ebook img

Guide to Computer Forensics and Investigations 6th Edition PDF

770 Pages·2016·29.76 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Guide to Computer Forensics and Investigations 6th Edition

Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 INFORMATION SECURITY GUIDE TO COMPUTER FORENSICS AND INVESTIGATIONS Sixth Edition Bill Nelson Amelia Phillips Chris Steuart Australia • Brazil • Mexico • Singapore • United Kingdom • United States Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 1 3/15/18 3:10 PM This is an electronic version of the print textbook. Due to electronic rights restrictions, some third party content may be suppressed. Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. The publisher reserves the right to remove content from this title at any time if subsequent rights restrictions require it. For valuable information on pricing, previous editions, changes to current editions, and alternate formats, please visit www.cengage.com/highered to search by ISBN#, author, title, or keyword for materials in your areas of interest. Important Notice: Media content referenced within the product description or the product text may not be available in the eBook version. Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. Guide to Computer Forensics and © 2019, 2016 Cengage Learning, Inc. Investigations: Processing Digital Evidence, Sixth Edition Unless otherwise noted, all content is © Cengage. Bill Nelson, Amelia Phillips, ALL RIGHTS RESERVED. No part of this work covered by the copyright Christopher Steuart herein may be reproduced or distributed in any form or by any means, except as permitted by U.S. copyright law, without the prior written SVP, GM Skills: Jonathan Lau permission of the copyright owner. Product Director: Lauren Murphy SOURCE FOR ILLUSTRATIONS: Copyright © Cengage. Product Team Manager: Kristin McNary Microsoft® is a registered trademark of the Microsoft Corporation. Product Manager: Amy Savino For product information and technology assistance, contact us at Product Assistant: Jake Toth Cengage Customer & Sales Support, 1-800-354-9706 Executive Director, Content Design: or support.cengage.com. Marah Bellegarde For permission to use material from this text or product, submit Director, Learning Design: Leigh all requests online at www.cengage.com/permissions. Hefferon Learning Designer: Natalie Onderdonk Library of Congress Control Number: 2018936389 Development Editor: Lisa M. Lord ISBN: 978-1-337-56894-4 Sr. Marketing Director: Michele McTighe Cengage 20 Channel Center Street Assoc. Marketing Manager: Cassie Cloutier Boston, MA 02210 USA Director, Content Delivery: Patty Stephan Cengage is a leading provider of customized learning solutions with Senior Content Manager: employees residing in nearly 40 different countries and sales in more Brooke Greenhouse than 125 countries around the world. Find your local representative at Digital Delivery Lead: Jim Vaughey www.cengage.com. Senior Designer: Diana H. Graham Cengage products are represented in Canada by Nelson Education, Ltd. Production Service/Composition: SPi Global To learn more about Cengage platforms and services, visit Cover Image(s): iStock.com/Vertigo3d www.cengage.com. To register or access your online learning solution or purchase materials for your course, visit www.cengagebrain.com. Notice to the Reader Publisher does not warrant or guarantee any of the products described herein or perform any independent analysis in connection with any of the product information contained herein. Publisher does not assume, and expressly disclaims, any obligation to obtain and include information other than that provided to it by the manufacturer. The reader is expressly warned to consider and adopt all safety precautions that might be indicated by the activities described herein and to avoid all potential hazards. By following the instructions contained herein, the reader willingly assumes all risks in connection with such instructions. The publisher makes no representations or warranties of any kind, including but not limited to, the warranties of fitness for particular purpose or merchantability, nor are any such representations implied with respect to the material set forth herein, and the publisher takes no responsibility with respect to such material. The publisher shall not be liable for any special, consequential, or exemplary dam- ages resulting, in whole or part, from the readers’ use of, or reliance upon, this material. Printed in the United States of America Print Number: 01 Print Year: 2018 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 2 3/15/18 3:10 PM Brief Contents PREFACE �����������������������������������������������������������������������������������������������������xvii INTRODUCTION ������������������������������������������������������������������������������������������xix CHAPTER 1 Understanding the Digital Forensics Profession and Investigations �����1 CHAPTER 2 The Investigator’s Office and Laboratory ������������������������������������������������63 CHAPTER 3 Data Acquisition ������������������������������������������������������������������������������������������93 CHAPTER 4 Processing Crime and Incident Scenes ��������������������������������������������������143 CHAPTER 5 Working with Windows and CLI Systems �����������������������������������������������195 CHAPTER 6 Current Digital Forensics Tools ���������������������������������������������������������������267 CHAPTER 7 Linux and Macintosh File Systems ����������������������������������������������������������305 CHAPTER 8 Recovering Graphics Files ������������������������������������������������������������������������339 CHAPTER 9 Digital Forensics Analysis and Validation ����������������������������������������������377 CHAPTER 10 Virtual Machine Forensics, Live Acquisitions, and Network Forensics ����������������������������������������������������������������������������������������������������415 CHAPTER 11 E-mail and Social Media Investigations ��������������������������������������������������453 CHAPTER 12 