Gehackte systemen, frauduleuze transacties en andere incidenten, als ze op een computer plaatsvinden laten ze meestal sporen na. Grote vraag blijft hoe het bewijs "gered" en gebruikt kan worden. Er zijn vijf fases voor het terughalen of bewaren van "data structuren", lokaliseren, extraheren, decoderen, interpreteren en reconstrueren.
De eerste stap bestaat uit het lokaliseren van de datastructuren waarin we geïnteresseerd zijn. Eenmaal gevonden, dan moet de data uit de datastroom worden gehaald. Is de relevante data verzameld, dan is het tijd voor de verwerking. Tijdens de interpretatie wordt de output van de decodering gebruikt, waarna als laatste het bewijs voor gebruik gereconstrueerd moet worden. Dit artikel bespreekt op gedetailleerde wijze de vijf stappen.
Deze posting is gelocked. Reageren is niet meer mogelijk.