Vaststellingsonderzoek

Het 'naar boven halen' van gegevens die als bewijs kunnen dienen vergt, naast specialistische kennis van hard- en software, eveneens onderzoekskennis. Digitale gegevens analyseren ten behoeve van de bewijsvoering wordt bij Riscon verzorgt door ervaren ICT-specialisten met ruime onderzoekservaring.

Digitaal onderzoek

Op een gemiddelde harde schijf bevinden zich doorgaans vaak honderdduizenden bestanden. Aangezien het te veel tijd kost om elk document afzonderlijk te bekijken, wordt er bij Riscon gebruik gemaakt van diverse forensische softwareprogramma’s. Deze programma's zoeken, met behulp van ingevoerde zoektermen, naar de relevante bestanden waar deze zoektermen in voorkomen. De bestanden die door het programma worden geselecteerd, worden vervolgens apart gezet om nader te kunnen worden geanalyseerd. Om deze bewerkingen zorgvuldig te kunnen verrichten dienen echter eerst een aantal andere werkzaamheden te worden uitgevoerd. Hieronder zetten wij een aantal van deze werkzaamheden uiteen.

Kopiëren van de harddisk

Originele harddisks die moeten worden gekopieerd, worden eerst gedemonteerd uit de behuizing en aangesloten op een onderzoekscomputer van Riscon. Alle harddisks die worden gebruikt om de gegevens naartoe te kopiëren worden uiteraard geëtiketteerd en gecodeerd. Op deze harddisks worden ‘subdirectory(s)’ (mapjes) aangemaakt die aangeven wat wordt gekopieerd (plaats/datum/schijf/partitie). In totaal worden van elke harddisk drie kopieën gemaakt. Twee kopieën van de originele harddisks worden, apart van elkaar opgeslagen in beveiligde datasafes en een derde kopie dient als ‘werkkopie’.

Eén kopie is bij Riscon een zogenaamde ‘image’. Een image is een 100% kopie (soort foto) van een harddisk, inclusief de ‘lege’ schijfruimte waarop de niet-zichtbare (verwijderde) bestanden zich bevinden.

Uitpakken van de image

Voordat gegevens vanuit een image kunnen worden geanalyseerd, moeten deze eerst digitaal worden ‘uitgepakt’. De op de image aanwezige partitie(s) worden als het ware door de computer ‘leesbaar’ gemaakt.

Na het uitpakken kan het zijn dat er zich meer bestanden op een harddisk bevinden dan in eerste instantie bleek. Een voorbeeld: een harddisk bevat een drietal ‘PST’ (Outlook) bestanden die na het uitpakken weer vele duizenden e-mailberichten kunnen bevatten. Deze e-mailberichten kunnen op hun beurt ook weer bijlagen (attachments) bevatten.

Analyse

Er wordt eerst een globale analyse gemaakt van de inhoud van de partitie(s) en een index gegenereerd van alle bestanden binnen die partitie(s), bijvoorbeeld welke partitie(s) het meest recent gebruikt zijn. Dan wordt gekeken welke (logische) indelingen de gebruiker heeft gehanteerd, of er zich mailprogramma’s op de schijven bevinden etc. Alle bestanden (en/of software) die duidelijk niet relevant zijn, worden uitgeselecteerd.

Voor een nadere analyse zullen bestanden op documentniveau moeten worden bekeken. Aangezien het te kostbaar is om alle aangetroffen documenten op een harddisk één voor één te lezen en te beoordelen, zal onze speciaal daartoe dienende (forensische) software de relevante documenten eerst uitselecteren. Hiervoor worden relevante zoekcriteria in het programma ingevoerd. Het programma zoekt vervolgens op diverse woorden/combinaties door alle bestanden, inclusief de verwijderde bestanden.

Tijdsbesteding

Onze digitaal specialist houdt naast het lopende proces een logboek bij van alle gevolgde procedures en controleert steekproefsgewijs zowel het kopieer als het selectieproces. De gemiddelde doorlooptijd van bovengenoemde werkzaamheden is afhankelijk van de hoeveelheid bestanden die zich op een harddisk bevinden. Riscon geeft vooraf een indicatie af over de tijd die zij denkt te moeten besteden aan de hand van de hoeveelheid gegevens die moeten worden geanalyseerd. Omdat vooraf niet altijd is te voorspellen wat we tijdens het onderzoek in de data tegenkomen, spreken we vaak met onze cliënten een vaste tijdsbesteding af (een eerste dagbesteding van 8 uur bijvoorbeeld), waarna opnieuw overleg volgt aan de hand van de onderzoeksresultaten op dat moment.