Syftet med denna rapport är att återge en del av den verklighet IT-forensikern står inför och vilka utmaningar som hör till denna samt att producera ett övningsmaterial som kan användas när IT-forensiker nyanställs.För att åstadkomma detta brukas en variation av Case-metodik. Mer precist används ett fiktivt brottsfall som grund för ett virtuellt operativsystem. I detta system planteras information som är relevant för utredningen av det påhittade fallet. Övningen i sig består i att eleven, utifrån givna ledtrådar, skall söka rätt på tillräckligt mycket komprometterande data för att kunna stödja en misstanke. Utmaningen är att skapa en miljö som står nära verkligheten.

Denna rapporten är en jämförelse av forensiska verktyg, i detta fallet är verktygen EnCase och BackTrack. Vi kommer i den här rapporten att jämföra vissa utvalda verktyg som representeras i båda programmen, och analysera resultatet av detta. Analysen och jämförelsen kommer därefter ligga till grund för om man kan få fram lika bra resultat med ett open-source program som med ett program man betalar för. Vi kommer att utföra analysen genom att använda en bevisfil och utföra tester på den i både BackTrack och EnCase. Resultatet kommer att diskuteras och presenteras i denna rapport.För att få fram bästa möjliga resultat kommer vi även att intervjua vissa utvalda personer med erfarenhet utav att arbeta med dessa program, för att få fram deras synpunkter.

Detta arbete har gjorts för att undersöka om det finns en möjlighet att kringgå problemet med stationära datorers strömförsörjning, vid nedstängning genom att man drar ut strömkabeln, i syftet att minimera dataförlusten ur en forensisk synvinkel. Arbetet är också till för att undersöka om det teoretiskt skulle gå att lösa problemet. När man drar ur strömkabeln ur en stationär dator kommer flyktig data att försvinna och gå förlorad vilket ur en forensisk synvinkel kan betyda förlust av bevis..

Den tekniska utvecklingen av allt mer komplexa filsystem samt ökad lagringskapacitet på medier försvårar arbetet med att finna samt återskapa förlorade filer. Detta medför att de verktyg som används inom området ständigt måste utvecklas för att möta upp denna komplexitet.När filer ?raderas? av användaren hanterar filsystemet denna process på olika vis beroende på vilken typ av radering som utförts. Möjligheterna att återskapa dessa filer underlättas genom en grundläggande kunskap om filsystemets arkitektur samt de osynliga processer som sker.Inom den profession, till exempel digital forensik, där det insamlande materialet har krav att klara rättspraxis används olika metoder för att bevara materialets integritet. De kommersiella verktyg som används är utvecklade för att bemöta de krav som ställs inom rättsliga processer.

Denna rapport behandlar ett specifikt område inom IT-forensik och informationssäkerhet. Då en berörd part behöver agera i ett skarpt läge, kan kunskaperna om volatilt minne vara avgörande. I takt med att IT-brott har ökat dramatiskt, har det också bidragit till en enorm utveckling inom de forensiska ramarna. IT-forensikerns handlingar är av avgörande karaktär då minnet förändras kontinuerligt, därför eftersträvas minimala förändringar på systemet.Ett datorsystem är utrustat med ett fysiskt minne vars syfte är att temporärt lagra information då det är aktivt. Detta minne kan vara en rik informationskälla ur ett forensiskt perspektiv.

Denna rapport analyserar testhanteringsverktyg åt Statens Kriminaltekniska Laboratorium. Ett testhanteringsverktyg är ett samlingsnamn på ett verktyg som testar och dokumenterar resultatet på diverse mjukvarutester. I rapporten analyseras tre gratisverktyg, deras funktioner och hur man går tillväga för att använda dem. De tre verktyg som används och betygsätts är Testia Tarantula, TestLink och Testopia. TestLink är det verktyg som får flest poäng, men det är inte det verktyg som slutligen rekommenderas.

Liveanalys är ett begrepp som i detta arbete innebär att man undersöker ett datorsystem under tiden det är igång. Detta kan göras av flera skäl, t.ex. när det är risk för att kryptering finns på systemet vilket kan aktiveras när det stängs ner. Annars är det vanligt om man vill undersöka nätverkskopplingar, aktiva processer eller andra företeelser som kan vara volatila, dvs. försvinner när systemet stängs ner.

