SlideShare une entreprise Scribd logo

Digitalni dokazi forenzicki alati i standardi

Dejan Jeremic
Dejan Jeremic
Formation
1  sur  62
Télécharger pour lire hors ligne
DIGITALNI DOKAZI - forenzički alati i standard za njihovo prikupljanje i pohranu ZIH d.o.o. Nataša Kučeković, dipl.inf. dr.sc. Silvana Tomić Rotim Zlatibor, 24. – 26. travnja 2014.
Sadržaj • Prikupljanje dokaza • ISO/IEC 27037:2012 • Forenzički alati
Računala • Stolno računalo = radna stanica): – ne može se lako oduzeti – lagano otvaranje kućišta i izdvajanje komponenti • Laptop, netbook i notebook: – računalo, monitor, miš i tipkovnica su integrirani – jednostavan za transport – teško je izdvojiti komponente
Digitalna istraga • Korištenje općeg znanja i specijaliziranih tehnika: – za otkrivanje digitalnih informacija koje prolaze ili su pohranjene na elektronske medije – za otkrivanje prekršaja (neautoriziranih radnji)
Domene digitalne istrage • Cyber ​​istrage • Upravljanje incidentima • Računalna forenzika – zlouporaba računala
Načela u forenzici • Najbolji dokaz • Minimalni upadi • Minimalan napor • Minimalan prekid • Transparentnost • Kontinuitet - procedure • Misija - cilj • Nepristranost • NAJVAŽNIJE: optimalna dokumentacija
Bilješke Evidentiranje observacija na mjestu događaja koje uključuju: – datum i sat – opis događaja i uočenih činjenica – poduzete aktivnosti – način rukovanja oduzetim medijima - pohrana bilješki
Prikupljanje elektroničkih dokaza- mogućnosti • Ukoliko medij koji se ispituje: – Ne sadrži informacije koje se traže: • Povratak medija – Sadrži najmanje jedan dokument koji se odnosi na nalog: • Zaplijeniti original • Zaplijeniti klon originala • Zaplijeniti image originala • Napraviti ciljanu kopiju relevantnih podataka • Napravite proširenu kopiju
Prikupljanje elektroničkih dokaza – R-OCITE • R RETURN • O ORIGINAL • C CLONE • I IMAGE • T TARGETED (kopija) • E EXTENSIVE (kopija)
Zaplijena originala • Prednosti: – Najbolji dokaz – Pristup cijelom okruženju sumnjivog medija – Skraćuje vrijeme provedeno na terenu • Nedostaci: – Prekid poslovanja – Treba planirati vrijeme za izradu klona kako bi se poslovanje nastavilo – Oduzimanje podataka izvan opsega
Zaplijena klona • Prednosti: – Drugi najbolji dokaz – Cijelo sumnjivo okruženje je dostupno • Nedostaci: – Prekid poslovanja – Potrebni dodatni mediji – Oduzimanje podataka izvan opsega
Zaplijena image-a • Prednosti: – Drugi najbolji dokaz uz klon – Mogućnost ponovne uspostave i pokretanja na istom fizičkom mediju • Nedostaci: – Potreban medij za pohranu dovoljno velik za stvaranje image-a – Oduzimanje podataka izvan opsega
Zaplijena ciljane kopije • Prednosti: – Smanjenje vremena za izvlačenje podataka u laboratoriju – Smanjenje upada u sustav – Maksimalno poštivanje privatnosti – Original se vraća u poslovanje • Nedostaci: – Izostavljanje nekih bitnih informacija – Nema ponovnog ispitivanja originala – Potreban medij za kopiju informacija
Zapljena proširene kopije • Prednosti: – Potrebno je manje vremena u odnosu na kloniranje ili imaging – Nema prekida aktivnosti • Nedostaci: – Potrebno je više vremena od ciljane kopije – Ograničen prostor na mediju za pohranu
Analiza procesa
Forenzički standardi • ISO/IEC 27037 Identifikacija, prikupljanje, nabava i čuvanje digitalnih dokaza • ISO/IEC 27041 Osiguravanje prikladnosti i adekvatnosti metoda istraživanja • ISO/IEC 27042 Analiza i interpretacija digitalnih dokaza • ISO/IEC 27043 Principi i procesi istraživanja
ISO/IEC 27037:2012 5. Pregled 6. Ključne komponente identifikacije, prikupljanja, stjecanje i očuvanje digitalnih dokaza 7. Primjeri identifikacije, prikupljanja, nabave i čuvanja dokaza Ne uključuje analizu dokaza.
Ključni resursi • Voditelj laboratorija • Odgovorna osoba za odgovor na incidente • DEFR (Digital Evidence First Responder) • DES (Digital Evidence Specialist)
Opseg • Digitalni mediji za pohranu (HD, diskete…) • Mobilni telefoni, memorijske kartice • Mobilni navigacijski sustav • Video kamere (uključujući CCTV) • Standardno računalo s mrežnim priključkom • Mreže bazirane na TCP/IP i drugim protokolima • Uređaji sa sličnim funkcijama
5. Pregled • Kontekst za prikupljanje digitalnih dokaza • Načela digitalnih dokaza • Zahtjevi za rukovanje digitalnim dokazima • Proces rukovanja digitalnim dokazima
5.1. Kontekst za prikupljanje digitalnih dokaza • Interna ili externa potreba za dokazima • Proces prioriteta - vrijednost i redoslijed kojim potencijalni digitalni dokazi trebaju biti prikupljeni
