Vaststelling

Het 'naar boven halen' van gegevens die als bewijs kunnen dienen vergt, naast specialistische kennis van hard- en software, eveneens onderzoekkennis. Digitale gegevens analyseren ten behoeve van de bewijsvoering wordt bij Riscon verzorgt door zeer ervaren ICT-specialisten met ruime onderzoekservaring. Het maakt niet uit of deze gegevens op een desktop, notebook, macbook, server, tablet of smartphone staan.

Digitaal onderzoek

Op een gemiddelde harde schijf bevinden zich doorgaans honderdduizenden bestanden. Aangezien het te veel tijd kost om elk document afzonderlijk te bekijken, wordt bij Riscon gebruik gemaakt van diverse forensische softwareprogramma’s. Deze programma's zoeken, met behulp van ingevoerde zoektermen, naar de relevante bestanden waar deze zoektermen in voorkomen. De bestanden die door het programma worden geselecteerd, worden vervolgens apart gezet om nader te kunnen worden geanalyseerd. Om deze bewerkingen zorgvuldig te kunnen verrichten dienen echter eerst een aantal andere werkzaamheden te worden uitgevoerd. Hieronder zetten wij een aantal van deze werkzaamheden uiteen. Door het gebruik van regular expressions kunnen we in ruwe data zoeken naar verbanden zodat ook beschadigde en incomplete data gevonden kan worden.

Forensisch kopiëren van de harddisk

Van alle harddisks wordt een forensische kopie gemaakt. In totaal worden van elke harddisk drie kopieën gemaakt. Twee kopieën van de originele harddisks worden, apart van elkaar opgeslagen in beveiligde datasafes en een derde kopie dient als ‘werkkopie’. Eén kopie is de image (100% gelijk aan origineel). Deze is tijdens het onderzoek gekoppeld aan een computer interface die alleen lezen toestaat.

Uitpakken van de image

Voordat gegevens vanuit een image kunnen worden geanalyseerd, moeten deze eerst digitaal worden ‘uitgepakt’. De op de image aanwezige partitie(s) worden als het ware door de computer ‘leesbaar’ gemaakt.

Analyse

Er wordt eerst een globale analyse gemaakt van de inhoud van de partitie(s) en een index gegenereerd van alle bestanden binnen die partitie(s) recent gebruikt zijn. Dan wordt gekeken welke (logische) indelingen de gebruiker heeft gehanteerd, of er zich mailprogramma’s op de schijven bevinden etc. Alle bestanden (en/of software) die duidelijk niet relevant zijn, worden uitgeselecteerd. Vervolgens worden de relevante bestanden gedetailleerd geanalyseerd.

Tijdsbesteding

 Onze digitaal specialist houdt naast het lopende proces een logboek bij van alle gevolgde procedures en controleert steekproefsgewijs zowel het kopieer- als het selectieproces. De gemiddelde doorlooptijd van bovengenoemde werkzaamheden is afhankelijk van de hoeveelheid bestanden die zich op een harddisk bevinden. Riscon geeft vooraf een indicatie af over de tijd die zij denkt te moeten besteden aan de hand van de hoeveelheid gegevens die moeten worden geanalyseerd. Omdat vooraf niet altijd is te voorspellen wat we tijdens het onderzoek in de data tegenkomen, spreken we vaak met onze cliënten een vaste tijdsbesteding af (een eerste dagbesteding van 8 uur bijvoorbeeld), waarna opnieuw overleg volgt aan de hand van de onderzoeksresultaten op dat moment.
Zeer ervaren en deskundig
Bij spoed 24 uur per dag beschikbaar
contact