Cieto disku un nodalījumu kriminālistiskā analīze, izmantojot autopsiju

Cieto disku un nodalījumu kriminālistiskā analīze, izmantojot autopsiju
Satura rādītājs

Autopsija ir programmatūra, ko izmanto cietā diska attēlu kriminālistikas analīzei. Tā ir bezmaksas un atvērtā pirmkoda saskarne, kas ļauj meklēt un analizēt nodalījumus vai diska attēlus.

Autopsijas rīks var darboties dažādās operētājsistēmās, piemēram:

  • Linux
  • Windows
  • Mac OSx
  • Bezmaksas BSD
Sākotnēji tas tika uzrakstīts Perl valodā, un tā kods tagad ir mainīts uz Java ar grafisko interfeisu, lai gan šī versija darbojas tikai operētājsistēmā Windows, citās platformās tai ir tīmekļa saskarne.

Autopsija ir digitāla kriminālistikas analīzes platforma un Sleuthkit grafiskais interfeiss un citi digitālie kriminālistikas rīki. To izmanto valdības un valsts un privātās struktūras, drošības spēki, piemēram, policija un militārpersonas, kā arī profesionāļi un datoru eksperti, lai izmeklētu notikušo datorā. Pēc kāda incidenta, piemēram, uzbrukuma vai kļūmes, varat pārlūkot atmiņas ierīces, lai atgūtu failus, meklēt sistēmas manipulācijas, atgūt fotoattēlus, attēlus vai videoklipus.

Vispirms mums ir jāinstalē autopsija Linux, tā ir pieejama krātuvēs, operētājsistēmā Windows to var lejupielādēt šeit:

LEJUPIELĀDĒT AUTOPSIJU

Šajā apmācībā mēs redzēsim Autopsijas instalēšana operētājsistēmā Linux. Mēs atveram termināļa logu un ierakstām šādas komandas:

1. Mēs uzstādām TSK ietvaru 

 sudo apt-get install sleuthkit
2. Tad mēs instalējam Autopsy 
 apt-get autopsija
TSK ietvars ietver bibliotēku un moduļu komplektu, ko var izmantot, lai izstrādātu spraudņus un komandas datoru kriminālistikas prasmēm. TSK ietvars ir komandrindas interfeiss, kas diska attēlu analīzei izmanto dažādus moduļus.

Pēc tam mēs varam sākt lietotni no termināla loga, izmantojot komandu: 

 sudo autopsija

Tālāk mēs ejam uz jebkuru pārlūkprogrammu un rakstām URL http: // localhost: 9999 / autopsija autopsija mums saka, ka tā darbosies kā serveris, kamēr vien tā darbosies.

Pirms turpināt, mums ir jābūt dažu ierīču attēlam, mēs varam vai nu izveidot sava diska attēlu, vai arī mēs varam iegūt attēlu paraugus internetā, piemēram, vietnē http://dftt.sourceforge.net/, mēs varam lejupielādēt vairākas attēlus, kuros analizējamas dažādas problēmas.

Mēs, piemēram, varam lejupielādēt dažus no šiem attēliem.

JPEG.webp meklēšana: Šis testa attēls ir Windwos XP NTFS failu sistēma ar 10 jpg.webp attēliem dažādās direktorijās. Attēli ietver failus ar nepareiziem paplašinājumiem, zipā iegultus attēlus un Word failus. Šeit mēs varam strādāt pie attēlu atkopšanas. Mēs varam lejupielādēt JPEG.webp meklēšanu no šejienes.

NTFS atsaukšana: Šis testa attēls ir 6 MB NTFS failu sistēma ar astoņiem izdzēstiem failiem, diviem izdzēstiem direktorijiem un alternatīvu datu plūsmu. Faili svārstās no pastāvīgajiem failiem, atsevišķiem klasteru failiem un vairākiem fragmentiem. Šajā procesā netika modificētas datu struktūras, lai kavētu atkopšanu. Tie tika izveidoti operētājsistēmā Windows XP, noņemti operētājsistēmā XP un tika attēloti Linux. Mēs varam lejupielādēt NTFS Undelete no šejienes.

Mēs varam arī izveidot diska attēlu no Linux, mēs noskaidrojam, kuri ir nodalījumi ar šādām komandām: 

 sudo fdisk -l

Piemēram, lai izveidotu precīzu sāknēšanas nodalījuma kopiju, ko varam izmantot kā rezerves failu, mēs izmantojam šādas komandas: 

 dd if = /dev /partition-to-save of = /home/directory/copy-partition.img
Šajā gadījumā tas būs galvenais nodalījums: 
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Mēs varam izmantot arī tādu programmatūru kā Clonezilla, kas ir programma starpsienu un diska attēlu izveidei, rezerves kopijām un sistēmas atkopšanai no dublējuma.