5.2. Načela digitalnih dokaza Tri su osnovna načela upravljanja digitalnim dokazima: relevantnost, pouzdanost, dostatnost • Relevantnost – dokazati da su stečene informacije relevantne za istragu • Pouzdanost – svi procesi koji se koriste za rukovanje dokazima trebaju se moći pregledati i ponoviti • Dostatnost – DEFR treba osigurati dovoljno informacija za istragu
5.3. Zahtjevi za rukovanje digitalnim dokazima • Mogućnost provođenja revizije • Ponovljivost • Obnovljivost • Opravdanost
Mogućnost provođenja revizije • Neovisni procijenitelj ili druge ovlaštene zainteresirane strane trebaju biti u mogućnosti procijeniti rad DEFR-a i DES-a • DEFR i DES trebaju biti u mogućnosti opravdati proces donošenja odluka o pokretanju aktivnosti • Procesi izvođeni od strane DEFR ili DES trebaju biti dostupni za neovisnu procjenu
Ponovljivost • Utvrđuje se kada su isti rezultati testiranja stvoreni pod sljedećim uvjetima: • korištenjem istih procedura i metoda mjerenja • korištenjem istih instrumenata i pod istim uvjetima • mogu se ponoviti u bilo kojem trenutku nakon originalnog testa • DEFR bi trebao biti u mogućnosti provesti sve dokumentirane procese i provesti kontrolu kvalitete
Obnovljivost • Utvrđuje se kada su isti rezultati testiranja stvoreni pod sljedećim uvjetima: • Korištenje iste metode mjerenja • Korištenje različitih instrumenata i pod različitim uvjetima • Mogu se obnoviti u bilo kojem trenutku nakon originalnog testa
Opravdanost • DEFR bi trebao biti u mogućnosti opravdati sve aktivnosti i metode koje se koriste u rukovanju potencijalnim digitalnim dokazima • opravdanje se može postići demonstrirajući da je odluka bila najbolji izbor za dobivanje svih digitalnih dokaza • Organizacija treba zaposliti DEFR ili DES koji posjeduje potrebne vještine i kompetencije
5.4. Proces rukovanja digitalnim dokazima • Identifikacija • Prikupljanje • Nabava • Zaštita Procedura za osiguravanje integriteta i pouzdanosti izvora dokaza.
Identifikacija • opipljivi i neopipljivi dokazi • veza s incidentom • identifikacija digitalnih medija za pohranu podataka i uređaja za obradu koji mogu sadržavati potencijalne digitalne dokaze • Ne mogu se sve vrste medija za pohranu lako identificirati i locirati – cloud computing
Prikupljanje • uređaji koji mogu sadržavati potencijalne digitalne dokaze su uklonjeni s izvornog mjesta u laboratorij ili druge kontrolirane uvjete • dokumentiranje cijelog pristupa i prikupljanje svih materijala koji bi se mogli odnositi na potencijalne digitalne dokaze • „power off” i „power on” procedure • pakiranje dokaza za transport
Evidence bag Antistatic bag
Nabava • izrada kopije digitalnih dokaza i dokumentiranje korištene metode • odabir alata • testiranje provedene metode (original = kopija) • zakonodavstvo – oduzimanje medija u prisustvu vlasnika
Čuvanje • Digitalni dokaz treba sačuvati kako bi se osigurala njegova korisnost u istrazi • Očuvati integritet dokaza • DEFR mora zaštititi dokaze od promjena • Osigurati zaštitu povjerljivosti dokaza
6. Ključne komponente identifikacije, prikupljanja, nabave i čuvanja digitalnih dokaza • Sljedivost • Mjere opreza na mjestu incidenta • Uloge i odgovornosti • Sposobnosti • Oprezno rukovanje • Dokumentacija • Izvještavanje • Određivanje prioriteta prikupljanja i usvajanja • Održavanje potencijalnih digitalnih dokaza
Sljedivost • Kronologija kretanja i upravljanja digitalnim dokazima • Zapis – dokument koji detaljno opisuje sljedivost, sadrži imena odgovornih osoba za upravljanje dokazom kao i sljedeće informacije: • ID dokaza, • Tko je pristupio dokazu, • Tko je preuzeo dokaz iz objekta za čuvanje dokaza. • Životni ciklus dokumenata i zapisa
Mjere opreza na mjestu incidenta Potrebno je osigurati lokaciju gdje se prikupljaju dokazi: • Utvrditi odgovorne osobe na lokaciji • Osigurati da su osobe udaljene od uređaja • Identificirati sve koji imaju pristup lokaciji • Identificirati sve koji su povezani s incidentom • Ne gasiti / ne paliti uređaje
Osobne mjere opreza • Provođenje procjene rizika sigurnosti osoba prije početka procesa, razmatrajući: • U koje vrijeme će proces biti proveden • Da li proces može biti izoliran od promatrača • Ima li oružja u okolini • Može li išta u blizini uzrokovati fizičku štetu (konfiguracija)... Prepoznati prijetnje i ranjivosti
