Kontakt

Nyheter

IT-forensik: en närmare titt på tre verktyg

Numera talar vi främst om digital kriminalteknik. Med tillkomsten av mobilteknologi verkar utredningar av data från datorer alltmer förflyttas till bakgrunden. Men är detta verkligen fallet? Följande analys av tre ledande programvaruverktyg för digitala utredningar visar att det inte är det.

För att genomföra en grundlig och kriminalteknisk sund utredning är det viktigt att utredarna har rätt verktyg till sitt förfogande. Dessa verktyg kan hjälpa experterna i deras sökning efter användbara bevis i molnet och på mobila enheter. Datorer och bärbara datorer finns också regelbundet i utredningar. Det är inte alltid lätt att bestämma vilket verktyg som ska användas när. Experterna från DataExpert Investigations ger dig gärna råd i denna fråga. De har ett undersökningslaboratorium utrustat med olika kriminaltekniska programvaror och hårdvarulösningar som alla har sin egen specialitet och styrka. Vilket verktyg som används beror på vilken typ av utredning, databärare som påträffats, vilket operativsystem som används och själva utredningsfrågan. Till exempel används EnCase, FTK och Intella för digitala utredningar av datorer och bärbara datorer. Nedan förklarar vi hur dessa tre lösningar bidrar till en effektiv utredning.

EnCase
EnCase är den mest kända mjukvarulösningen för datorundersökningar, skapad av Guidance Software, nu en del av portföljen för OpenText. För att återställa och filtrera data på en dator är EnCase en kraftfull och effektiv lösning. EnCase kan använda filter och villkor för att snabbt visa vilka filer som är relevanta. Det är då möjligt att enkelt välja dessa data och visa det mer exakt genom olika villkor. Villkoren ställs in i EnCase och används för att välja filer efter dokumenttyp eller sökväg. Villkor är ganska enkla att själv bygga i EnCase. Detta gör det möjligt för utredare eller experter från DataExpert att enkelt sätta ihop en verktygslåda för varje utredning som matchar kraven för den specifika utredningen. I bilden nedan hittar du ett exempel på några möjliga villkor i EnCase.

Det är också möjligt i EnCase att välja datum och tider när en åtgärd/incident har ägt rum. Slutligen erbjuder EnCase möjligheten att registrera hittade bevis i tydliga rapporter.

FTK
Forensic Toolkit (FTK) är tillverkad av AccessData (Exterro) och är mest känd för FTK Imager, som används av många digitala utredare för att kopiera datordata. Forensic Toolkit erbjuder möjligheten att indexera hittade data på en dator. För att göra ett ärende är indexering av data ett krav inom FTK. Varje ord som förekommer i ett dataset visas därför i en databas. Om sökord anges går FTK automatiskt igenom databasen och visar alla varianter som liknar de angivna söktermerna.

Dessutom ger FTK en kraftfull tidslinjefunktion som kan användas för att söka efter ett specifikt datum eller tid i en dators e-posttrafik. Denna tidslinje är konstruerad utifrån e-posten. Tiderna för sändning och/eller mottagning ordnas kronologiskt efter år, månad eller till och med dag. Detta gör det enkelt att välja en period och att söka inom den valda perioden. Ett exempel på denna tidslinjefunktion visas i bilden nedan.

Intella
Ett kraftfullt verktyg för e-postutredningar är Intella. Detta verktyg är inte begränsat till bara e-post, eftersom Office-data och data från molnet också kan sökas utan problem. Gränssnittet gör Intella väldigt användarvänligt och trevligt att arbeta med. Intella rekommenderas särskilt för icke-tekniska utredare och personer med liten eller ingen erfarenhet.

Under de senaste åren har Intella utvecklats vidare av skaparen Vound Software. Programvaran är mycket kraftfull när det gäller att analysera stora e-postmiljöer och kan också användas för att extrahera data från molnet, vilket krävs för Office 365-miljöer. I e-posttrafiken är det möjligt att leta efter kopplingar, till exempel vem som har haft kontakt med vem. 

Dessutom erbjuder Intella möjligheten att koppla bevisen som finns i ett fall om en person till identiteter. Efter att Intella har indexerat data kan en Insight-rapport enkelt delas med teamet. Detta ger en bra överblick över vilken typ av data som hittats samtidigt som man styr i den riktning man vill söka. Ett exempel på denna rapport visas nedan.

In addition to the tooling described above, there are many other software and hardware solutions suitable for digital investigation. We would be happy to advise you on this or to relieve you of all your worries by conducting the forensic investigation for you. Do you have questions? I så fall kontakta oss.

Denna webbplats använder cookies

Vi tycker att det är mycket viktigt att du är medveten om vilka cookies vår webbplats använder och för vilka syften. Vi använder funktionella cookies för att vår webbplats ska fungera korrekt. Dessutom använder vi Analytiska Cookies för att analysera användningen av vår webbplats. Vi ber också om ditt tillstånd för placering av cookies från tredje part (sociala medier, reklam- och analyspartners) som vi delar information med. Genom att klicka på "Acceptera" accepterar du placeringen av ovan nämnda cookies. Om du klickar på "Inställningar" kommer du till en sida där du kan ange vilka cookies som får placeras. Klicka här för vår integritetspolicy.