Kad mums ir attēls, lai veiktu mūsu tiesu medicīnisko izmeklēšanu, mēs dodamies uz autopsiju, un mēs izmantosim šo apmācību NTSF atsaukšana.

Autopsijas interfeiss ļauj mums analizēt vairākus gadījumus ar dažādiem attēliem un pat vairākiem pētniekiem, pēc tam mēs noklikšķinām uz pogas Jauna lieta vai Jauns gadījums.

Tiks atvērts ekrāns, lai izveidotu lietu, kurā mēs piešķirsim lietas nosaukumu bez atstarpēm, jo ​​šis nosaukums kļūs par mapi, kurā tiks glabāta izmeklēšanā apkopotā informācija. Šajā gadījumā nosaukums būs EmpresaSA, tad mēs pievienosim lietas aprakstu, mēs pievienosim arī par lietu atbildīgo izmeklētāju vārdus, pēc tam noklikšķiniet uz Jauns gadījums.

Mēs redzēsim ekrānu, kurā tiksim informēts, ka ir izveidota lietas mape un konfigurācijas direktorijs.

Tālāk mēs izveidosim resursdatoru, tas ir, reģistrēsim izmeklējamās iekārtas vai attēla datus.

Mēs pievienosim resursdatora nosaukumu, aprakstu, gmt laiku, ja esat no citas valsts, mēs varam pievienot nobīdes laiku arī attiecībā uz datoru, un ir datubāzes, kurās ir zināmu ļaunprātīgu failu jaukšanas.

Ja mēs vēlamies izmantot datu bāzi, mēs varam izmantot NIST NSRL, lai noteiktu zināmos failus. Nacionālās programmatūras atsauces bibliotēkas datubāze, kurā ir jaucējkrāni, kas var būt labi vai slikti atkarībā no to klasifikācijas.

Piemēram, var atpazīt noteiktas programmatūras esamību, un Autopsy NSRL atrastos failus uzskata par zināmiem un labiem vai neatpazīst un neprecizē, vai tā ir laba vai slikta. Mēs varam arī ieviest datubāzi, kas ignorē zināmos failus.

Beigās mēs noklikšķinām uz PIEVIENOT HOST un mēs ejam uz ekrānu, kas parāda mums šī saimniekdatora direktoriju, tajā pašā gadījumā mums var būt vairāki saimnieki, kurus analizēt.

Tālāk mēs piekļūstam saimniekdatoru sarakstam šajā konkrētajā gadījumā un līdz ar to sākt pētījumus par kādu saimniekdatoru vai pārbaudiet kādu saimnieku.

Mēs noklikšķinām uz sava saimniekdatora PC031 un pēc tam uz Labi, tiks atvērts ekrāns, kurā mēs pievienosim resursdatora attēlu, un mēs uz tā noklikšķinām PIEVIENOT ATTĒLA FILI.

Tālāk mēs meklēsim attēlu atbilstoši mapei, kurā tas ir:

Mēs varam ar peles labo pogu noklikšķināt un izvēlēties opciju Kopēt, tad mēs ejam uz ekrānu pievienot resursdatoru un mēs ar peles labo pogu noklikšķiniet un ielīmējiet opciju, tas pievienos attēla faila ceļu, mēs to varam arī uzrakstīt.

Turklāt mēs norādīsim attēla veidu, ja tas ir disks vai nodalījums, un importēšanas metodi, attēlu var importēt Autopsijā no pašreizējās atrašanās vietas, izmantojot simbolisku saiti, to kopējot vai pārvietojot.

Attēla failam jābūt lasīšanas atļaujai, pretējā gadījumā tas parādīs kļūdu, kad noklikšķināsim uz NĀKAMAIS (Nākamais)
Šajā gadījumā mēs izmantojam attēlu, izveidojot kopiju, ja mēs izmantojam Symlink, kas ir saite uz attēlu, kur tas atrodas, mums var rasties problēma, ka mēs varam sabojāt attēlu, ja mēs to kopēsim, lietu direktoriju, bet mēs ieņemsim vairāk vietas, atcerieties, ka mūsu izmantotie faili ir demonstrācijas, kas aizņem aptuveni 150 megabaitus, reāls datora vai servera attēls var aizņemt vairākus gigabaitus.

Zemāk tā parāda dažas pievienotā attēla detaļas un ļauj aprēķināt vai ignorēt integritāti, izmantojot kontrolsumma MD5.

Visbeidzot mēs noklikšķinām uz PIEVIENOT o Pievienot, lai pārietu uz pēdējo ekrānu, kur tiek norādīts, ka process ir beidzies, un mēs nospiežam Labi lai pārietu uz saimniekdatora ekrānu šai lietai.

