Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Digital Forensics

Każdy bit ma historię — my ją czytamy

Pozyskiwanie, zachowanie i analiza dowodów cyfrowych — ENCASE, FTK, Volatility, Linux forensics. Każdy snapshot dysków i pamięci przechowywany z hashem, czasem i niezłamnym łańcuchem czynności. Dowody, które przechodzą sądową kontrolę.

Dla kogo?

  • Organizacje w trakcie aktywnego incydentu, które potrzebują natychmiast forensics
  • Firmy przygotowujące się do procedur prawnych po cyberatacie
  • Zespoły wewnętrzne, którym brakuje ekspertyz do pozyskania danych
  • Ubezpieczyciele i zespoły ds. roszczeń cybernetycznych
  • Podmioty wymagane do wykazania chain of custody dla regulatorów
Co otrzymujesz

Rezultaty

Forensic image (obraz forenzyczny)

Bit-by-bit kopia dysku ze zweryfikowanym hashem (MD5, SHA1, SHA256). Przechowywana w standardzie EWF lub DD z metadanymi czasowymi i łańcuchem czynności.

Memory dump (snapshot pamięci)

Pełny zrzut RAM — aktualne procesy, połączenia sieciowe, zmienne środowiskowe, hashe w pamięci. Pozyskane ANTES wyłączenia systemu, gdy ślady są jeszcze świeże.

Analiza artefaktów (artifacts)

Prefetch, NTFS Journal, Registry, Browser cache, Temporary files, bash history, syslog. Każdy artefakt datowany, skatalogowany i analizowany pod kątem znaczenia.

Timeline rekonstrukcji

Oś czasowa wszystkich zdarzeń — który proces kiedy się uruchomił, które pliki kiedy zostały zmienione, które połączenia sieciowe kiedy nawiązano.

IoC (Indicators of Compromise)

Hashes malware (YARA rules), IP adresy, domeny, URL-e — wyeksportowane w formacie gotowym do zaimportowania do Twojego SOC/SIEM lub Wazuh.

Chain of custody (łańcuch czynności)

Dokumentacja każdego kroku — kto, kiedy, dlaczego dotknął każdy dowód. Niezaprzeczalne dla sądu i audytów.

Jak pracujemy

Forensics w 5 etapach

  1. 01

    Przygotowanie i izolacja

    Rozłączenie systemu z sieci (network isolation), przygotowanie urządzenia forensic, przygotowanie nośników przechowywania. Bez kontaminacji, bez modyfikacji czasu systemowego.

  2. 02

    Pozyskanie hot (RAM)

    Zrzut pamięci przy systemie włączonym — narzędziami Volatility, Belkasoft, DumpIt. Hasz przed i po. Czasem przylgnięcia ABS (Always Be Securing).

  3. 03

    Pozyskanie cold (dysk)

    Wyłączenie systemu, podłączenie dysków do Write Blocker (urządzenie sprzętowe gwarantujące brak zapisu), pozyskanie obrazu bit-by-bit ENCASE lub FTK Imager.

  4. 04

    Analiza w sterylnym laboratorium

    Dyskonetowany system — analiza offline. ENCASE lub FTK — przegląd plików, analiza MFT, analiza rejestru, analiza logów. Każdy klik dokumentowany.

  5. 05

    Raport i artefakty

    Pełny raport z timeline-em, IoC, zidentyfikowanymi artefaktami, analizą malware (jeśli jest) i rekomendacjami dla dalszych badań lub regulatorów.

FAQ

Najczęstsze pytania

Co się stanie z danymi osobowymi znalezionymi w forensics?
Przechowywane w terytorialnym data center, szyfrowane AES-256, dostęp logowany. NDA przed pracą. Dane usuwane po 90 dniach, chyba że prawo wymaga dłuższej retencji.
Czy forensics znisczy mój system?
Nie. Write Blocker gwarantuje brak zapisów. Analiza odbywa się na kopii (image), nigdy na oryginale. Oryginalny system zostaje niezmieniony.
Jak wygląda chain of custody dla sądu?
Każdy dowód ma unikalny ID, każdy transfer — dokumentację. Fotografie przed pozyskaniem, hasz przed i po, każdy dostęp do dowodów — dziennik. Gotowe do ekspertyzy sądowej.
Jakie są różnice między ENCASE a FTK?
Oba standardy branżowe. ENCASE lepszy do Windows, FTK do uniwersalności. Korzystamy z obydwu — wybieramy narzędzie do typu danych i złożoności.
Ile czasu trwa pełna forensics dużej infrastruktury?
Pozyskanie (acquisition) — zależy od rozmiaru dysków, ale 1–10TB trwa 4–24h. Analiza — 5–20 dni w zależności od złożoności i ilości systemów.

Potrzebujesz forensics natychmiast?

Wejdziemy w system w 2–4 godziny. Przygotujemy kryzysową ścieżkę i pierwszą ocenę danych.

Kontakt kryzysowy Wróć do reagowania