Potencijalni digitalni dokaz • DEFR bi trebao biti oprezan prilikom korištenja specifičnih alata za prikupljanje dokaza • Procjena rizika – potencijalni utjecaj na istragu • Metoda prikupljanja dokaza • Potrebna oprema na lokaciji • Potreba udaljenog pristupa
6.3. Uloge i odgovornosti • Uloga DEFR-a: • identifikacija • prikupljanje • nabava • zaštita digitalnih dokaza, osiguravajući integritet dokaza • Uloga DES-a: • pružanje tehničke potpore i specijalizirane stručnosti DEFR-u
6.4. Kompetencije • DEFR i DES trebali bi posjedovati ključne tehničke i pravne sposobnosti te pokazati da su obučeni za pravilno rukovanje digitalnim dokazima • Kriteriji definirani od strane pravosuđa • Sistematizacija radnih mjesta
6.5. Oprezno rukovanje • Izbjegavati bilo kakve radnje koje bi uzrokovale krađu /nestanak potencijalnih digitalnih dokaza koji su pohranjeni • Kontrola pristupa • DEFR ne bi trebao pristupati digitalnih uređajima, osim ako nema potrebne sposobnosti i ovlaštenja, te koristi pouzdane i provjerene procese
• Svaka aktivnost treba biti dokumentirana • Postavke vremena i datuma – sinkronizacija satova • Dokumentirati sve što je vidljivo na ekranu uređaja • Dokumentirati pomicanje uređaja • Dokumentirati sve identifikatore uređaja i pripadajuću opremu Procedura upravljanja dokumentacijom i zapisima 6.6. Dokumentacija
• Specifičnosti digitalnih dokaza • Specifičnosti osoblja • Incidenti u stvarnom vremenu • Ostalo informiranje Procedura informiranja 6.7. Informiranje
• Potrebno je organizirati sastanke za informiranje DEFR-a o detaljima koji se odnose na istragu, smjernice za istragu: • Tip incidenta • Vrijeme • Plan istrage • Definiranje mjesta čuvanja dokaza • Alati • Dokumentacija • Zakonska regulativa • Zapisnik sa sastanka Specifičnosti digitalnih dokaza
• Uloge i odgovornosti • Određivanje tima (tehnički stručnjaci) • Awareness Specifičnosti osoblja
• Istragu planirati unaprijed - proces • Informirati tim o početnim strategijama • Upravljanje incidentima - procedura Incidenti u stvarnom vremenu
Ostale informacije trebale bi uključivati: • Detalje o nalogu za pretres, • Pravne aspekte, • Vremenski okvir istrage, • Informacije o logistici, • Potrebna oprema, • Potencijalni sukobi interesa. Ostalo izvještavanje
• Razumijevanje razloga za prikupljanje potencijalnog digitalnog dokaza • Prioritet se određuje prema postojanosti podataka (gubitak napajanja može izbrisati podatke) • DEFR bi trebao posjedovati znanje o određivanju prioriteta - proces 6.8. Odrediti prioritet prikupljanja dokaza
• Zaštita potencijalnih digitalnih dokaza • Pakiranje digitalnih uređaja i potencijalnih digitalnih dokaza • Transport potencijalnih digitalnih dokaza 6.9. Zaštita potencijalnih digitalnih dokaza
• Svi prikupljeni i stečeni digitalni dokazi trebaju biti zaštićeni od gubitka ili krađe te pohranjeni na lokaciji za čuvanje dokaza koja primjenjuje fizičke kontrole sigurnosti • Očuvanje integriteta i povjerljivosti Čuvanje potencijalnih digitalnih dokaza
• Popunjavanje popratne omotnice • Labeliranje • Zaštita od lomova Pakiranje digitalnih uređaja i potencijalnih digitalnih dokaza
• dokazi ne smiju biti ostavljeni bez nadzora tijekom procesa transporta • ukoliko dokaze ne transportira DEFR ili DES, preporuča se korištenje enkripcije • Zaštita tajnosti podataka Transport potencijalnih digitalnih dokaza
Autopsy alat • Autopsy Forensic Browser je alat koji pruža grafičko sučelje za softverski paket „Sleuth Kit” i koristi se za izvršavanje analize digitalnih istraga. • Postoji besplatna inačica alata. • Funkcionalnost alata temelji se na HTML tehnologiji. • Autopsy pruža pregled izbrisanih podataka i strukture podataka.
Drugi alati koji se koriste u forenzici • PDBlock – spriječava pisanje na originalni disk tijekom forenzičkog kopiranja diska, • DriveSpy – alat koji se temelji na DOS operativnom sustavu, omogućava stvaranje forenzičke kopije diska, obnavljanje izbrisanih podataka i nekorištenih dijelova sektora te analizu korištenja kriptografskog sažetka • FTK Imager – forenzičko kopiranje, • SnapBack Exact – forenzičko kopiranje diska, • DiskSig – provjeravanje forenzičkih kopija diska, • GetFree – kopiranje diska, spremanje na drugi medij i analiza, • Ontrack – program za povrat izbrisanih podataka s diska, • AcoDisk – program za povrat podataka s optičkog medija, • MediaMerge – koristi se za povrat podataka s optičkog medija i HD-a.
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - otvaranje
Autopsy - report
Hvala na pažnji! nkucekovic@zih.hr www.zih.hr

