Att utföra en polisiär IT-forensisk undersökning kan ibland påminna om att lägga ett pussel, specielltom personen som ska utföra undersökningen inte var med när den initiala bevissäkringen gjordes. Attbilda sig en uppfattning om hur en dator har använts enbart utifrån innehållet på dess hårddisk kanvara en svår och många gånger tidskrävande uppgift. Situationer som kan ses som specielltkomplicerade är när potentiellt bevisbärande komponenter saknas, när man saknar pusselbitar.Vid en undersökning av en dators hårddisk påträffas ofta spår av olika enheter som har anslutits tilldatorn. Spår av flyttbara enheter kan många gånger vara intressanta vid en IT-forensisk undersökning.Det kan röra sig om att påvisa hur olika enheter har använts i förhållande till varandra, ibland till ochmed knyta ett digitalt spår till en fysisk handling. Vid andra tillfällen kan spår av tidigare anslutnaenheter berätta för undersökaren att denne inte har tillgång till alla enheter som kan vara av intresse förundersökningen.Arbetet beskriver de mål som är eftersträvansvärda vid uppbyggnaden av IT-forensiskaundersökningsmetoder. Flera aspekter vägdes in för att arbetet skulle hålla en för polisäraundersökningsmetoder tillräcklig kvalitet.Examensarbetet kretsar till stor del kring det testutförande som genomfördes genom att ansluta ettUSB-minne till en dator. Datorn undersöktes sedan efter förändringar och de filer som identifieradessom intressanta bearbetades med ändamålsenliga verktyg. Resultaten som lämnades av verktygengranskades, antingen med sekundära verktyg eller med manuella verifieringsmetoder.Spåren från undersökningen gav vid handen en metod för hur en IT-forensiker verksam i polisiärtutredningsarbete kan angripa spår lämnade av flyttbara USB-lagringsenheter. Slutligen granskadesmetoden och slutsatser kring dess styrkor och brister drogs.
To perform a computer forensic investigation can sometimes be compared to putting a puzzle together, especially if the person doing the investigation was not present at the initial stages were the IT devices was seized. To get an idea of the usage of a computer solely from the information on the hard drive can be a difficult and time consuming task. Situations that can be considered particularly complicated arise when devices have been overlooked at the raid, in other words when pieces of the puzzle are missing.During the examination of a hard drive there is often traces of removable media previously connected to the computer. These kinds of traces can be of interest during the computer forensic investigation. One aspect can be to put different devices in relation to each other, to link a digital trace to a physical action. Another possible conclusion can be that some items of relevance was missed during the raid and there for not seized.This thesis describes the goals that are relevant to strive for when conducting a computer forensic investigation. Multiple aspects was reviewed to make the result usable to a computer forensic examiner working in law enforcement.The work done was basically based on an experiment where a removable USB thumb drive was connected to a computer. The computer was subsequently examined for changes and the files identified were analysed with digital tools built for these purposes. All results were reviewed with secondary digital tools or validated with manual validation techniques.The traces from the analysis provided a method. The method is supposed to be of use when a computer forensic examiner working in law enforcement is conducting searches for removable USB storage devices that was previously connected to a computer. Finally the method was reviewed and conclusions regarding advantages and disadvantages were drawn.