Kietųjų diskų ir skaidinių teismo ekspertizė naudojant autopsiją

Kietųjų diskų ir skaidinių teismo ekspertizė naudojant autopsiją
Turinys

Autopsija yra programinė įranga, naudojama kietojo disko vaizdo teismo ekspertizei analizuoti. Tai nemokama ir atviro kodo sąsaja, leidžianti ieškoti ir analizuoti skaidinius ar disko vaizdus.

Autopsijos įrankis gali veikti skirtingose ​​operacinėse sistemose, tokiose kaip:

  • Linux
  • „Windows“
  • „Mac OSx“
  • Nemokamas BSD
Iš pradžių jis buvo parašytas „Perl“ kalba, o jo kodas dabar pakeistas į „Java“ su grafine sąsaja, nors ši versija veikia tik „Windows“, kitose platformose ji turi žiniatinklio sąsają.

Autopsija yra skaitmeninė teismo ekspertizės platforma ir „Sleuthkit“ grafinė sąsaja bei kiti skaitmeniniai teismo medicinos įrankiai. Ją naudoja vyriausybės ir viešieji bei privatūs subjektai, saugumo pajėgos, tokios kaip policija ir kariuomenė, taip pat profesionalai ir kompiuterių ekspertai, norėdami ištirti, kas įvyko kompiuteryje. Po incidento, pvz., Atakos ar gedimo, galite naršyti saugojimo įrenginiuose, kad atkurtumėte failus, ieškotumėte sistemos manipuliacijų, atkurtumėte nuotraukas, vaizdus ar vaizdo įrašus.

Pirmiausia turime įdiegti autopsiją „Linux“, kuri yra saugyklose, „Windows“ galite ją atsisiųsti iš čia:

ATSISIŲSTI AUTOPSIJĄ

Šioje pamokoje pamatysime Autopsijos diegimas „Linux“. Mes atidarome terminalo langą ir įvedame šias komandas:

1. Įrengiame TSK karkasą 

 sudo apt-get install sleuthkit
2. Tada įdiegiame autopsiją 
 apt-get autopsija
TSK sistemoje yra bibliotekų ir modulių rinkinys, kurie gali būti naudojami kuriant papildinius ir komandas kompiuterių teismo ekspertizės įgūdžiams. TSK sistema yra komandų eilutės sąsaja, kuri naudoja skirtingus modulius disko vaizdams analizuoti.

Tada galime paleisti programą iš terminalo lango naudodami komandą: 

 sudo skrodimas

Toliau einame į bet kurią naršyklę ir parašome URL http: // localhost: 9999 / autopsy autopsija mums sako, kad ji veiks kaip serveris, kol ją veiksime.

Prieš tęsdami, turime turėti kai kurių įrenginių vaizdą, galime padaryti disko vaizdą arba gauti pavyzdinių vaizdų internete, pavyzdžiui, svetainėje http://dftt.sourceforge.net/ galime atsisiųsti kelis vaizdus, ​​kuriuose pateikiamos skirtingos analizuojamos problemos.

Pavyzdžiui, galime atsisiųsti kai kuriuos iš šių vaizdų.

JPEG.webp paieška: Šis bandomasis vaizdas yra „Windwos XP NTFS“ failų sistema, turinti 10 jpg.webp vaizdų skirtinguose kataloguose. Paveikslėliai apima failus su netinkamais plėtiniais, vaizdus, ​​įterptus į ZIP ir „Word“ failus. Čia galime dirbti su vaizdo atkūrimu. JPEG.webp paiešką galime atsisiųsti iš čia.

NTFS atšaukimas: Šis bandomasis vaizdas yra 6 MB NTFS failų sistema, kurioje yra aštuoni ištrinti failai, du ištrinti katalogai ir ištrintas alternatyvus duomenų srautas. Failai yra įvairūs: nuo nuolatinių failų, atskirų grupių failų ir kelių fragmentų. Šiame procese nebuvo pakeistos jokios duomenų struktūros, kad būtų užkirstas kelias atkūrimui. Jie buvo sukurti naudojant „Windows XP“, pašalinti „XP“ ir atvaizduoti „Linux“. Iš čia galime atsisiųsti „NTFS Undelete“.

Mes taip pat galime sukurti disko vaizdą iš „Linux“, sužinome, kurie yra skaidiniai, naudojant šias komandas: 

 sudo fdisk -l

Pavyzdžiui, norėdami padaryti tikslią įkrovos skaidinio kopiją, kurią galime naudoti kaip atsarginį failą, naudojame šias komandas: 

 dd if = /dev /partition-to-save of = /home/directory/copy-partition.img
Šiuo atveju tai bus pagrindinis skaidinys: 
 dd if = / dev / sda1 iš = / home / myuser / partition-sda1-HDD.img
Taip pat galime naudoti programinę įrangą, tokią kaip „Clonezilla“, kuri yra programa, skirta kurti skaidinius ir disko vaizdus, ​​atsargines kopijas ir sistemos atkūrimą iš atsarginės kopijos.