Recommandé

Virtualization Technology Overview
Virtualization Technology OverviewVirtualization Technology Overview
Virtualization Technology Overview
OpenCity Community
 
Lec 01_Linux System Administration (1).pptx
Lec 01_Linux System Administration (1).pptxLec 01_Linux System Administration (1).pptx
Lec 01_Linux System Administration (1).pptx
ShabanaShafi3
 
Using QEMU for cross development
Using QEMU for cross developmentUsing QEMU for cross development
Using QEMU for cross development
Tetsuyuki Kobayashi
 
The kvm virtualization way
The kvm virtualization wayThe kvm virtualization way
The kvm virtualization way
Francisco Gonçalves
 
Linux fundamentals
Linux fundamentalsLinux fundamentals
Linux fundamentals
Raghu nath
 
Ubuntu File System
Ubuntu File SystemUbuntu File System
Ubuntu File System
Bhagyesh Patel
 
Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...
Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...
Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...
Ryo Jin
 
Linux device drivers
Linux device driversLinux device drivers
Linux device drivers
Abhishek Sagar
 

Recommandé

Virtualization Technology Overview
Virtualization Technology OverviewVirtualization Technology Overview
Virtualization Technology Overview
OpenCity Community
 
Lec 01_Linux System Administration (1).pptx
Lec 01_Linux System Administration (1).pptxLec 01_Linux System Administration (1).pptx
Lec 01_Linux System Administration (1).pptx
ShabanaShafi3
 
Using QEMU for cross development
Using QEMU for cross developmentUsing QEMU for cross development
Using QEMU for cross development
Tetsuyuki Kobayashi
 
The kvm virtualization way
The kvm virtualization wayThe kvm virtualization way
The kvm virtualization way
Francisco Gonçalves
 
Linux fundamentals
Linux fundamentalsLinux fundamentals
Linux fundamentals
Raghu nath
 
Ubuntu File System
Ubuntu File SystemUbuntu File System
Ubuntu File System
Bhagyesh Patel
 
Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...
Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...
Consolidation of IVI Graphic Subsystems; Weston, a Wayland Compositor, and Ge...
Ryo Jin
 
Linux device drivers
Linux device driversLinux device drivers
Linux device drivers
Abhishek Sagar
 
Virtualization
VirtualizationVirtualization
Virtualization
Birju Tank
 
Introduction to Virtualization
Introduction to VirtualizationIntroduction to Virtualization
Introduction to Virtualization
elliando dias
 
1.Introduction to virtualization
1.Introduction to virtualization1.Introduction to virtualization
1.Introduction to virtualization
Hwanju Kim
 
Student guide power systems for aix - virtualization i implementing virtual...
Student guide power systems for aix - virtualization i implementing virtual...Student guide power systems for aix - virtualization i implementing virtual...
Student guide power systems for aix - virtualization i implementing virtual...
solarisyougood
 
Server operating system file
Server operating system fileServer operating system file
Server operating system file
MirzaShabi1
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
Sumit Singh
 
Episode 2 DB2 pureScale Installation, Instance Management & Monitoring
Episode 2 DB2 pureScale Installation, Instance Management & MonitoringEpisode 2 DB2 pureScale Installation, Instance Management & Monitoring
Episode 2 DB2 pureScale Installation, Instance Management & Monitoring
Laura Hood
 
Openstack in 10 mins
Openstack in 10 minsOpenstack in 10 mins
Openstack in 10 mins
Dawood M.S
 
Linux Commands - Cheat Sheet
Linux Commands - Cheat Sheet Linux Commands - Cheat Sheet
Linux Commands - Cheat Sheet
Isham Rashik
 
Linux Internals - Kernel/Core
Linux Internals - Kernel/CoreLinux Internals - Kernel/Core
Linux Internals - Kernel/Core
Shay Cohen
 
TrendMicro
TrendMicroTrendMicro
TrendMicro
1CloudRoad.com
 
Horizon view technical deep dive
Horizon view technical deep diveHorizon view technical deep dive
Horizon view technical deep dive
Murugesan Arumugam
 
What is Virtualization
What is VirtualizationWhat is Virtualization
What is Virtualization
Dhrupesh Kotadiya
 
OpenStack Nova Scheduler
OpenStack Nova Scheduler OpenStack Nova Scheduler
OpenStack Nova Scheduler
Peeyush Gupta
 
Linux network file system (nfs)
Linux network file system (nfs)Linux network file system (nfs)
Linux network file system (nfs)
Raghu nath
 
Citrix xen app 6.5 step by-step 構築&操作ガイド
Citrix xen app 6.5 step by-step 構築&操作ガイドCitrix xen app 6.5 step by-step 構築&操作ガイド
Citrix xen app 6.5 step by-step 構築&操作ガイド
Citrix Systems Japan
 
NETWORK FILE SYSTEM
NETWORK FILE SYSTEMNETWORK FILE SYSTEM
NETWORK FILE SYSTEM
Roshan Kumar
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
FootballLovers9
 
Xen and the Art of Virtualization
Xen and the Art of VirtualizationXen and the Art of Virtualization
Xen and the Art of Virtualization
Susheel Thakur
 
Virtual machine subhash gupta
Virtual machine subhash guptaVirtual machine subhash gupta
Virtual machine subhash gupta
Subhash Chandra Gupta
 
