The online computer book shop for UK & Europe                                   

   Books Home | About Us | Index | Next Record | Browse

 
  

Tel: 0121 706 6000 

Static Book Details Page - Computer Manuals Website

 Alternate Data Storage Forensics
  

  Alternate Data Storage Forensics by Amber Schroader ; Tyler Cohen

  • Published by: FOCAL PRESS
  • Author: Amber Schroader ; Tyler Cohen
  • Page Count: 315
  • Group: FORENSICS
  • ISBN: 1597491632/9781597491631
  • Published: Nov 2007

Our Price: 26.39
Discount: 20%
RRP: 32.99 

For Latest Pricing and Availability Click Here
 

 The online computer book shop for UK & Europe

Book store with some thing for everyone

Book Information and Description:

Alternate Data Storage Forensics
 Learn to pull digital fingerprints from alternate data storage (ADS) devices including: iPod, Xbox, digital cameras and more from the cyber sleuths who train the Secret Service, FBI, and Department of Defense in bleeding edge digital forensics techniques. This book sets a new forensic methodology standard for investigators to use.

This book begins by describing how alternate data storage devices are used to both move and hide data. From here a series of case studies using bleeding edge forensic analysis tools demonstrate to readers how to perform forensic investigations on a variety of ADS devices including: Apple iPods, Digital Video Recorders, Cameras, Gaming Consoles (Xbox, PS2, and PSP), Bluetooth devices, and more using state of the art tools. Finally, the book takes a look into the future at not yet every day devices which will soon be common repositories for hiding and moving data for both legitimate and illegitimate purposes.

CONTENTS:

xi

Contents

Chapter 1 Digital Forensics and Analyzing Data . . . . . . . . 1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

