Informática forense es un campo en el que se recogen pruebas para determinar el origen de un delito o atentado. Los datos se recogen , se examinaron , y se analizó usando herramientas que proporcionan acceso directo a la información en un disco . La familiaridad con estas herramientas es útil para los usuarios habituales , ya que proporciona una comprensión más profunda de la seguridad informática . Herramientas forenses están disponibles al público , sabiendo lo que se puede recuperar de las unidades puede hará replantearse sus procedimientos de seguridad . Editores hexadecimales
editores hexadecimales son programas que le dan la posibilidad de ver o editar datos en su forma cruda . En lugar de acceder a los datos a través de archivos , que son capaces de modificar bytes individuales. Muchos editores hexadecimales muestran tanto binario y las interpretaciones ASCII de los datos , además de la hexadecimal regular, o base 16 , vista . Los datos de los discos duros, memorias USB , tarjetas de memoria RAM y otras fuentes se puede acceder con un editor hexadecimal . Cuando un usuario elimina un archivo de un dispositivo, el sistema operativo no elimina los datos reales. En su lugar , el archivo está oculto y el enlace desde el archivo de los datos se elimina . El uso de un editor hexadecimal proporciona expertos forenses con la posibilidad de recuperar la información eliminada.
Exif Dueños
Cuando las cámaras digitales toman fotos , escriben información sobre la imagen de los metadatos del archivo . Estos metadatos se llama datos Exif . Por lo menos , la hora y la fecha de la imagen se almacenan . A menudo, también se guardan marca de la cámara , el modelo y la configuración. Cámaras más avanzadas , como cámaras de teléfonos móviles, también pueden registrar la ubicación GPS en la que fue tomada la foto. Existen utilidades que le permiten ver los datos EXIF de una imagen. Al utilizar esta información , los expertos forenses pueden juntar pruebas relacionadas con una fotografía incriminatoria .
De imágenes de disco de software
Una imagen de disco es un archivo que contiene un copia exacta de un dispositivo de almacenamiento . Las imágenes de disco son frecuentemente utilizados para la clonación de equipos y para realizar copias de seguridad de los datos . En la informática forense , los expertos llevan a cabo investigaciones en imágenes de disco para evitar la contaminación accidental de los datos originales . Otra ventaja es que las copias de la imagen de disco se pueden hacer , lo que permite a varias personas para analizar los datos a la vez.
Contraseña Lookup Tables
Aunque las contraseñas no suelen evitar análisis de los datos en bruto en una unidad , los datos pueden ser cifrados . En estos casos , la recuperación de una contraseña puede ser necesaria para el análisis de datos adecuada . Las contraseñas se almacenan como hashes veces en un archivo o base de datos. Si un experto forense tiene acceso a una contraseña con algoritmo hash , puede tratar de utilizar una tabla de búsqueda de decodificarlo . Una tabla de búsqueda contiene una secuencia de cadenas y sus valores hash . No todas las contraseñas serán vulnerables a este método de ataque. En este caso, pueden ser necesarios métodos tales como ataques de fuerza bruta .
Packet Sniffers
A veces los datos que necesitan ser analizados se está transmitiendo por la red. En este caso , se pueden utilizar rastreadores de contraseñas . Estos son particularmente útiles a través de redes WiFi y público . Datos Muy frecuentemente , los usuarios están transmitiendo completamente sin cifrar , lo que le permite ser capturada y analizada . Conversaciones de mensajería instantánea se pueden ver a medida que ocurren , acceso a la web se puede registrar y mensajes de correo electrónico puede ser interceptado . Toda esta información tomada en suma se puede utilizar para la ventaja de que el investigador forense.