Kai turėsime vaizdą, kad galėtume atlikti teismo ekspertizę, einame į autopsiją, šiai pamokai naudosime NTSF panaikinimas.

Autopsijos sąsaja leidžia mums analizuoti kelis atvejus su skirtingais vaizdais ir net keliais tyrėjais, tada mes spustelime mygtuką Nauja byla arba Naujas atvejis.

Bus atidarytas ekranas, kuriame bus sukurta byla, kuriai priskirsime bylos pavadinimą be tarpų, nes šis pavadinimas taps aplanku, kuriame bus saugoma tyrimo metu surinkta informacija. Šiuo atveju pavadinimas bus „EmpresaSA“, tada pridėsime bylos aprašymą, taip pat pridėsime už bylą atsakingų tyrėjų pavardes, tada spustelėsime „Nauja byla“.

Pamatysime ekraną, kuriame būsime informuoti, kad buvo sukurtas dėklas ir konfigūracijos katalogas.

Toliau sukursime pagrindinį kompiuterį, tai yra, užregistruosime tiriamos įrangos ar vaizdo duomenis.

Pridėsime pagrindinio kompiuterio pavadinimą, aprašymą, gmt laiką, jei būsime iš kitos šalies, taip pat galime pridėti kompensavimo laiką kompiuterio atžvilgiu, taip pat yra duomenų bazių, kuriose yra žinomų kenkėjiškų failų maišos.

Jei norime naudoti duomenų bazę, žinomus failus galime aptikti naudodami NIST NSRL. Nacionalinės programinės įrangos bibliotekos duomenų bazė, kurioje yra maišų, kurios gali būti geros arba blogos, atsižvelgiant į tai, kaip jos klasifikuojamos.

Pavyzdžiui, galima atpažinti tam tikros programinės įrangos egzistavimą, o autopsija NSRL esančius failus traktuoja kaip žinomus ir gerus arba neatpažįsta ir nenurodo, ar tai gera, ar bloga. Taip pat galime įdiegti duomenų bazę, kuri ignoruoja žinomus failus.

Pabaigoje paspaudžiame PRIDĖTI VADOVĄ ir mes einame į ekraną, kuriame rodomas mums, šio prieglobos katalogas, tuo pačiu atveju galime analizuoti kelis pagrindinius kompiuterius.

Toliau pateksime į konkretaus atvejo šeimininkų sąrašą ir taip pradėti kokio nors šeimininko tyrimus arba patikrinti kokį nors šeimininką.

Spustelime savo pagrindinį kompiuterį PC031 ir tada Gerai, atsidarys ekranas, kuriame pridėsime pagrindinio kompiuterio vaizdą, ir mes spustelėsime PRIDĖTI VAIZDO FALĄ.

Toliau ieškosime vaizdo pagal aplanką, kuriame jį turime:

Galime dešiniuoju pelės mygtuku spustelėti ir pasirinkti parinktį Kopijuoti, tada mes einame į ekraną pridėti pagrindinį kompiuterį ir dešiniuoju pelės mygtuku spustelėkite ir įklijuokite, tai pridės vaizdo failo kelią, taip pat galime jį parašyti.

Be to, nurodysime vaizdo tipą, jei jis yra diskas ar skaidinys, ir importavimo metodą, vaizdą galima importuoti į autopsiją iš dabartinės vietos naudojant simbolinę nuorodą, ją nukopijuoti ar perkelti.

Vaizdo failas turi turėti leidimą skaityti, nes priešingu atveju jis spustelės klaidą KITAS (Kitas)
Tokiu atveju vaizdą naudojame sukurdami kopiją, jei naudojame „Symlink“, kuris yra nuoroda į paveikslėlio vietą, gali kilti problema, kad galime sugadinti vaizdą, jei jį nukopijuosime, bylų katalogą, tačiau užimsime daugiau vietos, atminkite, kad mūsų naudojami failai yra demonstracinės versijos, užimančios apie 150 megabaitų, tikrasis kompiuterio ar serverio vaizdas gali užimti kelis gigabaitus.

Žemiau jis parodo kai kurias pridėto vaizdo detales ir leidžia apskaičiuoti arba nepaisyti vientisumo naudojant kontrolinė suma MD5.

Galiausiai paspaudžiame PAPILDYTI o Pridėti, kad pereitumėte į paskutinį ekraną, kuriame mums sakoma, kad procesas baigėsi, ir mes spaudžiame Gerai norėdami pereiti į pagrindinį ekraną šiuo atveju.

Tada mes pasirenkame pagrindinį kompiuterį, šiuo atveju mes jį turime ir spustelėkite Analizuokite pradėti vaizdo analizę. Atidaromas analizės ekranas ir mes Vaizdo informacija peržiūrėti sistemos informaciją.

Šiuo atveju matome, kad tai yra „Windwos XP NTFS“ skaidinys ir kiti duomenys apie disko dydį ir sektorius. Tada galime eiti į Failų analizė, peržiūrėti failų ir katalogų struktūrą.

