫn chứng điện tử vào điều ta tội phạm). Cuốn nắn sổ này giải thích Khi điều tra viên được phxay áp dụng máy tính xách tay trong lúc tra cứu tìm, phần đa loại thông tin làm sao rất có thể chấp nhận được, dụng cụ hearsay - lời hội chứng nghe được từ bỏ tín đồ không giống nói lại - được vận dụng khi tiến hành search tìm dẫn chứng.Nếu nhân viên khảo sát nhận định rằng khối hệ thống máy tính xách tay chỉ vận động như vật dụng tàng trữ, họ ko được phnghiền thu duy trì ổ cứng. Điều này vẫn làm cho số lượng giới hạn minh chứng cho vụ Việc. Theo phương pháp không giống, giả dụ nhân viên cấp dưới điều tra cho rằng ổ cứng là dẫn chứng, bọn họ có thể thu duy trì ổ cứng cùng đưa về trụ ssống. lấy một ví dụ, nếu như laptop là bằng chứng của vấn đề trộm cắp gia sản, khảo sát viên có thể thu giữ lại ổ cứng.Để có thể thực hiện dẫn chứng xuất phát điểm từ 1 máy tính trước tòa, bên nguyên yêu cầu tuyệt đối được vật chứng này. Nghĩa là, nguyên đơn đề xuất xác thực được thông báo được giới thiệu trước tòa là vật chứng từ máy tính của bị solo và hầu hết thông tin này vẫn được giữ nguyên bạn dạng.Mặc cho dù, phần lớn fan hay chấp nhận rằng có tác dụng giả mạo tài liệu laptop là điều rất có thể cùng siêu dễ dàng. Tuy nhiên, những TANDTC ngơi nghỉ Mỹ không trọn vẹn sa thải hội chứng cứ tự máy tính. Thay vào đó, chúng ta đề xuất minh chứng đều dẫn chứng này là giả trước lúc vứt bỏ nó.Một điều không giống nhưng phiên tòa vẫn chú ý với bằng chứng từ bỏ máy tính là hearsay. Đây là một trong những thuật ngữ nói về hồ hết lời phát biểu được nói ra bên ngoài phiên tòa xét xử. Trong phần đông những ngôi trường đúng theo, tòa án nhân dân không chất nhận được hearsagiống như một dẫn chứng. Tòa án sẽ cẩn thận biết tin bên trên một laptop không hẳn là hearsay trong các ngôi trường phù hợp cùng vì thế nên nó được gật đầu đồng ý. Nếu máy tính xách tay ghi lại đều lời phát biểu nlỗi một tin nhắn, tòa án nhân dân cần phải xem xét rằng số đông phát biểu này có được xem như là an toàn và đáng tin cậy hay không, trước lúc coi chính là bằng chứng đảm bảo. Phiên tòa vẫn xác minh hồ hết vấn đề này theo từng ngôi trường vừa lòng.Computer forensicáp dụng một trong những chính sách cùng vận dụng thú vui trong quy trình khảo sát. Hãy cùng tìm hiểu về hầu hết phương tiện này nghỉ ngơi mục tiếp theo.Các nguyên tắc của computer forensicLập trình viên vẫn tạo thành không ít vận dụng computer forensic. Đối với những trụ sngơi nghỉ cảnh sát, gạn lọc thực hiện rất nhiều hình thức này dựa vào túi tiền cũng như nguồn lực lượng lao động.