2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza 2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza
Damir Delija
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
Damir Delija
 

Contenu connexe

Tendances

Introduction to Virtualization
Introduction to VirtualizationIntroduction to Virtualization
Introduction to Virtualization
elliando dias
 
Horizon view technical deep dive
Horizon view technical deep diveHorizon view technical deep dive
Horizon view technical deep dive
Murugesan Arumugam
 
OpenStack Nova Scheduler
OpenStack Nova Scheduler OpenStack Nova Scheduler
OpenStack Nova Scheduler
Peeyush Gupta
 
Linux network file system (nfs)
Linux network file system (nfs)Linux network file system (nfs)
Linux network file system (nfs)
Raghu nath
 
NETWORK FILE SYSTEM
NETWORK FILE SYSTEMNETWORK FILE SYSTEM
NETWORK FILE SYSTEM
Roshan Kumar
 
Xen and the Art of Virtualization
Xen and the Art of VirtualizationXen and the Art of Virtualization
Xen and the Art of Virtualization
Susheel Thakur
 

Tendances (20)

Virtualization
VirtualizationVirtualization
Virtualization
 
Introduction to Virtualization
Introduction to VirtualizationIntroduction to Virtualization
Introduction to Virtualization
 
1.Introduction to virtualization
1.Introduction to virtualization1.Introduction to virtualization
1.Introduction to virtualization
 
Student guide power systems for aix - virtualization i implementing virtual...
Student guide power systems for aix - virtualization i implementing virtual...Student guide power systems for aix - virtualization i implementing virtual...
Student guide power systems for aix - virtualization i implementing virtual...
 
Server operating system file
Server operating system fileServer operating system file
Server operating system file
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Episode 2 DB2 pureScale Installation, Instance Management & Monitoring
Episode 2 DB2 pureScale Installation, Instance Management & MonitoringEpisode 2 DB2 pureScale Installation, Instance Management & Monitoring
Episode 2 DB2 pureScale Installation, Instance Management & Monitoring
 
Openstack in 10 mins
Openstack in 10 minsOpenstack in 10 mins
Openstack in 10 mins
 
Linux Commands - Cheat Sheet
Linux Commands - Cheat Sheet Linux Commands - Cheat Sheet
Linux Commands - Cheat Sheet
 
Linux Internals - Kernel/Core
Linux Internals - Kernel/CoreLinux Internals - Kernel/Core
Linux Internals - Kernel/Core
 
TrendMicro
TrendMicroTrendMicro
TrendMicro
 
Horizon view technical deep dive
Horizon view technical deep diveHorizon view technical deep dive
Horizon view technical deep dive
 
What is Virtualization
What is VirtualizationWhat is Virtualization
What is Virtualization
 
OpenStack Nova Scheduler
OpenStack Nova Scheduler OpenStack Nova Scheduler
OpenStack Nova Scheduler
 
Linux network file system (nfs)
Linux network file system (nfs)Linux network file system (nfs)
Linux network file system (nfs)
 
Citrix xen app 6.5 step by-step 構築&操作ガイド
Citrix xen app 6.5 step by-step 構築&操作ガイドCitrix xen app 6.5 step by-step 構築&操作ガイド
Citrix xen app 6.5 step by-step 構築&操作ガイド
 
NETWORK FILE SYSTEM
NETWORK FILE SYSTEMNETWORK FILE SYSTEM
NETWORK FILE SYSTEM
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Xen and the Art of Virtualization
Xen and the Art of VirtualizationXen and the Art of Virtualization
Xen and the Art of Virtualization
 
Virtual machine subhash gupta
Virtual machine subhash guptaVirtual machine subhash gupta
Virtual machine subhash gupta
 

Similaire à Digitalni dokazi forenzicki alati i standardi

Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
Damir Delija
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt
Damir Delija
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacija
Damir Delija
 
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Damir Delija
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
Damir Delija
 
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
Pogled kroz prozor
 

Similaire à Digitalni dokazi forenzicki alati i standardi (9)

2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza 2013 obrada digitalnih dokaza
2013 obrada digitalnih dokaza
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacija
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1
 
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
 
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
 
Da li su Vasi podaci sigurni u Cloud-u?
Da li su Vasi podaci sigurni u Cloud-u?Da li su Vasi podaci sigurni u Cloud-u?
Da li su Vasi podaci sigurni u Cloud-u?
 

Plus de Dejan Jeremic

Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijala
Dejan Jeremic
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Dejan Jeremic
 

Plus de Dejan Jeremic (20)

Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja Ilic
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan Djurdjevic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda Milenković
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana Simic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosa
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog rada
 
Lokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradLokalne usluge GCSR Beograd
Lokalne usluge GCSR Beograd
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
Deinstitucionalizacija
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi Sad
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvu
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizija
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijala
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada Pancevo
 

