易失性数据是通常存储在高速缓存或 RAM 中的数据。这种易失性数据不是永久性的,这是暂时的,如果断电,即当计算机断开连接时,这些数据可能会丢失。
在任何网络犯罪攻击期间,调查过程都在此过程中进行,数据收集起着重要作用,但如果数据不稳定,则应立即收集此类数据。可以远程或现场收集易失性信息。如果要收集的系统数量很多,则首选远程而不是现场。
记录计算机的即时状态对于取证调查非常重要,这样数据不会丢失,因为易失性数据会很快丢失。如果在关闭电源后可疑计算机上的易失性数据丢失,易失性信息并不重要,但它会导致未来的调查。为了避免在计算机上存储易失性数据的问题,我们需要不断充电,以免数据丢失。这样计算机就不会丢失数据,取证专家可以检查这些数据有时缓存是否包含 Web 邮件。
此易失性数据可能包含关键信息。因此应尽快收集此数据。这个过程被称为“现场取证”。
这可能包括几个步骤,它们是:
- 最初创建响应工具包。
- 存储在初始响应期间获得的信息。
- 然后获取易失性数据
- 然后在那之后进行深入的现场响应。