Mobile Device Forensics and the Internet of Anything ������������������������493 CHAPTER 13 Cloud Forensics �����������������������������������������������������������������������������������������523 iii Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 3 3/15/18 3:10 PM iv Brief Contents CHAPTER 14 Report Writing for High-Tech Investigations �����������������������������������������561 CHAPTER 15 Expert Testimony in Digital Investigations ��������������������������������������������591 CHAPTER 16 Ethics for the Expert Witness ������������������������������������������������������������������631 APPENDIX A Certification Test References�������������������������������������������������������������������681 APPENDIX B Digital Forensics References ��������������������������������������������������������������������685 APPENDIX C Digital Forensics Lab Considerations �����������������������������������������������������691 APPENDIX D Legacy File System and Forensics Tools �������������������������������������������������697 GLOSSARY ��������������������������������������������������������������������������������������������������705 INDEX ����������������������������������������������������������������������������������������������������������721 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 4 3/15/18 3:10 PM Table of Contents PREFACE �������������������������������������������������������������������������������������������������������������������������xvii INTRODUCTION �����������������������������������������������������������������������������������������������������������xix CHAPTER 1 Understanding the Digital Forensics Profession and I nvestigations �������������������������������������������������������������������������������������1 An Overview of Digital Forensics ���������������������������������������������������������������������������������������2 Digital Forensics and Other Related Disciplines ��������������������������������������������������4 A Brief History of Digital Forensics ����������������������������������������������������������������������7 Understanding Case Law ��������������������������������������������������������������������������������������9 Developing Digital Forensics Resources ���������������������������������������������������������������9 Preparing for Digital Investigations �������������������������������������������������������������������������������11 Understanding Law Enforcement Agency Investigations �����������������������������������11 Following Legal Processes �����������������������������������������������������������������������������������13 Understanding Private-Sector Investigations �����������������������������������������������������15 Maintaining Professional Conduct ���������������������������������������������������������������������������������21 Preparing a Digital Forensics Investigation �����������������������������������������������������������������22 An Overview of a Computer Crime ��������������������������������������������������������������������22 An Overview of a Company Policy Violation �����������������������������������������������������24 Taking a Systematic Approach ���������������������������������������������������������������������������25 Procedures for Private-Sector High-Tech Investigations ����������������������������������������32 Employee Termination Cases �����������������������������������������������������������������������������32 Internet Abuse Investigations ����������������������������������������������������������������������������32 E-mail Abuse Investigations ������������������������������������������������������������������������������33 Attorney-Client Privilege Investigations ������������������������������������������������������������34 Industrial Espionage Investigations �������������������������������������������������������������������36 Understanding Data Recovery Workstations and Software ���������������������������������38 Setting Up Your Workstation for Digital Forensics ��������������������������������������������40 Conducting an Investigation ���������������������������������������������������������������������������������������������41 Gathering the Evidence ��������������������������������������������������������������������������������������41 Understanding Bit-stream Copies ����������������������������������������������������������������������41 Analyzing Your Digital Evidence ������������������������������������������������������������������������43 Completing the Case �������������������������������������������������������������������������������������������50 Critiquing the Case ���������������������������������������������������������������������������������������������52 Chapter Summary �����������������������������������������������������������������������������������������������������������������52 Key Terms ���������������������������������������������������������������������������������������������������������������������������������53 Review Questions ������������������������������������������������������������������������������������������������������������������54 Hands-On Projects ����������������������������������������������������������������������������������������������������������������55 Case Projects ���������������������������������������������������������������������������������������������������������������������������61 v Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 5 3/15/18 3:10 PM vi Table of Contents CHAPTER 2 The Investigator’s Office and Laboratory ����������������������������������63 Understanding Forensics Lab Accreditation Requirements �����������������������������64 Identifying Duties of the Lab Manager and Staff ��������������������������������������������64 Lab Budget Planning ����������������������������������������������������������������������������������������65 Acquiring Certification and Training ���������������������������������������������������������������69 Determining the Physical Requirements for a Digital Forensics Lab ������������71 