Digitalni dokazi forenzicki alati i standardi

  • 1. DIGITALNI DOKAZI - forenzički alati i standard za njihovo prikupljanje i pohranu ZIH d.o.o. Nataša Kučeković, dipl.inf. dr.sc. Silvana Tomić Rotim Zlatibor, 24. – 26. travnja 2014.
  • 2. Sadržaj • Prikupljanje dokaza • ISO/IEC 27037:2012 • Forenzički alati
  • 3. Računala • Stolno računalo = radna stanica): – ne može se lako oduzeti – lagano otvaranje kućišta i izdvajanje komponenti • Laptop, netbook i notebook: – računalo, monitor, miš i tipkovnica su integrirani – jednostavan za transport – teško je izdvojiti komponente
  • 4. Digitalna istraga • Korištenje općeg znanja i specijaliziranih tehnika: – za otkrivanje digitalnih informacija koje prolaze ili su pohranjene na elektronske medije – za otkrivanje prekršaja (neautoriziranih radnji)
  • 5. Domene digitalne istrage • Cyber ​​istrage • Upravljanje incidentima • Računalna forenzika – zlouporaba računala
  • 6. Načela u forenzici • Najbolji dokaz • Minimalni upadi • Minimalan napor • Minimalan prekid • Transparentnost • Kontinuitet - procedure • Misija - cilj • Nepristranost • NAJVAŽNIJE: optimalna dokumentacija
  • 7. Bilješke Evidentiranje observacija na mjestu događaja koje uključuju: – datum i sat – opis događaja i uočenih činjenica – poduzete aktivnosti – način rukovanja oduzetim medijima - pohrana bilješki
  • 8. Prikupljanje elektroničkih dokaza- mogućnosti • Ukoliko medij koji se ispituje: – Ne sadrži informacije koje se traže: • Povratak medija – Sadrži najmanje jedan dokument koji se odnosi na nalog: • Zaplijeniti original • Zaplijeniti klon originala • Zaplijeniti image originala • Napraviti ciljanu kopiju relevantnih podataka • Napravite proširenu kopiju
  • 9. Prikupljanje elektroničkih dokaza – R-OCITE • R RETURN • O ORIGINAL • C CLONE • I IMAGE • T TARGETED (kopija) • E EXTENSIVE (kopija)
  • 10. Zaplijena originala • Prednosti: – Najbolji dokaz – Pristup cijelom okruženju sumnjivog medija – Skraćuje vrijeme provedeno na terenu • Nedostaci: – Prekid poslovanja – Treba planirati vrijeme za izradu klona kako bi se poslovanje nastavilo – Oduzimanje podataka izvan opsega
  • 11. Zaplijena klona • Prednosti: – Drugi najbolji dokaz – Cijelo sumnjivo okruženje je dostupno • Nedostaci: – Prekid poslovanja – Potrebni dodatni mediji – Oduzimanje podataka izvan opsega
  • 12. Zaplijena image-a • Prednosti: – Drugi najbolji dokaz uz klon – Mogućnost ponovne uspostave i pokretanja na istom fizičkom mediju • Nedostaci: – Potreban medij za pohranu dovoljno velik za stvaranje image-a – Oduzimanje podataka izvan opsega
  • 13. Zaplijena ciljane kopije • Prednosti: – Smanjenje vremena za izvlačenje podataka u laboratoriju – Smanjenje upada u sustav – Maksimalno poštivanje privatnosti – Original se vraća u poslovanje • Nedostaci: – Izostavljanje nekih bitnih informacija – Nema ponovnog ispitivanja originala – Potreban medij za kopiju informacija
  • 14. Zapljena proširene kopije • Prednosti: – Potrebno je manje vremena u odnosu na kloniranje ili imaging – Nema prekida aktivnosti • Nedostaci: – Potrebno je više vremena od ciljane kopije – Ograničen prostor na mediju za pohranu
  • 16. Forenzički standardi • ISO/IEC 27037 Identifikacija, prikupljanje, nabava i čuvanje digitalnih dokaza • ISO/IEC 27041 Osiguravanje prikladnosti i adekvatnosti metoda istraživanja • ISO/IEC 27042 Analiza i interpretacija digitalnih dokaza • ISO/IEC 27043 Principi i procesi istraživanja
  • 17. ISO/IEC 27037:2012 5. Pregled 6. Ključne komponente identifikacije, prikupljanja, stjecanje i očuvanje digitalnih dokaza 7. Primjeri identifikacije, prikupljanja, nabave i čuvanja dokaza Ne uključuje analizu dokaza.
  • 18. Ključni resursi • Voditelj laboratorija • Odgovorna osoba za odgovor na incidente • DEFR (Digital Evidence First Responder) • DES (Digital Evidence Specialist)
  • 19. Opseg • Digitalni mediji za pohranu (HD, diskete…) • Mobilni telefoni, memorijske kartice • Mobilni navigacijski sustav • Video kamere (uključujući CCTV) • Standardno računalo s mrežnim priključkom • Mreže bazirane na TCP/IP i drugim protokolima • Uređaji sa sličnim funkcijama
  • 20. 5. Pregled • Kontekst za prikupljanje digitalnih dokaza • Načela digitalnih dokaza • Zahtjevi za rukovanje digitalnim dokazima • Proces rukovanja digitalnim dokazima
  • 21. 5.1. Kontekst za prikupljanje digitalnih dokaza • Interna ili externa potreba za dokazima • Proces prioriteta - vrijednost i redoslijed kojim potencijalni digitalni dokazi trebaju biti prikupljeni
