Forensische kopie
Het belangrijkste basiselement bij forensische informatica is het vrijwaren van de digitale sporen. Om die sporen veilig te stellen, kan dit op meerdere manieren. De meest veilige is een harde schijf uitbouwen en er een forensische kopie van maken, ook wel imaging genoemd. Hiervoor zorgen we dat de harde schijf van de bron niet kan beschreven worden, door er een write-blocker tussen te hangen.
Van de volledige forensische kopie wordt nadien een hash (zowel md5 als sha1) genomen om de integriteit te bewaren. Op deze manier kan de bewijslast niet gemanipuleerd worden. Het onderzoek zelf wordt gedaan op de forensische kopie. Deze is op zich ook nog eens beschermd is tegen lezen en schrijven. Zo moet de originele hardware niet meer aangeraakt worden.
Andere mogelijkheden
In bepaalde omstandigheden (server niet kunnen uitschakelen om bedrijfs-economische redenen, harde schijf met fouten, enz.) kan er rechtstreeks op de schijf van de bron gewerkt worden mits er een write-blocker tussengeplaatst wordt. Dit is nog steeds een correcte forensische benadering, maar kan resulteren in het beschadigen van de originele drager. Dit vooral bij schijfgevoelige processen zoals ‘carven’.
Voordelen
De voordelen zijn onder andere de volgende:
• Voorkomt het schrijven- en aanpassen van data op de mediadrager waarop een forensisch onderzoek wordt uitgevoerd;
• Zorgt ervoor dat het bewijsmateriaal volledig en ongewijzigd zal worden gekopieerd, inclusief voorkomende fouten;
• Zorgt ervoor dat het bewijsmateriaal op geen enkele manier gewijzigd of aangepast wordt;
• Zorgt dat het bewijsmateriaal niet beschadigd raakt of wordt overschreven;
• Laat toe om de eigenlijke analyse op deze kopie uit te voeren in plaats van op de originele drager.