*
Dưới đây là một số chương trình và thiết bị computer forensic có lợi vào quá trình điều tra:• Disk imaging software đánh dấu cấu trúc và ngôn từ của một ổ cứng. Với ứng dụng này, rất đơn giản để có thể coppy thông tin của một ổ đĩa cùng nó còn hỗ trợ phương pháp các file được tổ chức triển khai và côn trùng tương tác giữa các file với nhau.• Software hoặc hardware write tools coppy và tùy chỉnh thiết lập lại một ổ cứng từng bit một. Cả 2 các loại mức sử dụng này đông đảo hoàn toàn có thể tránh được vấn đề chuyển đổi thông báo. Một số khí cụ hưởng thụ khảo sát viên loại bỏ ổ cứng tự máy vi tính của người bị tình nghi trước, kế tiếp new được xào nấu.• Hashing tools dùng làm đối chiếu bạn dạng nguyên ổn nơi bắt đầu trong ổ cứng cùng với bạn dạng coppy. Công gắng sẽ so sánh tài liệu và gán mang đến nó một con số đơn nhất. Nếu con số này bên trên phiên bản nguim cội với bên trên bản coppy trùng nhau, trên đây chính là phiên bản sao y ngulặng phiên bản cội.• Điều tra viên thực hiện những lịch trình phục sinh tài liệu nhằm tra cứu tìm và Phục hồi tài liệu đã bị xóa. Những công tác này xác định tài liệu nhưng laptop đang ghi lại nhằm xóa cơ mà vẫn chưa bị ghi đè lên. Đôi khi, vấn đề đó còn ảnh hưởng cho tới đều tệp tin không được hoàn thiện, tạo trở ngại cho câu hỏi so sánh.
• Có một số lịch trình có phong cách thiết kế nhằm bảo vệ ban bố được tàng trữ vào RAM. Không giống hệt như biết tin bên trên ổ đĩa, tài liệu được lưu lại trong RAM có khả năng sẽ bị mất sau thời điểm tắt vật dụng. Nếu không tồn tại ứng dụng tương thích, đọc tin này vẫn dễ ợt bị mất.• Phần mượt so sánh thanh lọc tất cả lên tiếng bên trên một ổ đĩa nhằm search tìm một biết tin rõ ràng làm sao kia. Bởi hầu hết máy tính tiến bộ rất có thể lưu trữ hàng gigabyte tài liệu, siêu cực nhọc với tốn thời hạn nhằm tra cứu kiếm file trên máy tính xách tay thủ công bằng tay. lấy ví dụ như, một vài chương trình phân tích tìm tìm với đánh giá Internet cookies, giúp nhân viên khảo sát tìm thấy rất nhiều hoạt động xứng đáng nghi bên trên Internet. Một số chương trình không giống được cho phép khảo sát viên search tìm một biết tin ví dụ, ở trong dạng ngờ vực vào khối hệ thống máy vi tính.• Chương thơm trình lời giải cùng ứng dụng bẻ khóa password hết sức phầm mềm Lúc khảo sát viên phải đương đầu cùng với tài liệu được bảo đảm an toàn.Điện thoại di độngĐiện thoại di động cũng có thể tàng trữ tài liệu đặc trưng. Về thực chất, có thể coi một loại di động là một trong mẫu máy tính nhỏ. Một số ít fan chào bán computer forensic có cung cấp trang bị hoàn toàn có thể xào nấu toàn bộ dữ liệu trong bộ nhớ điện thoại cảm ứng thông minh di động với in ra thành bản report. Những lắp thêm này có thể truy hồi hồ hết thiết bị trường đoản cú lời nhắn cho tới nhạc chuông.
Những lý lẽ này chỉ đích thực hữu ích Khi nhân viên điều tra tiến hành đúng những giấy tờ thủ tục. Nếu không, một công cụ sư biện hộ xuất sắc rất có thể lập luận rằng hầu hết dẫn chứng được tích lũy trong lúc khảo sát laptop là ko an toàn và tin cậy. Tất nhiên, vẫn đang còn một vài ít chuyên gia anti-forensic tranh luận rằng không có bằng chứng bên trên máy tính làm sao là trọn vẹn tin cậy.Liệu tòa án nhân dân bao gồm liên tiếp gật đầu bằng chứng từ bỏ laptop là an toàn và đáng tin cậy nhằm thực hiện trong những phiên tòa nữa hay không? Chulặng gia anti-forensic vẫn lập luận rằng chỉ bao gồm vấn đề về thời gian trước khi ai kia có thể minh chứng trước tòa rằng đều tài liệu này là chính đại quang minh cùng có thể bảo đảm được. Nếu vấn đề này xẩy ra, tòa án sẽ khá khó khăn vào Việc xác minc vật chứng trường đoản cú máy tính của một vụ án hoặc một cuộc khảo sát.