Je hebt een klacht over de onderstaande posting:
Door Anoniem Door egeltje Dus als ik het goed snap, installeer je deze tools en kun je gaan grasduinen... Regel 1 van forensisch onderzoek is toch dat je het te onderzoeken bestandsysteem niet aanraakt? Je trekt een kopie en gaat daar read-only in grasduinen. Leve de live Linux CD's zoals FCCU (http://www.d- fence.be/), FIRE (http://fire.dmzs.com/), INSERT ( http://www.inside- security.de/insert_en.html) of BOSS (http://www.bsi.de/produkte/boss/ ). Voor een completer lijstje, kijk hier eens: http://www.forinsect.de/security/bootcds.html Egeltje, je kan de te onderzoeken schijf toch als extra schijf in een systeem plaatsen die wel van The Sleuth Kit is voorzien? Windows schrijft dan wel informatie op de te onderzoeken harde schijf (zoals toevoegen recycel bin), dus voor de rechtbank kan je al niet meer garanderen dat het bewijsmateriaal integer is. Ik ben het dus met Egeltje eens. Regel 1 is dat je de bij EnCase geleverde, gecertificeerde write-blocker gebruikt. @anoniem: ...
Beschrijf je klacht (Optioneel):