Identifying Lab Security Needs �����������������������������������������������������������������������72 Conducting High-Risk Investigations �������������������������������������������������������������72 Using Evidence Containers ������������������������������������������������������������������������������73 Overseeing Facility Maintenance ��������������������������������������������������������������������75 Considering Physical Security Needs ��������������������������������������������������������������75 Auditing a Digital Forensics Lab ����������������������������������������������������������������������76 Determining Floor Plans for Digital Forensics Labs ����������������������������������������76 Selecting a Basic Forensic Workstation ��������������������������������������������������������������������78 Selecting Workstations for a Lab ���������������������������������������������������������������������79 Selecting Workstations for Private-Sector Labs ����������������������������������������������80 Stocking Hardware Peripherals �����������������������������������������������������������������������80 Maintaining Operating Systems and Software Inventories �����������������������������81 Using a Disaster Recovery Plan ������������������������������������������������������������������������81 Planning for Equipment Upgrades ������������������������������������������������������������������82 Building a Business Case for Developing a Forensics Lab ���������������������������������82 Preparing a Business Case for a Digital Forensics Lab ������������������������������������84 Chapter Summary �������������������������������������������������������������������������������������������������������������88 Key Terms �����������������������������������������������������������������������������������������������������������������������������89 Review Questions ��������������������������������������������������������������������������������������������������������������89 Hands-On Projects ������������������������������������������������������������������������������������������������������������90 Case Projects �����������������������������������������������������������������������������������������������������������������������91 CHAPTER 3 Data Acquisition ������������������������������������������������������������������������������������93 Understanding Storage Formats for Digital Evidence �����������������������������������������94 Raw Format ������������������������������������������������������������������������������������������������������95 Proprietary Formats �����������������������������������������������������������������������������������������95 Advanced Forensic Format ������������������������������������������������������������������������������96 Determining the Best Acquisition Method ��������������������������������������������������������������97 Contingency Planning for Image Acquisitions �������������������������������������������������������99 Using Acquisition Tools �������������������������������������������������������������������������������������������������101 Mini-WinFE Boot CDs and USB Drives �����������������������������������������������������������101 Acquiring Data with a Linux Boot CD ������������������������������������������������������������102 Capturing an Image with AccessData FTK Imager Lite ����������������������������������116 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 6 3/15/18 3:10 PM Table of Contents vii Validating Data Acquisitions ���������������������������������������������������������������������������������������121 Linux Validation Methods ������������������������������������������������������������������������������122 Windows Validation Methods ������������������������������������������������������������������������124 Performing RAID Data Acquisitions �������������������������������������������������������������������������125 Understanding RAID ���������������������������������������������������������������������������������������125 Acquiring RAID Disks �������������������������������������������������������������������������������������128 Using Remote Network Acquisition Tools �������������������������������������������������������������129 Remote Acquisition with ProDiscover �����������������������������������������������������������130 Remote Acquisition with EnCase Enterprise �������������������������������������������������131 Remote Acquisition with R-Tools R-Studio ���������������������������������������������������131 Remote Acquisition with WetStone US-LATT PRO ����������������������������������������132 Remote Acquisition with F-Response ������������������������������������������������������������132 Using Other Forensics Acquisition Tools ����������������������������������������������������������������132 PassMark Software ImageUSB ������������������������������������������������������������������������132 ASR Data SMART ���������������������������������������������������������������������������������������������132 Runtime Software �������������������������������������������������������������������������������������������133 ILookIX IXImager ��������������������������������������������������������������������������������������������133 SourceForge�����������������������������������������������������������������������������������������������������133 Chapter Summary �����������������������������������������������������������������������������������������������������������133 Key Terms ���������������������������������������������������������������������������������������������������������������������������134 Review Questions ������������������������������������������������������������������������������������������������������������134 Hands-On Projects ����������������������������������������������������������������������������������������������������������135 Case Projects ���������������������������������������������������������������������������������������������������������������������140 CHAPTER 4 Processing Crime and