1. Úvod do digitální forenziky

1.6. Procesní modely ve forenzní analýze

Každý forenzní vyšetřovatel má v průběhu forenzní analýzy vlastní pracovní metodu a metodiku a pro každý typ vyšetřování neexistuje standardní model, který se obvykle řídí dosavadními zkušenostmi každého vyšetřovatele.

V průběhu času se objevily různé metodiky, které definují potřebu posloupnosti obecných kroků při forenzním vyšetřování, obvykle definovaných jako "shromažďování, uchovávání nebo zkoumání důkazů, analýza".

Bylo navrženo několik modelů vyšetřování, nazývaných také " Digital Forensics Investigation Frameworks "(Figure 4), přičemž tyto modely patří k nejoblíbenějším:

·       Model DFRWS - Digital Forensic Research Workshop (Palmer et al. 2001)

·       ADFM - Abstraktní digitální forenzní model (Reith et al. 2002)

·       IDIP - Integrated Digital Investigation Process (Carrier et al. 2003)

·       EIDIP - Enhanced Integrated Digital Investigation Process (Baryamureeba & Tushabe 2004)

·       CFFTPM - Computer Forensics Field Triage Process Model (Rogers et al. 2006)

·       SRDFIM - Systematický model digitálního forenzního vyšetřování (Agarwal et al. 2011)

·       IDFPM - Integrovaný model digitálního forenzního procesu (Kohn et al. 2013)

·       EDRM - Referenční model pro elektronické vyhledávání (https://edrm.net, 2014)

 

Obrázek 4 - Rámce digitálního forenzního vyšetřování

Zdroj: Obrázek 2 v článku https://arxiv.org/ftp/arxiv/papers/1708/1708.01730.pdf

 

V roce 2001 byl v rámci výzkumu, který vzešel z digitálních výzkumných seminářů, navržen šestistupňový rámec, jak je znázorněno na obrázku 5.


Obrázek 5 - Rámec DFRWS

To je dodnes jedna z hlavních metodik digitálního forenzního vyšetřování, kterou se budeme řídit. Jednotlivé fáze jsou popsány níže:

Identifikace - kdy výzkumník musí identifikovat všechny relevantní informace a definovat strategii pro jejich získání. Výzkumník může mít co do činění s typickým paměťovým zařízením, jako je pevný disk, paměťová karta, nebo jinak může být třeba shromáždit digitální data z dat o síťovém provozu, nestálých dat, jako jsou data z paměti, mobilních zařízení nebo zařízení internetu věcí, nebo jakéhokoli jiného zařízení pro ukládání digitálních dat. V této fázi je nesmírně důležitá příprava před použitím technik a nástrojů, aby byla zajištěna pravost, integrita a nezpochybnitelnost všech důkazů u soudu.

Uchovávání - Tato fáze zahrnuje úkoly, jako je nastavení řádného řízení případu a zajištění přijatelného řetězce úschovy u soudu. Tato fáze má zásadní význam pro zajištění toho, aby byly údaje shromážděny bez vnější kontaminace a správně analyzovány.

Shromáždění - Tento krok se týká získání digitálních důkazů a tradičně se provádí klonováním nebo forenzním zobrazením paměťového zařízení. Získání nestálých dat nebo jiných relevantních a nestálých dat může být pro fázi vyšetřování rozhodující, zejména pokud jsou data týkající se získaného úložiště zašifrována. Data získaná v této fázi jsou vstupními daty nebo zdrojem dat pro fázi analýzy.

Zkoumání - Jedná se o fázi vyhledávání požadovaných dat, která zahrnuje mimo jiné techniky vyhledávání, obnovu smazaných dat, dešifrování dat, prolomení hesla, analýzu škodlivého softwaru, analýzu vzorů. Tato fáze je propojena s fází analýzy, neboť například po identifikaci dokumentů bude nutné provést jejich analýzu s přihlédnutím k odpovědím na požadované otázky.

Analýza - analýza všech shromážděných údajů. Tato fáze je časově nejnáročnější, protože je třeba provést důkladnou rešerši a identifikovat všechny relevantní artefakty. Ve většině případů je běžné, že shromážděná data mají podobu nestrukturovaných dat, což vyžaduje specifické nástroje a časově náročnější analýzu k identifikaci potenciálních dat digitálních důkazů, kde jsou zahrnuta strukturovaná data, jako jsou záznamy, databáze, datové soubory, systémové soubory, webové stránky a další.

Prezentace - Jedná se o poslední fázi procesu digitální forenzní analýzy, kdy je soudci předložena závěrečná zpráva se všemi relevantními údaji. Tato zpráva by měla být předložena v tištěné podobě se všemi artefakty, které jsou považovány za důležité. V případě pochybností o informacích uvedených v předložené zprávě je nutné, aby znalec při výpovědi u soudu poskytl příslušná vysvětlení.