  • 22. 5.2. Načela digitalnih dokaza Tri su osnovna načela upravljanja digitalnim dokazima: relevantnost, pouzdanost, dostatnost • Relevantnost – dokazati da su stečene informacije relevantne za istragu • Pouzdanost – svi procesi koji se koriste za rukovanje dokazima trebaju se moći pregledati i ponoviti • Dostatnost – DEFR treba osigurati dovoljno informacija za istragu
  • 23. 5.3. Zahtjevi za rukovanje digitalnim dokazima • Mogućnost provođenja revizije • Ponovljivost • Obnovljivost • Opravdanost
  • 24. Mogućnost provođenja revizije • Neovisni procijenitelj ili druge ovlaštene zainteresirane strane trebaju biti u mogućnosti procijeniti rad DEFR-a i DES-a • DEFR i DES trebaju biti u mogućnosti opravdati proces donošenja odluka o pokretanju aktivnosti • Procesi izvođeni od strane DEFR ili DES trebaju biti dostupni za neovisnu procjenu
  • 25. Ponovljivost • Utvrđuje se kada su isti rezultati testiranja stvoreni pod sljedećim uvjetima: • korištenjem istih procedura i metoda mjerenja • korištenjem istih instrumenata i pod istim uvjetima • mogu se ponoviti u bilo kojem trenutku nakon originalnog testa • DEFR bi trebao biti u mogućnosti provesti sve dokumentirane procese i provesti kontrolu kvalitete
  • 26. Obnovljivost • Utvrđuje se kada su isti rezultati testiranja stvoreni pod sljedećim uvjetima: • Korištenje iste metode mjerenja • Korištenje različitih instrumenata i pod različitim uvjetima • Mogu se obnoviti u bilo kojem trenutku nakon originalnog testa
  • 27. Opravdanost • DEFR bi trebao biti u mogućnosti opravdati sve aktivnosti i metode koje se koriste u rukovanju potencijalnim digitalnim dokazima • opravdanje se može postići demonstrirajući da je odluka bila najbolji izbor za dobivanje svih digitalnih dokaza • Organizacija treba zaposliti DEFR ili DES koji posjeduje potrebne vještine i kompetencije
  • 28. 5.4. Proces rukovanja digitalnim dokazima • Identifikacija • Prikupljanje • Nabava • Zaštita Procedura za osiguravanje integriteta i pouzdanosti izvora dokaza.
  • 29. Identifikacija • opipljivi i neopipljivi dokazi • veza s incidentom • identifikacija digitalnih medija za pohranu podataka i uređaja za obradu koji mogu sadržavati potencijalne digitalne dokaze • Ne mogu se sve vrste medija za pohranu lako identificirati i locirati – cloud computing
  • 30. Prikupljanje • uređaji koji mogu sadržavati potencijalne digitalne dokaze su uklonjeni s izvornog mjesta u laboratorij ili druge kontrolirane uvjete • dokumentiranje cijelog pristupa i prikupljanje svih materijala koji bi se mogli odnositi na potencijalne digitalne dokaze • „power off” i „power on” procedure • pakiranje dokaza za transport
  • 32. Nabava • izrada kopije digitalnih dokaza i dokumentiranje korištene metode • odabir alata • testiranje provedene metode (original = kopija) • zakonodavstvo – oduzimanje medija u prisustvu vlasnika
  • 33. Čuvanje • Digitalni dokaz treba sačuvati kako bi se osigurala njegova korisnost u istrazi • Očuvati integritet dokaza • DEFR mora zaštititi dokaze od promjena • Osigurati zaštitu povjerljivosti dokaza
  • 34. 6. Ključne komponente identifikacije, prikupljanja, nabave i čuvanja digitalnih dokaza • Sljedivost • Mjere opreza na mjestu incidenta • Uloge i odgovornosti • Sposobnosti • Oprezno rukovanje • Dokumentacija • Izvještavanje • Određivanje prioriteta prikupljanja i usvajanja • Održavanje potencijalnih digitalnih dokaza
  • 35. Sljedivost • Kronologija kretanja i upravljanja digitalnim dokazima • Zapis – dokument koji detaljno opisuje sljedivost, sadrži imena odgovornih osoba za upravljanje dokazom kao i sljedeće informacije: • ID dokaza, • Tko je pristupio dokazu, • Tko je preuzeo dokaz iz objekta za čuvanje dokaza. • Životni ciklus dokumenata i zapisa
  • 36. Mjere opreza na mjestu incidenta Potrebno je osigurati lokaciju gdje se prikupljaju dokazi: • Utvrditi odgovorne osobe na lokaciji • Osigurati da su osobe udaljene od uređaja • Identificirati sve koji imaju pristup lokaciji • Identificirati sve koji su povezani s incidentom • Ne gasiti / ne paliti uređaje
  • 37. Osobne mjere opreza • Provođenje procjene rizika sigurnosti osoba prije početka procesa, razmatrajući: • U koje vrijeme će proces biti proveden • Da li proces može biti izoliran od promatrača • Ima li oružja u okolini • Može li išta u blizini uzrokovati fizičku štetu (konfiguracija)... Prepoznati prijetnje i ranjivosti
