Forensische analyse is een tijdrovend proces, maar kan een belangrijke doorbraak betekenen in heel wat dossiers. We kunnen heel diep gaan, maar voor sommige dossiers hoeven niet alle stappen doorlopen te worden zodat er efficiënter kan gewerkt worden.
Het is daarom van belang dat de aanvrager de meerwaarde van de diepgang in vraag stelt en zo veel mogelijk relevante informatie inzake het dossier meedeelt.
1. Actieve data
Foto/Video
Bij het nemen van een foto/video wordt ook metadata (extra informatie) opgeslagen. Deze metadata noemt EXIF-informatie. Hierin staan details zoals de datum/tijd wanneer de foto werd genomen, merk en type van het fototoestel, GPS coördinaten, naam van de eigenaar van het toestel, enz. Deze informatie kan verwijderd worden of gaat soms verloren bij het verzenden over het internet. Ze kan echter wel resulteren in een significante snelheidswinst en vooral kwalitatiever onderzoek.
Met behulp van forensische software kan onder andere geselecteerd worden op '%skin tone' (foto's waarop de tinten van huid worden naar voor gebracht), een vergelijking met een hash-database gedaan worden om niet-relevante foto's uit te filteren, enz.
Foto's kunnen ook nagezien worden op manipulatie door er bepaalde filters op te leggen alsook kunnen ze digitaal verbeterd worden indien de basiskwaliteit hoog genoeg is. Deze bewerking moet manueel per foto gedaan worden.
Ook videobeelden kunnen digitaal verbeterd worden of voorzien worden van bepaalde filters om bepaalde aspecten duidelijk te maken.
Audio
Audio wordt integraal uit de forensische kopie gekopieerd op een externe harde schijf. De eventuele metadata kan opgevraagd worden. Er bestaat eveneens de mogelijkheid om de audiokwaliteit te verbeteren. Deze bewerking moet manueel per audiobestand gedaan worden.
Documenten
Ook bij documenten zit heel wat interessante metadata verscholen. Het gebruik van sleutelwoorden kan de analyse hierop veel versnellen.
Hoe meer informatie wij over het dossier of een bepaald document ontvangen, hoe dieper hij wij kunnen gaan zoeken met de sleutelwoorden. Dit kunnen typische namen producten of partners zijn, een plaats waar wordt afgesproken, een bepaald email-adres, een nickname, enz. Deze sleutelwoorden kunnen aangebracht worden in een tekstbestand wij kunnen specifieke reguliere expressies toevoegen aan het zoekbestand.
De diepte van zoeken is ook van belang voor de snelheid van het onderzoek. Er kan gezocht worden in de actieve bestanden (op naam en op inhoud), in de gewiste ruimte en in de slackspace.
Een specifiek document kan eveneens gecontroleerd worden op laatste wijziging, auteur, vorige versies, enz.
Email & Internethistoriek
Emailverkeer tussen enkele personen kunnen zeer snel opgezocht worden. Indien ook nog een periode wordt meegegeven kan het aantal emails drastisch beperkt worden.
Bij de internethistoriek wordt vooral naar de ingetikte zoektermen op google (of andere browsers) gezocht als eerste onderzoeksdaad, maar er kan veel meer onderzocht worden.
Varia
Bovenstaande zijn de meest voorkomende vragen. Er kunnen nog heel wat meer analyses uitgevoerd worden zoals nazicht op auteursrechtelijk werk (software, documentatie), nazicht of software de gevraagde resultaten oplevert en de eventuele genotderving, enz. Voor meer specifieke vragen kan steeds contact opgenomen worden via info@diforex.be
2. Gewiste ruimte en slackspace
Gewiste ruimte
Alle bovenstaande stappen kunnen ook herhaald worden voor de gewiste data. Dit zowel in de gewiste ruimte als in de slackspace*
Om gewiste data terug te halen dient de analysesoftware de volledige harde schijf op patronen van soorten bestanden controleren. Dit is een tijdrovend proces die geautomatiseerd wordt. De eigenlijke analyse van de gerecupereerde bestanden moet nadien nog op dezelfde manier als de actieve data gebeuren.