Incident Scenes �������������������������������������143 Identifying Digital Evidence �����������������������������������������������������������������������������������������144 Understanding Rules of Evidence ������������������������������������������������������������������145 Collecting Evidence in Private-Sector Incident Scenes �������������������������������������153 Processing Law Enforcement Crime Scenes ���������������������������������������������������������158 Understanding Concepts and Terms Used in Warrants ���������������������������������158 Preparing for a Search ��������������������������������������������������������������������������������������������������160 Identifying the Nature of the Case ����������������������������������������������������������������160 Identifying the Type of OS or Digital Device �������������������������������������������������160 Determining Whether You Can Seize Computers and Digital Devices ����������161 Getting a Detailed Description of the Location ����������������������������������������������161 Determining Who Is in Charge �����������������������������������������������������������������������162 Using Additional Technical Expertise ������������������������������������������������������������163 Determining the Tools You Need �������������������������������������������������������������������163 Preparing the Investigation Team �����������������������������������������������������������������166 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 7 3/15/18 3:10 PM viii Table of Contents Securing a Digital Incident or Crime Scene �����������������������������������������������������������166 Seizing Digital Evidence at the Scene ����������������������������������������������������������������������167 Preparing to Acquire Digital Evidence ������������������������������������������������������������168 Processing Incident or Crime Scenes ������������������������������������������������������������169 Processing Data Centers with RAID Systems �������������������������������������������������172 Using a Technical Advisor ������������������������������������������������������������������������������172 Documenting Evidence in the Lab �����������������������������������������������������������������173 Processing and Handling Digital Evidence ����������������������������������������������������173 Storing Digital Evidence ������������������������������������������������������������������������������������������������174 Evidence Retention and Media Storage Needs ����������������������������������������������175 Documenting Evidence ����������������������������������������������������������������������������������176 Obtaining a Digital Hash ����������������������������������������������������������������������������������������������176 Reviewing a Case �������������������������������������������������������������������������������������������������������������179 Sample Civil Investigation ������������������������������������������������������������������������������179 An Example of a Criminal Investigation ��������������������������������������������������������181 Reviewing Background Information for a Case ���������������������������������������������182 Planning the Investigation �����������������������������������������������������������������������������182 Conducting the Investigation: Acquiring Evidence with OSForensics ����������182 Chapter Summary �����������������������������������������������������������������������������������������������������������186 Key Terms ���������������������������������������������������������������������������������������������������������������������������188 Review Questions ������������������������������������������������������������������������������������������������������������188 Hands-On Projects ����������������������������������������������������������������������������������������������������������189 Case Projects ���������������������������������������������������������������������������������������������������������������������192 CHAPTER 5 Working with Windows and CLI Systems ��������������������������������195 Understanding File Systems ���������������������������������������������������������������������������������������196 Understanding the Boot Sequence ����������������������������������������������������������������196 Understanding Disk Drives �����������������������������������������������������������������������������197 Solid-State Storage Devices ���������������������������������������������������������������������������200 Exploring Microsoft File Structures ��������������������������������������������������������������������������201 Disk Partitions �������������������������������������������������������������������������������������������������201 Examining FAT Disks �������������������������������������������������������������������������������������209 Examining NTFS Disks ���������������������������������������������������������������������������������������������������212 NTFS System Files�������������������������������������������������������������������������������������������214 MFT and File Attributes ����������������������������������������������������������������������������������215 MFT Structures for File Data ��������������������������������������������������������������������������220 NTFS Alternate Data Streams ������������������������������������������������������������������������228 NTFS Compressed Files ����������������������������������������������������������������������������������232 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2019 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. Due to electronic rights, some third party content may be suppressed from the eBook and/or eChapter(s). Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. Cengage Learning reserves the right to remove additional content at any time if subsequent rights restrictions require it. 68944_fm_hr_i-xxx.indd 8 3/15/18 3:10 PM

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.