Kataloguose matome įkrovos katalogą, kuriame yra to skaidinio įkrovos žurnalai, jei spustelėsime, pamatysime žurnalą ir matysime jį įvairiais formatais, pvz., ASCII, šešioliktainiu ir tekstu, šiuo atveju matome šią klaidą:

Įvyko disko skaitymo klaida - trūksta NTLDR

„Windows XP“ NTLDR failas yra esminis „Windows XP“ įkrovos sektoriaus ir paleidimo komponentas. Kompiuteris nebus paleistas, jis nebaigs paleisti, jei tas failas yra sugadintas.

Tada, jei stulpelyje spustelėsime nuorodą dir Tipas, galime naršyti katalogus ir matyti ištrintus failus, kad galėtume juos atkurti.

Kompiuterinė kriminalistika leidžia identifikuoti ir atrasti atitinkamą informaciją duomenų šaltiniuose pvz., standžiųjų diskų, USB atmintinių, tinklo srauto momentinių vaizdų ar kompiuterio atminties atminties vaizdų.

Apibendrinant viską, kas padaryta atliekant autopsiją, galime iš naujo atidaryti bylą, nes tai, ką darome, yra išsaugoma arba sukurti naują bylą, kurioje yra keli pagrindiniai kompiuteriai arba kompiuteriai arba loginio vieneto skaidiniai, kuriuose bus viskas, kas susiję su tyrimu.

Todėl kuriant bylą įvedama tokia informacija kaip jūsų identifikuojantis vardas ir asmuo, kuris tirs duomenis. Kitas žingsnis - susieti vieną ar daugiau kompiuterių prieglobos serverių, atitinkančių vaizdus, ​​kuriuos ketiname pateikti analizei, arba teismo vaizdą, kuris anksčiau buvo gautas iš analizuojamo kompiuterio ar serverio.

Tada mes uždarome šią bylą spustelėdami Uždaryti, tada - Uždaryti pagrindinį kompiuterį, ir pridėsime naują prieglobą prie bylos, tam mums reikia vaizdo JPEG.webp paieška, vaizdas, kurį minėjome anksčiau.

Spustelime PRIDĖTI VADOVĄ Norėdami pridėti naują pagrindinį kompiuterį, kurį ketiname analizuoti, tokiu atveju ieškosime pamestų ar sugadintų vaizdų kompiuteryje grafinio dizaino srityje.

Pridėję prieglobą, turime pridėti vaizdą, kaip tai darėme anksčiau.

Baigę procesą, einame į šiuo atveju galimų kompiuterių sąrašą.

Tada mes pasirenkame pagrindinį kompiuterį, kurį norite ištirti, ir spustelėkite Gerai.

Tada mes spustelime Analizuokite pradėti skaidinio rodinį. Šiuo atveju tai yra „Windows XP“ skaidinys su NTFS failų sistema, kurioje iš viso yra 10 JPG.webp vaizdų. Vaizdai apima failus su netinkamais plėtiniais, vaizdus, ​​įterptus į ZIP ir „Word“ failus, ir klaidas, kurias turime rasti ir ištaisyti, kad atkurtume tuos failus.

Šio skaidinio vaizdo tikslas yra išbandyti automatinių įrankių, ieškančių JPG.webp vaizdų, galimybes.

Mes einame per katalogus ir matome mygtuką kairiajame stulpelyje žemiau VISI IŠTRINTI Failai parodyti mums visus ištrintus failus.

Taip pat galime eksportuoti ir atsisiųsti failus, kad juos išanalizuotume arba atkurtume, spustelėdami norimą atsisiųsti nuorodą, tada spustelėdami Eksportuoti

Viduje rasite vaizdą ir kai kuriuos duomenų failus. Taip pat galime ieškoti žodžių iš Raktažodžio Paieška kaip failų plėtiniai, pvz., „doc“ ar programos, kurios gali veikti kaip „crack“, virusas ar viskas, kas gali atrodyti keista.

Visi gautus rezultatus galima eksportuoti į HTML dokumentus spustelėję nuorodas Ataskaita kiekvieno tipo ASCI, šešioliktainiai arba teksto rodiniai, kad būtų galima pateikti ataskaitą mūsų klientams arba saugoti incidentų duomenų bazę.

Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką

Padėsite svetainės plėtrą, dalintis puslapį su draugais

wave wave wave wave wave

Populiarios Temos

wave
1
post-title
Geriausios „Google“ programos ir pagrindinės funkcijos
2
post-title
Kaip įjungti USB selektyvų sustabdymą „Windows 10“
3
post-title
Iš naujo nustatykite ir pakeiskite numatytuosius rodinio aplankus „File Explorer“ „Windows 10“
4
post-title
Kaip atnaujinti NPM naudojant „PowerShell“ sistemoje „Windows 10“
5
post-title
Išjunkite automatinį vaizdo įrašų atkūrimą „Facebook“

Rekomenduojama

wave
- Sponsored Ad -

Redaktoriaus Pasirinkimas

wave
- Sponsored Ad -