Het 'naar boven halen' van gegevens die als bewijs kunnen dienen vergt, naast specialistische kennis van hard- en software, eveneens onderzoekkennis. Digitale gegevens analyseren ten behoeve van de bewijsvoering wordt bij Riscon verzorgt door zeer ervaren ICT-specialisten met ruime onderzoekservaring. Het maakt niet uit of deze gegevens op een desktop, notebook, macbook, server, tablet of smartphone staan.
Digitaal onderzoek
Op een gemiddelde harde schijf bevinden zich doorgaans honderdduizenden bestanden. Aangezien het te veel tijd kost om elk document afzonderlijk te bekijken, wordt bij Riscon gebruik gemaakt van diverse forensische softwareprogramma’s. Deze programma's zoeken, met behulp van ingevoerde zoektermen, naar de relevante bestanden waar deze zoektermen in voorkomen. De bestanden die door het programma worden geselecteerd, worden vervolgens apart gezet om nader te kunnen worden geanalyseerd. Om deze bewerkingen zorgvuldig te kunnen verrichten dienen echter eerst een aantal andere werkzaamheden te worden uitgevoerd. Hieronder zetten wij een aantal van deze werkzaamheden uiteen. Door het gebruik van regular expressions kunnen we in ruwe data zoeken naar verbanden zodat ook beschadigde en incomplete data gevonden kan worden.
Door toepassing van eigen zoek en vergelijktools geschreven in Java en C# kunnen wij ook broncodes, bestanden en teksten geautomatiseerd vergelijken. Hierdoor kan bijvoorbeeld plagiaat worden vastgesteld.
Forensisch kopiëren van de harddisk
Van alle harddisks wordt een forensische kopie gemaakt. In totaal worden van elke harddisk drie kopieën gemaakt. Twee kopieën van de originele harddisks worden, apart van elkaar opgeslagen in beveiligde datasafes en een derde kopie dient als ‘werkkopie’. Zo'n kopie bevat alle gegevens van het origineel. Door deze kopie te gebruiken via een 'write blocker' voorkomen wij onbedoelde wijzigingen aan de kopie.
Forensisch onderzoek in de cloud
Riscon kan ook gegevens onderzoeken op cloud, webstorage en DMS systemen. Metadata en beheerdersgegevens kunnen duiding geven over de aanmaak, oorsprong en het gebruik van bestanden en de uitgevoerde opdrachten.
Forensisch onderzoek op devices
Riscon kan ook gegevens extraheren uit iPhoneOS, iPadOS, MacOS, BlackBerry OS, Windows (Phone) en Linux (Yotaphone) apparaten. Hierbij kunnen in veel gevallen ook gewiste gegevens worden teruggehaald.
Tijdsbesteding
Onze digitaal specialist houdt naast het lopende proces een logboek bij van alle gevolgde procedures en controleert steekproefsgewijs zowel het kopieer- als het selectieproces. De gemiddelde doorlooptijd van bovengenoemde werkzaamheden is afhankelijk van de hoeveelheid bestanden die zich op een harddisk bevinden. Riscon geeft vooraf een indicatie af over de tijd die zij denkt te moeten besteden aan de hand van de hoeveelheid gegevens die moeten worden geanalyseerd. Omdat vooraf niet altijd is te voorspellen wat we tijdens het onderzoek in de data tegenkomen, spreken we vaak met onze cliënten een vaste tijdsbesteding af (een eerste dagbesteding van 8 uur bijvoorbeeld). Hierna kan opnieuw overleg volgen aan de hand van de onderzoeksresultaten op dat moment.
