Noong Marso 2015 inihayag ni CIA Director John Brennan ang pagtatatag ng isang bagong CIA Directorate of Digital Innovation, ang unang bagong direktoryo ng CIA sa loob ng limang dekada. Ang bagong dibisyon ay nilikha upang maisulong ang mga diskarte sa digital forensics, isang haligi ng forensic science na nauugnay sa mga aktibidad ng pagsisiyasat at pagbawi ng data at metadata (data tungkol sa data) na matatagpuan sa mga digital na aparato, at upang mapagbuti ang kakayahan ng CIA na bakas "Digital dust" naiwan sa mga nakagawiang cyberactivities. Tulad ng ipinaliwanag ni Brennan noong Abril 28 sa isang talumpati sa isang hapunan sa pamumuno ng Intelligence at National Security Alliance, "Saanman tayo pupunta, lahat ng ginagawa natin, iniwan namin ang ilang mga alikabok sa digital, at talagang mahirap na gumana nang mahigpit, lalo na hindi gaanong pag-iimbak, kapag kayo ' nag-iiwan ng digital dust sa iyong paggising."
Ang pangunahing layunin ng digital forensics ay ang pagsusuri ng estado ng isang digital artifact na maaaring magamit sa anumang pagsisiyasat sa isang computer system. Gamit ang mga pamamaraan ng digital forensics, ang isang investigator ay maaaring makakuha ng digital ebidensya, pag-aralan ito, at iulat ang mga natuklasan ng pagsusuri na iyon. Ang pag-unlad ng mga digital na forensic tool at iba pang mga mas advanced na pamamaraan ay dapat na posible para sa mga gobyerno at pribadong kumpanya na matagumpay na pag-aralan ang digital dust na naiwan ng mga iyon - isang pinaghihinalaang o ibang tao na interes - na konektado sa pinaghihinalaang labag sa batas na cyberactivities.
Mga pamamaraan.
Ang mga digital na pamamaraan ng forensic ay inilalapat sa iba't ibang mga sitwasyon, higit sa lahat ng mga miyembro ng pagpapatupad ng batas o ng iba pang mga opisyal na awtoridad upang mangolekta ng katibayan sa isang kaso ng kriminal o korte ng sibil o sa pamamagitan ng mga pribadong kumpanya upang matulungan sa pagtugis ng isang panloob na pagsisiyasat. Ang salitang digital forensics ay lubos na pangkalahatan at maaaring magamit upang makilala ang maraming mga dalubhasa, depende sa partikular na larangan ng pagsisiyasat. Halimbawa, ang mga forensics ng network ay nauugnay sa pagsusuri ng trapiko sa network ng computer, habang ang mga mobile-device forensics ay pangunahing nababahala sa pagbawi ng digital na ebidensya mula sa mga smartphone at tablet computer. Mayroong mga potensyal na walang hanggan pamamaraan para sa digital forensics, ngunit ang pinaka-karaniwang ginagamit na mga pamamaraan isama ang pagsasagawa ng mga paghahanap sa keyword sa kabuuan ng digital media, pagbawi ng mga tinanggal na file, pagsusuri ng hindi pinapamahagi na puwang, at pagkuha ng impormasyon ng registry (halimbawa, sa pamamagitan ng paggamit ng mga naka-attach na USB na aparato).
Kapag nakikipag-ugnayan sa digital na katibayan, mahalagang tiyakin na ang integridad at pagiging tunay ng data at metadata ay hindi apektado sa mga yugto ng pagsisiyasat. Kaya, mahalaga na maiwasan ang anumang pagbabago ng ebidensya na dulot ng gawain ng mga investigator at upang matiyak na ang nakolekta na data ay "tunay" -, magkapareho sa lahat ng paraan sa orihinal na impormasyon. Bagaman ang mga nakikipaglaban sa cybercrime sa mga pelikula at sa telebisyon ay maaaring matalino na makilala ang isang tao ng password ng interes at pagkatapos ay mag-log nang direkta sa computer ng target o iba pang matalinong aparato, sa totoong mundo ang gayong direktang aksyon ay maaaring mabago ang orihinal sa isang paraan upang makagawa ng anumang bagay na natagpuan sa ang aparato ay hindi magagamit o hindi bababa sa hindi tanggap sa korte.
Ang phase ng acquisition, na tinatawag ding "imaging ng mga exhibits," ay binubuo ng pagkuha ng isang imahe ng mga nilalaman ng computer o iba pang aparato. Ang pangunahing problema sa digital media ay madali silang binago; kahit na ang pagtatangka upang makakuha ng pag-access sa mga file o sa nilalaman ng memorya ng isang computer ay maaaring baguhin ang kanilang estado. Samakatuwid kinakailangan upang maiwasan ang direktang pag-access sa pamamagitan ng paglikha ng isang eksaktong imahe ng pabagu-bago ng memorya at ng mga disk ng system sa ilalim ng pagsusuri. Maaari itong makamit sa pamamagitan ng pagkuha ng isang "kaunting kopya" (isang eksaktong bit-by-bit na pagpaparami) ng media sa pamamagitan ng paggamit ng dalubhasang pagsulat-blocking na mga tool na "salamin" ang data habang pinipigilan ang anumang pagbabago sa orihinal na nilalaman ng media.
Ang paglaki ng laki ng media ng imbakan at ang pagkakalat ng mga paradigma tulad ng cloud computing ay hinihiling ang pag-aampon ng mga bagong pamamaraan sa pagkuha na nagpapahintulot sa mga investigator na kumuha ng isang "lohikal" na kopya ng data sa halip na isang kumpletong imahe ng pisikal na aparato ng imbakan. Sa isang puro pagsisikap upang matiyak ang integridad ng data, ang mga investigator ay gumagamit ng mga mekanismo ng "hashing" na bumubuo ng mas maiikling, naayos na haba na mga halaga na kumakatawan sa mas mahaba o mas kumplikadong orihinal. Pinapayagan ng mga halaga ng hashed ang mas mabilis na mga paghahanap at ginagawang posible upang suriin ng mga mananaliksik ang bawat sandali para sa pagiging pare-pareho sa digital na nilalaman sa ilalim ng pagsisiyasat. Ang anumang pagbabago sa nilalaman ay magdulot ng pagbabago sa hash ng digital artifact, na maaaring madaling makita nang walang kinakailangang maghanap sa buong database.
