Digital Forensics - ניתוח ראיות דיגיטליות - Cybersecurity

ב-2001, חוקרים פדרליים זימנו את Enron לספק קלטות גיבוי. מנהלים בכירים מחקו אלפי מיילים - תכתובות שחשפו כיצד חברת אנרגיה ענקית זייפה את דוחותיה הכספיים בסדרי גודל של מיליארדי דולרים. הם חשבו שמחיקת הקבצים מוחקת גם את הראיות. הם טעו.

קבצים שנמחקים לא נעלמים - הם הופכים ל-"available space". ה-OS מסיר את המצביע ל-file בטבלת ה-filesystem, אבל ה-bits עצמם עדיין יושבים על ה-disk עד שמשהו אחר ייכתב מעליהם. Forensic examiners שחזרו מעל 3,000 מיילים שמנהלי Enron סברו שנעלמו לנצח. אותם מיילים שוחזרו הפכו לראיות המכריעות ביותר באחד ממקרי ההונאה הגדולים בהיסטוריה האמריקאית.

Digital Forensics הוא המדע של שחזור, שימור, וניתוח ראיות דיגיטליות - בצורה משפטית-תקינה שתאפשר להשתמש בהן בבית משפט. זה לא רק "מצא מה קרה". זה "מצא מה קרה, תוכיח שלא שינית כלום בדרך, ותעביר chain of custody שלם".

Order of Volatility - collect in this order

CPU registers, cache

Lifespan: milliseconds. Lost the moment a process context-switches.

RAM / running processes

Lifespan: seconds. Capture with WinPmem / LiME before anything else - fileless malware lives only here.

Network connections, routing tables

Lifespan: minutes. netstat / ss snapshot, then move on.

Temp files, swap, pagefile

Lifespan: hours. Often overwritten by normal OS activity.

Disk image

Lifespan: days–years. dd or FTK Imager bit-for-bit copy with SHA-256.

Backups, archived logs

Lifespan: years. Slowest decay - but also slowest to acquire.