The Evolution of Computer Forensics . . . . . . . . . . . . . . . . . .2

Phases of Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . .4

Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

Difficulties When Collecting

Evidence from Nontraditional Devices . . . . . . . . . . .10

Hardware Documentation Difficulties . . . . . . . . . . .15

Difficulties When Collecting

Data from Raid Arrays, SAN, and NAS Devices . . . . .17

Difficulties When Collecting

Data from Virtual Machines . . . . . . . . . . . . . . . . . . .19

Difficulties When Conducting

Memory Acquisition and Analysis . . . . . . . . . . . . . . .19

Examination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

Utility of Hash Sets . . . . . . . . . . . . . . . . . . . . . . . . .22

Difficulties Associated with

Examining a System with Full Disk Encryption . . . . .23

Alternative Forensic Processes . . . . . . . . . . . . . . . . . .24

Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

Analysis of a Single Computer . . . . . . . . . . . . . . . . .27

Analysis of an Enterprise Event . . . . . . . . . . . . . . . . .30

Tools for Data Analysis . . . . . . . . . . . . . . . . . . . . . . .32

Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . .38

Chapter 2 Seizure of Digital Information . . . . . . . . . . . . 39

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

Defining Digital Evidence . . . . . . . . . . . . . . . . . . . . . . . . .43

Digital Evidence Seizure Methodology . . . . . . . . . . . . . . . .46

xii Contents

Seizure Methodology in Depth . . . . . . . . . . . . . . . . . . .48

Step 1: Digital Media Identification . . . . . . . . . . . . . .50

Step 2: Minimizing the Crime

Scene by Prioritizing the Physical Media . . . . . . . . . .50

Step 3: Seizure of Storage Devices and Media . . . . . .51

To Pull the Plug or Not to

Pull the Plug,That Is the Question . . . . . . . . . . . . . .52

Factors Limiting the Wholesale Seizure of Hardware . . . . . .54

Size of Media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54

Disk Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

Privacy Concerns . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

Delays Related to Laboratory Analysis . . . . . . . . . . . . . .57

Protecting the Time of

the Most Highly Trained Personnel . . . . . . . . . . . . . . . .58

The Concept of the First Responder . . . . . . . . . . . . . . .61

Other Options for Seizing Digital Evidence . . . . . . . . . . . . .62

Responding to a Victim of

a Crime Where Digital Evidence Is Involved . . . . . . . . .65

Seizure Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

Previewing On-Scene Information

to Determine the Presence and Location

of Evidentiary Data Objects . . . . . . . . . . . . . . . . . . . . . .69

Obtaining Information from a Running Computer . . . .70

Imaging Information On-Scene . . . . . . . . . . . . . . . . . . .72

Imaging Finite Data Objects On-Scene . . . . . . . . . . . .73

Use of Tools for Digital Evidence Collection . . . . . . . . .76

Common Threads within Digital Evidence Seizure . . . . . . .78

Determining the Most Appropriate Seizure Method . . . . . . .81

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83

Works Cited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85

Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88

Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . .90

Chapter 3 Introduction to Handheld Forensics . . . . . . . . 93

Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94

What Is the Handheld Forensic Impact? . . . . . . . . . . . . . . . .95

Digital Forensic Foundations . . . . . . . . . . . . . . . . . . . . .95

File System Differences . . . . . . . . . . . . . . . . . . . . . . .96

Contents xiii

Static versus Active . . . . . . . . . . . . . . . . . . . . . . . . . .97

Storage Capacity Differences . . . . . . . . . . . . . . . . . . .98

Imaging Techniques . . . . . . . . . . . . . . . . . . . . . . . . .99

Evidence Collection . . . . . . . . . . . . . . . . . . . . . . . . . .100

First Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102

Collection to Handling . . . . . . . . . . . . . . . . . . . . . . . .104

PDA Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104

Cellular Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106

Evidence Preservation . . . . . . . . . . . . . . . . . . . . . . . . . . . .108

Maintain the Device . . . . . . . . . . . . . . . . . . . . . . . . . .109

Maintain a Forensic Data Connection . . . . . . . . . . . . . . . .110

Forensic Grade Tools . . . . . . . . . . . . . . . . . . . . . . . . . .111

Analysis and Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . .112

Bibliography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112

Chapter 4 PDA, Blackberry, and iPod Forensic Analysis 113

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114

PDA Background Information . . . . . . . . . . . . . . . . . .114

Components of a PDA . . . . . . . . . . . . . . . . . . . . . . . .114

PDA Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114

Investigative Methods . . . . . . . . . . . . . . . . . . . . . . . . .115

Step 1: Examination . . . . . . . . . . . . . . . . . . . . . . . . . .115

Step 2: Identification . . . . . . . . . . . . . . . . . . . . . . . . . .116

Step 3: Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . .116

Step 4: Documentation . . . . . . . . . . . . . . . . . . . . . . . .116

PDA Investigative Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . .117

Device Switched On . . . . . . . . . . . . . . . . . . . . . . . . . .117

Device Switched Off . . . . . . . . . . . . . . . . . . . . . . . . . .117

Device in its Cradle . . . . . . . . . . . . . . . . . . . . . . . . . . .117

Device not in its Cradle . . . . . . . . . . . . . . . . . . . . . . . .118

Wireless Connection . . . . . . . . . . . . . . . . . . . . . . . . . .118

Expansion Card in Slot . . . . . . . . . . . . . . . . . . . . . . . .118

Expansion Sleeve Removed . . . . . . . . . . . . . . . . . . . . . . . .118

Deploying PDA Forensic Tools . . . . . . . . . . . . . . . . . . . . .119

PDA Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119

PDA Seizure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119

EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119

Introduction to the Blackberry . . . . . . . . . . . . . . . . . . . . .120

xiv Contents

Operating System of the Blackberry . . . . . . . . . . . . . . .120

Blackberry Operation and Security . . . . . . . . . . . . . . .120

Wireless Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120

