Computer Crime, Computer Forensics, and
Computer Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Human behavior in the electronic age. . . . . . . . . . . . . . . . . . 4
1.3 The nature of computer crime . . . . . . . . . . . . . . . . . . . . . . . 6
1.4 Establishing a case in computer forensics. . . . . . . . . . . . . . . . 12
1.4.1 Computer forensic analysis within the forensic tradition . . . . 14
1.4.2 The nature of digital evidence . . . . . . . . . . . . . . . . . . . . . 21
1.4.3 Retrieval and analysis of digital evidence . . . . . . . . . . . . . 23
1.4.4 Sources of digital evidence . . . . . . . . . . . . . . . . . . . . . . . 27
1.5 Legal considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1.6 Computer security and its relationship
to computer forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
1.6.1 Basic communications on the Internet. . . . . . . . . . . . . . . . 32
1.6.2 Computer security and computer forensics . . . . . . . . . . . . . 35
v
1.7 Overview of the following chapters. . . . . . . . . . . . . . . . . . . . 37
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2 Current Practice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.2 Electronic evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.2.1 Secure boot, write blockers and forensic platforms . . . . . . . . 44
2.2.2 Disk file organization . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.2.3 Disk and file imaging and analysis . . . . . . . . . . . . . . . . . 49
2.2.4 File deletion, media sanitization . . . . . . . . . . . . . . . . . . . 57
2.2.5 Mobile telephones, PDAs . . . . . . . . . . . . . . . . . . . . . . . . 59
2.2.6 Discovery of electronic evidence . . . . . . . . . . . . . . . . . . . . 61
2.3 Forensic tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
2.3.1 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
2.3.2 ILook Investigator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
2.3.3 CFIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
2.4 Emerging procedures and standards . . . . . . . . . . . . . . . . . . . 76
2.4.1 Seizure and analysis of electronic evidence . . . . . . . . . . . . . 77
2.4.2 National and international standards. . . . . . . . . . . . . . . . 86
2.5 Computer crime legislation and computer forensics . . . . . . . . 90
2.5.1 Council of Europe convention on cybercrime and
other international activities . . . . . . . . . . . . . . . . . . . . . . 90
2.5.2 Carnivore and RIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
2.5.3 Antiterrorism legislation . . . . . . . . . . . . . . . . . . . . . . . . 98
2.6 Networks and intrusion forensics . . . . . . . . . . . . . . . . . . . . . 103
References. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104