4. Získávání a analýza efemérních informací informací

Nestálé informace jsou informace, které se ztratí při vypnutí systému nebo při ztrátě napájení. Těkavé informace se obvykle nacházejí ve fyzické paměti nebo v paměti RAM a skládají se z informací o procesech, síťových připojeních, otevřených souborech, schránce apod. Tyto informace popisují stav systému v daném okamžiku.

Při provádění forenzní analýzy živých dat by měl výzkumník jako jednu z prvních věcí shromáždit obsah paměti RAM. Tím, že se tyto informace shromažďují jako první, se minimalizuje dopad jejich sběru dat na obsah paměti RAM, nicméně toto zachycení může způsobit nestabilitu systému nebo dokonce vést k modré obrazovce smrti (BSoD), což vede některé autory k tomu, že uvádějí, že tyto postupy by se měly provádět až po shromáždění ostatních těkavých informací, přičemž by měly být upřednostňovány podle jednotlivých situací.

Některé konkrétní typy těkavých informací, které by měly být shromažďovány:

·       Paměť RAM

·       Systémové datum a čas

·       Informace o síti

·       Přihlášení uživatelé

·       Otevřít soubory

·       Síťová připojení

·       Informace o spuštěných procesech

·       Mapování mezi procesy a porty

·       Stav sítě

·       Obsah schránky

·       Informace o službách a řidičích

·       Historie provedených příkazů

·       Mapované jednotky

·       Akcie

·       Hesla a kryptografické klíče

 

Z těchto informací je nutné pro každý konkrétní případ určit, které jsou proměnlivější a které bude důležitější získat jako první. Zde je uvedeno možné pořadí informací podle volatility (Obr. 31).


Obrázek 31 - Možné pořadí informací podle volatility