Security for Stored Data . . . . . . . . . . . . . . . . . . . . . . . . . .121

Forensic Examination of a Blackberry . . . . . . . . . . . . . . . .121

Acquisition of Information Considerations . . . . . . . . . .121

Device is in the off State . . . . . . . . . . . . . . . . . . . . .122

Device is in the on State . . . . . . . . . . . . . . . . . . . . . .122

Password Protected . . . . . . . . . . . . . . . . . . . . . . . . . . .122

Evidence Collection . . . . . . . . . . . . . . . . . . . . . . . . . .122

Unit Control Functions . . . . . . . . . . . . . . . . . . . . . . . .123

Imaging and Profiling . . . . . . . . . . . . . . . . . . . . . . . . .123

Attacking The Blackberry . . . . . . . . . . . . . . . . . . . . . . . . .123

Securing the Blackberry (RIM) . . . . . . . . . . . . . . . . . . . . .124

Information Hiding in the Blackberry (RIM) . . . . . . . .124

Blackberry (RIM) Signing Authority Tool . . . . . . . . . .124

iPod Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124

The iPod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125

iPod Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126

The iPod as Operating System . . . . . . . . . . . . . . . .127

Drive Formats - Apple HFS+ Or FAT32 . . . . . . . . .128

The iPod System Partition . . . . . . . . . . . . . . . . . . . . . .128

Application Formats . . . . . . . . . . . . . . . . . . . . . . . .129

Misuse of an iPod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130

iPod Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130

Timeline Generation . . . . . . . . . . . . . . . . . . . . . . . . . .131

Lab Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133

Remove Device from Packaging . . . . . . . . . . . . . . . . .133

The iPod restore process . . . . . . . . . . . . . . . . . . . . . . .134

The iPod and Windows . . . . . . . . . . . . . . . . . . . . . . . . . .136

The Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136

setupapi.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137

The iPod and Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138

User Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138

Deleted Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138

iPod Time Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139

Contents xv

Registry Key Containing the

iPod's USB/Firewire Serial Number . . . . . . . . . . . . . . . . .139

iPod Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140

DiskInternals Music Recovery . . . . . . . . . . . . . . . . . . .140

Recover My iPod . . . . . . . . . . . . . . . . . . . . . . . . . . . .140

DD and the iPod . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142

Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142

Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143

Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .146

Chapter 5 E-mail Forensics . . . . . . . . . . . . . . . . . . . . . . . . 147

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

Where to Start? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

E-mail Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . .148

Here is an example HELO exchange . . . . . . . . . . . .149

Functions of E-mail . . . . . . . . . . . . . . . . . . . . . . . .150

Archive Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150

Server Storage Archives . . . . . . . . . . . . . . . . . . . . . .151

Lotus Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152

Novell GroupWise . . . . . . . . . . . . . . . . . . . . . . . . .152

Local Level Archives . . . . . . . . . . . . . . . . . . . . . . . .152

Ingredients of E-mail . . . . . . . . . . . . . . . . . . . . . . .154

Mailbox Archive . . . . . . . . . . . . . . . . . . . . . . . . . . .155

Other Associated Files of the Archive . . . . . . . . . . . .155

Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

Attachments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156

Forensic Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157

Processing Local Mail Archives . . . . . . . . . . . . . . . . . . . . .158

Step 1-Acquisition Outlook PST file . . . . . . . . . . . . . .158

Step 2-Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . .158

Using Paraben's E-mail Examiner . . . . . . . . . . . . . .159

Using MS Outlook for

Processing Outlook Express Files . . . . . . . . . . . . . . .162

Processing Server Level Archives. . . . . . . . . . . . . . . .163

Step 1 Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . .163

Step 2 Processing . . . . . . . . . . . . . . . . . . . . . . . . . .164

Using OnTrack PowerControls . . . . . . . . . . . . . . . . . .164

xvi Contents

Using Paraben's Network E-mail Examiner (NEMX) . . . . .166

Deleted E-mail Recovery . . . . . . . . . . . . . . . . . . . .168

Eudora Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

Outlook PST . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

Network Archives . . . . . . . . . . . . . . . . . . . . . . . . . .169

Chapter 6 Router Forensics . . . . . . . . . . . . . . . . . . . . . . . 171

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172

Network Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172

The Hacking Process . . . . . . . . . . . . . . . . . . . . . . . . . .172

The Intrusion Process . . . . . . . . . . . . . . . . . . . . . . . . .172

Searching for Evidence . . . . . . . . . . . . . . . . . . . . . . . . . .173

An Overview of Routers . . . . . . . . . . . . . . . . . . . . . . . . .174

What Is a Router? . . . . . . . . . . . . . . . . . . . . . . . . . . . .174

The Function of a Router . . . . . . . . . . . . . . . . . . . . . .174

The Role of a Router . . . . . . . . . . . . . . . . . . . . . . . . .174

Routing Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175

Router Architecture . . . . . . . . . . . . . . . . . . . . . . . . . .176

Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . .176

RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177

OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177

Hacking Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178

Router Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178

Router Attack Topology . . . . . . . . . . . . . . . . . . . . . . .178

Denial-of-Service Attacks . . . . . . . . . . . . . . . . . . . . . .179

Routing Table Poisoning . . . . . . . . . . . . . . . . . . . . . . .180

Hit-and-Run Attacks and Persistent Attacks . . . . . . . . .181

Investigating Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . .181

Chain of Custody . . . . . . . . . . . . . . . . . . . . . . . . . . . .182

