Криминалистика и реагирование
Криминалистическое снятие образа
Также известно как: Битовый образ, Образ диска
Определение
Побитовая копия носителя информации, проверенная криминалистическими хешами, для криминалистического анализа и допустимая в качестве доказательства.
Примеры
- Создание образа E01 подозрительного SSD в FTK Imager через блокиратор Tableau.
- Снятие образа AFF4 RAID-тома при выезде на инцидент.
Связанные термины
Evidence Acquisition
Evidence Acquisition — definition coming soon.
Блокиратор записи
Аппаратное или программное средство, разрешающее чтение носителя и запрещающее любые операции записи, способные изменить доказательство.
Дисковая криминалистика
Анализ энергонезависимых носителей (HDD, SSD, USB) для извлечения и интерпретации артефактов файловых систем, приложений и ОС.
Preservation of Evidence
Preservation of Evidence — definition coming soon.
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
Цифровая криминалистика
Научная дисциплина по выявлению, сохранению, анализу и документированию цифровых доказательств с компьютеров, сетей и устройств в юридически допустимой форме.