I dagens Sverige så har de mobila enheterna en självklar plats i våra fickor, likväl som i vårt samhälle och i dess brottslighet, vilket gör att det sedan några år är att anse självklart att de även har en central roll i IT?forensiska utredningar inom våra polismyndigheter. Men vid sidan av konkreta bevis för begångna brott lagrar enheterna dessutom ofta data som kan användas för att spåra enheten, och därmed också dess brukare, över tid, vilket givetvis är av intresse av polismyndigheter men skulle även kunna vara av stort intresse för exempelvis försäkringsbolag och andra delar av den 'civila sektorn' som driver utredningar men som saknar polisens befogenheter. För att ge ett så brett användningsområde som möjligt fokuserar därför rapporten inte bara på datat som är tillgängligt från den faktiska enheten och hur de kan användas för spårning och positionering, utan försöker även på praktiskt väg undersöka i vilken grad dessa metoder kan utföras med allmänt tillgänglig mjuk- och hårdvara..

The ordinary phone of today is not the same as it was 10 years ago. We still use them tomake phone calls and to send text messages, but the ordinary phone of today has muchmore uses, it is essentially a computer. To put into context to 10 years ago, it is a verypowerful computer, capable of processing wide array of information and presenting it tothe user. Nearly every single device today has a wireless connection, which makes everyuser connectable and able to use online services and internet at any time and place.This gives the user the possibility to integrate his or hers everyday actions with socialmedia and different search functions. Being able to search the internet for persons,restaurants, public transportation and a lot more is very useful to most.

I dagens samhälle är trenden att fler och fler människor införskaffar smartphones för att när som helst kunna vara uppkopplade mot internet. Detta gör att informationen en smartphone hanterar och sparar är viktigare och mer intressant för båda sidorna av lagen. Med denna ökning av smartphones har användandet av applikationer till sociala medier så som facebook ökat.I denna rapport utreds det vad en facebookapplikation lagrar för typ av information efter den har använts och hur pass noga det går att kartlägga vart applikationen har används. För att kunna göra detta krävs först en utredning på vilka sätt de går att hämta ut information ifrån en smartphone. I denna rapport har det alltså utretts huruvida de går att utvinna samma information med hjälp av flera metoder och om de går att uppnå samma resultat med hjälp av en utvinning med de olika metoderna.

In the field of IT-forensics you may often get to analyze different types of digital devices. One ofthese devices is the GPS navigation system. Nowadays GPS technology is getting more and morepopular and is included more frequently in different types of devices. With this article we want topresent the differenent obstacles and possibilites that a forensic investigator is presented with in thistype of investigation. We will be comparing different software suites and make use of forensic toolssuch as EnCase.The reader should get some understanding of the methods there are for analyzing one of these devicesand what problems that may occur in the investigation process.The article presents how the investigator can use different methods to gain information such as recentroutes, favourite destinations and other information that may be stored on the device.

In contemporary encryption the vast amount of text subject to cracking has brought about the demand for methods distinguish files more likely to be encrypted. The encryption software Truecrypt can encrypt files that are not possible to identify with a file signature. To solve the detection problem, an algorithm sensitive to the absence of structure in the very code of files was developed. The program was written in the programming language EnScript which is built into the forensic software suite EnCase. The essential part of the algorithm therefore deployes the statistic of a chi-square test for deviance from a uniform distribution to distinguish files with contents that appear to be random.

En fallstudie tillämpades för att undersöka de inbyggda apparna, Internet Explorer 10, den nya utforskaren File Explorer och reparationsverktyget ?Återställ datorn utan att ta bort filer? i Windows 8. Analysen visade att apparna E-post, Kontakter och Meddelanden sparade större delar av användarens Facebook-profil lokalt på datorns hårddisk. När bildfiler öppnades upp med appen Foton sparades miniatyrbilder av originalet på hårddisken. När videofiler spelades upp med appen Video sparades filnamnet i filer.

Idag har vi mängder av data på våra lagringsmedia vilket gör dem till en värdefull informationskälla. Om denna data raderas betyder det inte att den är borta för alltid. Data finns fortfarande kvar på lagringsmediet och går att återskapa med så kallad file carving. Att kunna återskapa data är en viktig del inom den polisiära verksamheten, men även för andra verksamheter som förlorat data. Det finns dock vissa problem som kan ställa till med besvär när data ska återskapas. När filer inte är lagrade i sammanhängande datablock blir de fragmenterade vilket innebär problem.

IT-användandet bland Sveriges företag är mycket stort och utvecklingen går snabbt framåt. Samtidigt som teknologin skapar möjligheter så skapar den även hot mot företagen själva. Dessa hotbilder glöms ofta bort och konsekvenserna kan bli att känslig information hamnar i fel händer.Undersökningen handlar om anställdas kunskap om den egna verskamhetens IT-säkerhetspolicy. I undersökningen granskas och jämförs även IT-säkerhetspolicys från ett mindre företag och en större kommunal organisation. Som metod har enkäter och intervjuer använts.