Wat zijn de verschillende computer forensische hulpmiddelen?
Er zijn een aantal verschillende computer forensische tools beschikbaar van verschillende softwareontwikkelaars, hoewel de meeste zijn ontworpen als individuele applicaties of grotere toolkits. Veel van deze programma's zijn ontworpen om forensische specialisten in staat te stellen informatie van het ene opslagapparaat naar het andere te bekijken en op te slaan, inclusief disk-imagers die een "image" van een harde schijf maken. Er zijn ook programma's die kunnen worden gebruikt om gegevens te herstellen die van een schijf zijn verwijderd of metagegevens in een media-indeling of bestand te bekijken. Hoewel veel van deze computer forensische tools afzonderlijk beschikbaar zijn, zijn er ook enkele toolkits gemaakt die meerdere hulpprogramma's in één applicatie combineren.
Een van de meest populaire en nuttige computer forensische hulpmiddelen is een programma dat vaak een disk-imager wordt genoemd. Dit programma kan worden gebruikt om een "image" van een schijf te maken, inclusief draagbare media-apparaten en harde schijven. De afbeelding is eigenlijk een kopie van alle informatie die op de schijf is opgeslagen, waardoor een computer forensisch analist een kopie van een schijf kan maken voor verder onderzoek. Deze computer forensische hulpmiddelen zijn essentieel in strafrechtelijke onderzoeken, waardoor het mogelijk is om aan een kopie van een schijf te werken zonder de originele schijf en de gegevens erop te riskeren.
Er zijn ook tal van computer forensische hulpmiddelen ontwikkeld om analisten te voorzien van hulpprogramma's om verschillende soorten gegevens te herstellen en te bekijken. Deze programma's kunnen partitiebeheerders en viewers bevatten, waarmee forensische werkers bestanden of partities kunnen bekijken die mogelijk op een computer zijn verborgen, evenals software die kan worden gebruikt om bestanden te herstellen die van een computer zijn verwijderd. Verwijderde bestanden laten vaak stukjes gegevens achter die kunnen worden gebruikt om het originele bestand mogelijk opnieuw te maken of om ten minste een deel van het bestand te bekijken.
Computer forensics tools kunnen ook worden ontwikkeld om gebruikers te helpen metadata te vinden en te analyseren op een schijf of geassocieerd met een bestand. Dit type gegevens kan worden gebruikt om te bepalen waar een schijf op een computer is gebruikt of om te achterhalen wanneer een bestand in het verleden is gewijzigd of geopend. Deze computer forensische tools worden vaak door softwarebedrijven aangeboden als individuele hulpprogramma's, hoewel ze ook beschikbaar kunnen zijn in een bundel of toolkit. Dergelijke programma's en toolkits kunnen behoorlijk duur zijn, omdat ze vaak worden ontwikkeld voor wetshandhaving of zakelijk gebruik, en de toolkits bieden deze hulpprogramma's mogelijk tegen een lagere totale prijs voor gebruik door forensische professionals.