Volatility of Evidence . . . . . . . . . . . . . . . . . . . . . . .182

Case Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183

Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184

Compromises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185

Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185

Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .186

Contents xvii

Chapter 7 Legal Issues of

Intercepting WiFi Transmissions . . . . . . . . . . . . . . . . . . . 189

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190

WiFi Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190

Authentication and Privacy in the 802.11 Standard . . . .192

Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193

Understanding WiFi RF . . . . . . . . . . . . . . . . . . . . . . . . . .195

Scanning RF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196

Eavesdropping on WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . .197

Legal Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198

The Electronic

Communications Privacy Act (ECPA) . . . . . . . . . . .198

Telecommunications Act . . . . . . . . . . . . . . . . . . . . .199

Computer Fraud and Abuse Act . . . . . . . . . . . . . . .200

Fourth Amendment Expectation of Privacy in WLANs . . .201

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203

Works Cited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .207

Chapter 8 CD and DVD Forensics . . . . . . . . . . . . . . . . . . 209

Physical Characteristics of CD and DVD Media . . . . . . . . .210

CD Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212

CD Sizes and Shapes . . . . . . . . . . . . . . . . . . . . . . . . . .214

CD and DVD Types . . . . . . . . . . . . . . . . . . . . . . . . . .215

CD and DVD Colors . . . . . . . . . . . . . . . . . . . . . . . . .215

CD-R Dyes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217

Information Storage on CDs and DVDs . . . . . . . . . . . .219

CD and DVD Organization and Terminology . . . . . . . .220

Border Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . .220

Lead In . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221

Lead Out . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221

Philips CD Text . . . . . . . . . . . . . . . . . . . . . . . . . . .221

RZone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221

Sector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221

Session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222

Sony CD Text . . . . . . . . . . . . . . . . . . . . . . . . . . . .222

TOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222

xviii Contents

Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222

CD and DVD Sectors . . . . . . . . . . . . . . . . . . . . . . . . .222

R-W Subchannels . . . . . . . . . . . . . . . . . . . . . . . . . . . .224

CD and DVD Differences . . . . . . . . . . . . . . . . . . . . . .226

CD-ROM Manufacturing Process . . . . . . . . . . . . . . . .228

Inside a CD-ROM Drive . . . . . . . . . . . . . . . . . . . . . .230

External Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . .233

Drive Firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234

CD and DVD Logical Structure . . . . . . . . . . . . . . . . . . . .235

Writing to a CD or DVD . . . . . . . . . . . . . . . . . . . . . .235

Logical File Systems . . . . . . . . . . . . . . . . . . . . . . . . . .237

CD and DVD File Systems . . . . . . . . . . . . . . . . . . . . .239

Red Book Audio . . . . . . . . . . . . . . . . . . . . . . . . . .240

HSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241

ISO-9660 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241

Joliet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243

Rock Ridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244

UDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247

HFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

HFS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251

El Torito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251

Space Allocation by CD and DVD File Systems . . . . . . . . .252

Disc Accessibility Problems . . . . . . . . . . . . . . . . . . . . . . . .253

ISO-9660/Joliet File Systems . . . . . . . . . . . . . . . . . . . .253

UDF File Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . .254

Other File Systems . . . . . . . . . . . . . . . . . . . . . . . . . . .254

Forensic Binary Images . . . . . . . . . . . . . . . . . . . . . . . . . . .254

Reproducing Forensic Images . . . . . . . . . . . . . . . . . . .256

Collecting CD and DVD Evidence . . . . . . . . . . . . . . . . . .256

Recognizing CD and DVD Media . . . . . . . . . . . . . . . .257

Collection Considerations . . . . . . . . . . . . . . . . . . . . . .257

Marking Discs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258

Transporting Discs . . . . . . . . . . . . . . . . . . . . . . . . . . . .259

Documenting and Fingerprinting Discs . . . . . . . . . . . .259

Officer Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260

Preparing for Disc Examination . . . . . . . . . . . . . . . . . . . . .260

Forensic Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . .261

Contents xix

Forensic Software . . . . . . . . . . . . . . . . . . . . . . . . . . . .262

Forensic Workstation . . . . . . . . . . . . . . . . . . . . . . . . . .262

Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263

Disc Triage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .264

Chapter 9 MP3 Forensics . . . . . . . . . . . . . . . . . . . . . . . . . 269

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270

History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270

Why Is an iPod Considered Alternative Media? . . . . . . . . .271

Imaging and Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . . .272

Hardware vs. Nonhardware Imaging . . . . . . . . . . . . . . . . .273

Removing the Hard Drive . . . . . . . . . . . . . . . . . . . . . .273

Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273

Registry Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279

Types of iPods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279

File Types Supported . . . . . . . . . . . . . . . . . . . . . . . . . .280

File Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280

Hacking Tools and Encrypted Home Directories . . . . . . .280

Evidence: Normal vs. Not Normal . . . . . . . . . . . . . . . . . .281

Uncovering What Should Not Be There . . . . . . . . . . .289

Analysis Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .294

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295