  • 38. Potencijalni digitalni dokaz • DEFR bi trebao biti oprezan prilikom korištenja specifičnih alata za prikupljanje dokaza • Procjena rizika – potencijalni utjecaj na istragu • Metoda prikupljanja dokaza • Potrebna oprema na lokaciji • Potreba udaljenog pristupa
  • 39. 6.3. Uloge i odgovornosti • Uloga DEFR-a: • identifikacija • prikupljanje • nabava • zaštita digitalnih dokaza, osiguravajući integritet dokaza • Uloga DES-a: • pružanje tehničke potpore i specijalizirane stručnosti DEFR-u
  • 40. 6.4. Kompetencije • DEFR i DES trebali bi posjedovati ključne tehničke i pravne sposobnosti te pokazati da su obučeni za pravilno rukovanje digitalnim dokazima • Kriteriji definirani od strane pravosuđa • Sistematizacija radnih mjesta
  • 41. 6.5. Oprezno rukovanje • Izbjegavati bilo kakve radnje koje bi uzrokovale krađu /nestanak potencijalnih digitalnih dokaza koji su pohranjeni • Kontrola pristupa • DEFR ne bi trebao pristupati digitalnih uređajima, osim ako nema potrebne sposobnosti i ovlaštenja, te koristi pouzdane i provjerene procese
  • 42. • Svaka aktivnost treba biti dokumentirana • Postavke vremena i datuma – sinkronizacija satova • Dokumentirati sve što je vidljivo na ekranu uređaja • Dokumentirati pomicanje uređaja • Dokumentirati sve identifikatore uređaja i pripadajuću opremu Procedura upravljanja dokumentacijom i zapisima 6.6. Dokumentacija
  • 43. • Specifičnosti digitalnih dokaza • Specifičnosti osoblja • Incidenti u stvarnom vremenu • Ostalo informiranje Procedura informiranja 6.7. Informiranje
  • 44. • Potrebno je organizirati sastanke za informiranje DEFR-a o detaljima koji se odnose na istragu, smjernice za istragu: • Tip incidenta • Vrijeme • Plan istrage • Definiranje mjesta čuvanja dokaza • Alati • Dokumentacija • Zakonska regulativa • Zapisnik sa sastanka Specifičnosti digitalnih dokaza
  • 45. • Uloge i odgovornosti • Određivanje tima (tehnički stručnjaci) • Awareness Specifičnosti osoblja
  • 46. • Istragu planirati unaprijed - proces • Informirati tim o početnim strategijama • Upravljanje incidentima - procedura Incidenti u stvarnom vremenu
  • 47. Ostale informacije trebale bi uključivati: • Detalje o nalogu za pretres, • Pravne aspekte, • Vremenski okvir istrage, • Informacije o logistici, • Potrebna oprema, • Potencijalni sukobi interesa. Ostalo izvještavanje
  • 48. • Razumijevanje razloga za prikupljanje potencijalnog digitalnog dokaza • Prioritet se određuje prema postojanosti podataka (gubitak napajanja može izbrisati podatke) • DEFR bi trebao posjedovati znanje o određivanju prioriteta - proces 6.8. Odrediti prioritet prikupljanja dokaza
  • 49. • Zaštita potencijalnih digitalnih dokaza • Pakiranje digitalnih uređaja i potencijalnih digitalnih dokaza • Transport potencijalnih digitalnih dokaza 6.9. Zaštita potencijalnih digitalnih dokaza
  • 50. • Svi prikupljeni i stečeni digitalni dokazi trebaju biti zaštićeni od gubitka ili krađe te pohranjeni na lokaciji za čuvanje dokaza koja primjenjuje fizičke kontrole sigurnosti • Očuvanje integriteta i povjerljivosti Čuvanje potencijalnih digitalnih dokaza
  • 51. • Popunjavanje popratne omotnice • Labeliranje • Zaštita od lomova Pakiranje digitalnih uređaja i potencijalnih digitalnih dokaza
  • 52. • dokazi ne smiju biti ostavljeni bez nadzora tijekom procesa transporta • ukoliko dokaze ne transportira DEFR ili DES, preporuča se korištenje enkripcije • Zaštita tajnosti podataka Transport potencijalnih digitalnih dokaza
  • 53. Autopsy alat • Autopsy Forensic Browser je alat koji pruža grafičko sučelje za softverski paket „Sleuth Kit” i koristi se za izvršavanje analize digitalnih istraga. • Postoji besplatna inačica alata. • Funkcionalnost alata temelji se na HTML tehnologiji. • Autopsy pruža pregled izbrisanih podataka i strukture podataka.
  • 54. Drugi alati koji se koriste u forenzici • PDBlock – spriječava pisanje na originalni disk tijekom forenzičkog kopiranja diska, • DriveSpy – alat koji se temelji na DOS operativnom sustavu, omogućava stvaranje forenzičke kopije diska, obnavljanje izbrisanih podataka i nekorištenih dijelova sektora te analizu korištenja kriptografskog sažetka • FTK Imager – forenzičko kopiranje, • SnapBack Exact – forenzičko kopiranje diska, • DiskSig – provjeravanje forenzičkih kopija diska, • GetFree – kopiranje diska, spremanje na drugi medij i analiza, • Ontrack – program za povrat izbrisanih podataka s diska, • AcoDisk – program za povrat podataka s optičkog medija, • MediaMerge – koristi se za povrat podataka s optičkog medija i HD-a.