Computer forensics liên quan đến việc khảo sát và phân tích dữ liệu (dựa trên những hiểu biết khoa học) được lưu trữ trên các thiết bị máy tính, những dữ liệu này có thể được sử dụng như những bằng chứng pháp lý trước tòa.
Nhân viên điều tra computer forensic điều tra dữ liệu mà họ nhận được từ ổ đĩa cứng của máy tính hoặc các thiết bị lưu trữ khác.
Điều tra computer forensic bao gồm việc: Sưu tập dữ liệu máy tính – một cách an toàn; Khảo dữ liệu nghi ngờ để tìm ra các thông tin chi tiết liên quan như là nguồn gốc, nội dung; Đưa ra bằng chứng dữ liệu trước tòa và Ứng dụng các nguyên lý lưu trữ thông tin trên máy tính và thiết bị số.
Network forensics là bắt (capture), ghi lại (recording) và phân tích (analysis) các sự kiện của mạng để khám phá nguồn gốc của các tấn công bảo mật hoặc các vấn đề khác của bảo mật mạng. Các hệ thống network forensic có thể chia thành hai loại:
- Các hệ thống “Catch-it-as-you-can”: Tất cả các gói chuyển qua một điểm traffic nào đó đều được bắt lại và rồi ghi vào thiết bị lưu trữ để sau đó tiến hành phân tích. Các tiếp cần này yêu cầu một lượng lớn thiết bị lưu trữ, thường sử dụng các hệ thống RAID.
- Các hệ thống “Stop, look and listen”: Mỗi gói tin được phân tích sơ bộ ngay trong bộ nhớ, chỉ một vài thông tin nào đó là được lưu trữ cho quá trình phân tích sau này. Cách tiếp cận này yêu cầu thiết bị lưu trữ ít hơn nhưng lại cần các processor có tốc độ nhanh hơn để có thể xử lý hết các traffics đi vào.
Network forensic đưa ra các thông tin bằng chứng, bằng cách nào mà một thủ phạm, một hacker có thể giành quyền truy cập vào một mạng máy tính.
Network forensic điều tra dữ liệu nhận được từ các tập tin log để xác định dấu vết gì, sự thay đổi nào hoặc tập tin mới nào mà hacker để lại – ẩn sau – máy tính nạn nhân.
Nhân viên network forensic sử dụng các tập tin log để xác định những thời điểm mà người sử dụng đăng nhập vào hệ thống, đăng nhập bằng những URL nào và họ đăng nhập mạng từ vị trí nào,…
Cần có sự phân biệt giữa computer forensic và Data recovery: Data recovery liên quan đến việc khôi phục thông tin từ máy tính, ví dụ, tìm lại một tập tin đã lỡ bị xóa hoặc bị hỏng do server bị lỗi. Computer forensic là một nhiệm vụ của khôi phục dữ liệu mà người sử dụng đã ẩn hoặc đã cố tình xóa đi trước đó, với mục tiêu là đảm bảo dữ liệu khôi phục được là hợp lệ và có thể được sử dụng như là bằng chứng trước tòa.
Rõ ràng, có sự khác nhau lớn giữa computer forensic và computer security: Mối quan tâm chính của Computer security là: Ngăn chặn sự truy cập không được phép vào hệ thống; Và duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của các hệ thống máy tính. Trong khi đó, computer forensic quan tâm đến các bằng chứng mà thủ phạm để lại sau khi truy cập bất hợp lệ vào các hệ thống máy tính.