Polis och it-forensiker måste skydda beslagtagen utrustning mot förändringar genom att skapa och verifiera hashar över speglade enheter vid analys av en hårddisk eller digital utrustning. Man kan inte arbeta mot själva originalet utan endast mot kopior på andra diskar, för att förhindra att bevisen blir ändrade och förstörda.
Det är mycket viktigt att skapa en hashsummering på bevismaterialet när man presenterar bevis så att det går att styrka att bevisen inte ändrats på något sätt under rättegången.
Hashsummor är som ett digitalt fingeravtryck för en fil och skapas med två av de vanligaste algoritmerna MD5 och SHA-1. MD5 är en 128-bitars 32-teckenalgoritm. Om hashsumman inte stämmer med originalet innebär det att förändringar skett sedan bilden skapades.
FTK Imager kan göra en spegling med både bit-för-bit-kopiering och en efterkommande hashsummering. Låt oss titta hur man verifierar ett MD5-hashvärde.
1. Vi öppnar FTK Imager och går till File-menyn och lägger till bevisobjekt. Vi väljer ”Image file” och fortsätter för att lägga till spegelkopian.
Nästa steg är att högerklicka på spegelkopian under ”Evidence Tree” och välja ”Verify Drive/Image”.
2. Därefter visas en dialogruta med namnet på spegelkopian, ”USB_Kingston.001”, mängden data i megabyte som har verifierats och den totala mängd som ska verifieras, hur lång tid den har jobbat och hur lång tid som uppskattas återstå tills den är klar.
3. När verifieringsprocessen är klar visas skärmbilden ”Drive/Image Verify Results”. Där ser vi att både MD5-hash och SHA1 har beräknats för spegelkopian.
4. Nu kan vi Jämföra hashvärdet av vår image-file med hashvärdet som skapades från den första spegelkopian. Då kan vi verifiera att både MD5 och SHA1 stämmer överens, vilket innebär att spegelkopian inte har modifierats efter undersökning.
Slutsats
Efter undersökning och analys har vi kommit fram till att den misstänkte ligger bakom brottet. Gärningsmannen försökte dölja sina spår genom att formatera usb-minnet. Polisens it-forensiker har också verifierat att hasharna på spegelkopior och original har samma värden, vilket innebär att spegelkopian på usb-minnet inte har modifierats efter undersökningen.
Vi lyckades återskapa bilder på tre olika pistoler på hans usb-minne, och på en av bilderna fanns ljuddämparen som polisen hade hittat på brottsplatsen.
Polisen bekräftade att serienumret på ljuddämparen i den återställda bilden stämde överens med ljuddämparen på brottsplatsen.
Vid ytterligare undersökning av bilderna via FTK – Forensic Toolkit – kunde polisen lokalisera bevismaterialet geografiskt, eftersom en av bilderna hade gps-data i sina exif-data. Det gick att se när och var bilden togs, vilket gav en stark koppling till brottet.