Het is van groot belang bij forensisch onderzoek dat het onderzochte onderdeel intact blijft. Dit betekent dat de aangetroffen sporen of gecompromitteerde data in geen enkel opzicht gewijzigd mogen worden. Het simpelweg bekijken van Windows bestandsbeheer zorgt al voor een aanpassing van de eigenschappen (bijv. timestamp laatst geopend).
Verwijderde data
Met Data recovery worden voornamelijk nog aanwezige gebruikers-bestanden onderzocht. Met ons forensisch digitaal onderzoek kijken we daarnaast ook nog naar de zogenaamde file-slack, register-bestanden, informatie in bijvoorbeeld de pagefile.sys en diverse systeembestanden en natuurlijk in de Unallocated Clusters (de “lege” diskruimte). Verwijderde data kunnen we daarmee terughalen.
In het begin van de digitale onderzoeken, kunnen we bewijs vinden in de aanwezige bestanden zoals e-mail, tijdelijke internetbestanden, PDF-bestanden en MS Word en Excel bestanden. Onze forensisch digitale onderzoeken gaan verder op de computer(s) van de failliet, verdachte of beslagene.
Terug naar IT Forensics
