Live Forensics to technika zbierania dowodów elektronicznych z systemów komputerowych bez ich wyłączania. Technikę tę stosuje się przede wszystkim podczas analizy systemów, w których niemożliwe jest zastosowanie zabezpieczania post mortem ze względu na to, iż systemów tych nie można wyłączyć.
Tak jest w przypadku serwerowni metanomierzy w kopalniach lub serwerów hostujących ważne aplikacje biznesowe. W tych sprawach konieczne jest zabezpieczenie dowodów bez wyłączania komputerów. Live Forensic pozwala również na skopiowanie informacji z komputera, którego nośnik trwały może być zaszyfrowany, a komputer ten jest włączony. W takim wypadku, przed wyłączeniem, istnieje możliwość skopiowania danych, których rozszyfrowanie nie będzie możliwe. Techniki Live Forensics są również niezbędne w przypadku zabezpieczania pamięci RAM, która jest cennym źródłem dowodów we wszystkich sprawach – począwszy od analiz powłamaniowych oraz malware, na nieuczciwości pracowników kończąc, gdzie maile lub rozmowy komunikatorów będą znajdowały się w pamięci, mimo wyłączonych archiwów komunikatorów. Zastosowanie Live Forensic może oznaczać również znaczną oszczędność czasu zabezpieczenia dzięki wykorzysta niu Triage. Dzięki tej technice możliwe jest przeanalizowanie materiału dowodowego na miejscu zabezpieczania i pominięcie kopiowania nieistotnych nośników. Targeted Triage z kolei, pozwala na zabezpieczenie tylko wybranych danych (bez kopiowania całych nośników), co jest szczególnie istotne np. w sprawach gdzie na serwerze z danymi znajdują się informacje wielu podmiotów, a nie tylko „podejrzanego”. Zasady gromadzenia dowodów w technice Live Forensic są dokładnie takie same jak w technikach „tradycyjnych”. Jak zwykle ważna jest dbałość o integralność dowodu. Konieczne jest także przedstawienie sposobu, w jaki zebrano dowód przedstawiając kolejne etapy tego procesu.
Obowiązują cztery podstawowe zasady:
Zasada 1
Żadne z działań podejmowanych przez śledczych komputerowych nie może powodować zmian w informacji przechowywanych na nośniku, jeżeli mają one być użyte w sądzie. Oznacza to, iż wykorzystywane narzędzia powinny spełniać zasadę „wiem wszystko – nie zmieniam nic”. Obowiązuje praca w trybie read-only, a niezbędne zmiany systemu związane z wykorzystaniem narzędzi powinny być minimalizowane oraz dokumentowane.
Zasada 2
Osoba, która uzna za koniecznie uzyskanie dostępu do oryginalnych danych przechowywanych na komputerze musi mieć odpowiednie kompetencje do przeprowadzenia tej czynności oraz do złożenia wyjaśnień w celu określenia konieczności i konsekwencji podjętych działań a wszelkie działania powinny być należycie udokumentowane.
Zasada 3
Konieczne jest stworzenie i zachowanie zapisu badania lub innych działań i procesów wykonanych na dowodzie elektronicznym wraz ze wskazaniem metodologii i użytych narzędzi. Niezależna osoba trzecia powinna być w stanie uzyskać te same rezultaty przy ponownym zastosowaniu tych samych procesów.
Zasada 4
Informatyk śledczy jest odpowiedzialny za to, aby dowody zbierane były z powyższymi zasadami oraz w celu zapewnienia, iż materiały dowodowe są gromadzone jest zgodnie z prawem – dowód zebrany technikami Live Forensic podlega tym samym regułom prawa, co dowody zbierane w sposób tradycyjny. Strona postępowania ma obowiązek udowodnienia, jeżeli powstanie taka wątpliwość, iż dowód przedstawiony w sądzie nie został w żaden sposób zmieniony od czasu jego zabezpieczenia. Live Forensics jest nowoczesną techniką zabezpieczania danych, która może być z powodzeniem stosowana w wielu sprawach zarówno cywilnych jak i karnych. Oczywiście, wszędzie gdzie to możliwe, w celu zastosowania się do zasad zbierania dowodów elektronicznych , powinno wykonywać się kopię binarną całego nośnika danych. Częściowe lub selektywne kopiowanie plików może być uznane za alternatywę jedynie w określonych okolicznościach, np., gdy ilość danych przeznaczonych do skopiowania czyni wykonanie kopii całościowej niemożliwym lub zaistniały określone ryzyka – np. nośnik jest zaszyfrowany. Jednakże śledczy powinny być pewni, iż w takim wypadku zabezpieczyli wszystkie istotne dowody oraz użyli odpowiednich narzędzi.
