Các chuyên gia trong lĩnh vực computer forensic đã liệt kê một số bước mà những điều tra viên cần làm mỗi khi muốn truy hồi bằng chứng từ máy tính:
- Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn. Điều này có nghĩa điều tra viên cần phải nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra.Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát được kết nối này.
- Tìm kiếm tất cả các tập tin có trong hệ thống máy tính, bao gồm các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè.Nhân viên điều tra nên sao chép lại tất cả các tập tin của hệ thống, bao gồm các tập tin có trong ổ đĩa của máy tính hay tập tin từ các ổ cứng cắm ngoài. Bởi khi truy cập các tập tin có thể thay đổi nó nên nhân viên điều tra chỉ nên làm việc với các bản copy của các tập tin khi tìm kiếm bằng chứng. Bản nguyên gốc cần được bảo quản và không được động đến.
- Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa.
- Tìm kiếm thông tin của tất cả các tập tin ẩn.
- Giải mã và truy cập các tập tin được bảo vệ.
- Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận.
- Ghi lại tất cả các bước của quá trình. Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thông tin của hệ thống máy tính mà không làm thay đổi hoặc làm hỏng chúng.Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu không có tài liệu xác thực, bằng chứng thậm chí còn không được chấp nhận. Những tài liệu xác thực này không chỉ bao gồm các tập tin và dữ liệu được khôi phục từ hệ thống mà còn bao gồm cả bản vẽ của hệ thống và nơi các tập tin được mã hóa hoặc được ẩn.
- Hãy chuẩn bị là nhân chứng trước tòa trong computer forensics. Thậm chí, khi quá trình điều tra hoàn tất, công việc điều tra của họ vẫn chưa xong. Họ có thể vẫn phải chứng thực trước tòa.Tất cả các bước này rất quan trọng, nhưng bước đầu tiên mới là quan trọng nhất. Nếu nhân viên điều tra không thể kiểm soát toàn bộ hệ thống máy tính, bằng chứng họ tìm được sẽ không được công nhận.Một số tội phạm đã tìm cách gây khó khăn cho nhân viên điều tra để tìm thấy thông tin trong hệ thống của chúng. Chúng sử dụng các chương trình và ứng dụng có tên anti-forensic. Điều tra viên sẽ phải dè chừng những chương trình này và tìm cách loại bỏ chúng nếu họ muốn truy cập thông tin trong hệ thống.
Anti-Forensic:
Anti-forensic là cách làm cảm trở, làm khó hơn, công việc điều tra của các điều tra viên computer forensic.
Tội phạm máy tính thường thiết kế công cụ anti-forensic để khiến công việc truy hồi thông tin trong quá trình điều tra trở nên khó khăn hơn hoặc thậm chí là không thể thực hiện được.
Về bản chất, anti-forensic dùng để chỉ bất kì một phương pháp, dụng cụ hay phần mềm nào đó được thiết kế để gây khó khăn cho việc điều tra máy tính.
Có rất nhiều cách khác nhau để có thể giấu thông tin. Một số chương trình có thể đánh lừa máy tính bằng cách thay đổi thông tin trong header của tập tin. Một số khác, chia tập tin ra thành các phần nhỏ hơn và giấu mỗi phần đó vào các không gian unallocation, không gian slack trên đĩa. Hoặc có thể giấu tập tin bên trong các tập tin khác.
Mã hóa cũng là một cách giấu dữ liệu khác. Khi bạn mã hóa dữ liệu, bạn có thể sử dụng các thuật toán phức tạp để khiến dữ liệu khó có thể đọc được. ví dụ, thuật toán có thể thay đổi một tập tin text thành tập hợp những con số và ký tự vô nghĩa. Ai đó muốn đọc dữ liệu cần phải mở được mật mã, giúp chuyển những con số và ký tự thành văn bản.
Một công cụ anti-forensic khác có thể thay đổi metadata – lý lịch dữ liệu – được đính kèm với tập tin. Metadata bao gồm thông tin giống như khi một tập tin được tạo ra hoặc lần tập tin được thay đổi cuối cùng. Thông thường, bạn không thể thay đổi những thông tin này, nhưng vẫn có các chương trình giúp người dùng có thể thay đổi metadata được gắn với tập tin.
Một số ứng dụng sẽ xóa dữ liệu nếu ai đó không được quyền mà vẫn cố tình truy cập hệ thống. Một số lập trình viên đã thử nghiệm xem các chương trình computer forensic hoạt động như thế nào và cố gắng tạo các ứng dụng vừa có thể chặn lại vừa có thể tấn công các chương trình. Nếu các chuyên gia computer forensic đối mặt với những kẻ như vậy, họ sẽ phải cẩn thận và rất khéo mới có thể truy hồi dữ liệu.
Một số người sử dụng anti-forensic để chứng tỏ dữ liệu máy tính có thể dễ dàng bị tấn công và không đáng tin đến mức nào. Nếu ta không chắc chắn về: thời gian 1 tập tin được tạo ra, lần cuối cùng truy cập nó hoặc thậm chí nó đã từng tồn tại,… thì làm sao ta có thể chứng minh được những bằng chứng này là hợp pháp trước tòa (nhiều quốc gia vẫn chấp nhận bằng chứng trên máy tính ở các vụ xét xử, mặc dù tiêu chuẩn của bằng chứng ở mỗi quốc gia khác nhau).