Tālāk mēs izvēlamies resursdatoru, šajā gadījumā mums tāds ir un noklikšķiniet uz Analizēt lai sāktu attēlu analīzi. Atveras analīzes ekrāns, un mēs to darīsim Attēla detaļas lai apskatītu sistēmas informāciju.

Šajā gadījumā mēs redzam, ka tas ir Windwos XP NTFS nodalījums un citi dati par diska lielumu un sektoriem. Tad mēs varam doties uz Failu analīze, lai apskatītu failu un direktoriju struktūru.

Katalogos mēs redzam sāknēšanas direktoriju, kurā ir šī nodalījuma sāknēšanas žurnāli. Noklikšķinot, mēs redzēsim žurnālu, un mēs to varam redzēt dažādos formātos, piemēram, ASCII, heksadecimālā un teksta, šajā gadījumā mēs redzam šādu kļūdu:

Radās diska lasīšanas kļūda - trūkst NTLDR

Windows XP NTLDR fails ir būtiska Windows XP sāknēšanas sektora un palaišanas sastāvdaļa. Dators netiks startēts, tas netiks pabeigts, ja šis fails ir bojāts.

Tad, ja kolonnā noklikšķināsim uz dir saites Tips, mēs varam pārlūkot direktorijus un redzēt izdzēstos failus, lai mēģinātu tos atgūt.

Datoru kriminālistika ļauj identificēt un atklāt būtisku informāciju datu avotos piemēram, attēlu no cietajiem diskiem, USB zibatmiņām, tīkla trafika momentuzņēmumiem vai datora atmiņas izgāztuvēm.

Apkopojot visu, kas paveikts ar autopsiju, mēs varam atsākt lietu, jo tas, ko mēs darām, tiek saglabāts vai izveidot jaunu lietu, kurā lietā ir vairāki resursdatori vai datori vai loģiskas vienības nodalījumi, kuros būs viss, kas saistīts ar izmeklēšanu.

Tāpēc, veidojot lietu, tiek ievadīta tāda informācija kā jūsu identifikācijas vārds un persona, kas izmeklēs datus. Nākamais solis ir saistīt lietu ar vienu vai vairākiem saimniekiem, kas atbilst attēliem, kurus mēs iesniegsim analīzei, vai tiesu medicīnas attēlu, kas iepriekš iegūts no analizējamā datora vai servera.

Tālāk mēs slēdzam šo lietu, noklikšķinot uz Aizvērt un pēc tam uz Aizvērt saimniekdatoru, un lietā pievienosim jaunu resursdatoru, tāpēc mums ir nepieciešams attēls JPEG.webp meklēšana, attēls, kuru mēs minējām iepriekš.

Mēs noklikšķinām uz PIEVIENOT HOST Lai pievienotu jaunu resursdatoru, kuru mēs analizēsim, šajā gadījumā mēs meklēsim pazaudētus vai bojātus attēlus datorā grafiskā dizaina jomā.

Pēc resursdatora pievienošanas mums jāpievieno attēls tāpat kā iepriekš.

Pēc procesa pabeigšanas mēs dodamies uz šim gadījumam pieejamo saimnieku sarakstu.

Tālāk mēs izvēlamies izmeklējamo resursdatoru un noklikšķiniet uz Labi.

Tad mēs noklikšķinām uz Analizēt lai sāktu nodalījuma skatu. Šajā gadījumā tas ir Windows XP nodalījums ar NTFS failu sistēmu, kurā kopā ir 10 JPG.webp attēli. Attēli ietver failus ar nepareiziem paplašinājumiem, attēlus, kas iegulti zip un Word failos, kā arī kļūdas, kas mums jāatrod un jālabo, lai šos failus atgūtu.

Šī nodalījuma attēla mērķis ir pārbaudīt JPG.webp attēlus meklējošo automatizēto rīku iespējas.

Mēs ejam cauri direktorijiem, un mēs varam redzēt pogu kreisajā kolonnā zemāk VISI DZĒST FILES lai parādītu mums visus izdzēstos failus.

Mēs varam arī eksportēt un lejupielādēt failus, lai tos analizētu vai atgūtu, noklikšķinot uz saites, kuru vēlamies lejupielādēt, un pēc tam noklikšķiniet uz Eksportēt

Iekšpusē mēs atradīsim attēlu un dažus datu failus. Mēs varam arī meklēt vārdus no Atslēgas vārdu meklēšana kā failu paplašinājumus, piemēram, doc vai programmas, kas var darboties kā plaisa, vīruss vai jebkas, kas var šķist dīvains.

Visi iegūtos rezultātus var eksportēt uz HTML dokumentiem noklikšķinot uz saitēm Ziņot katra ASCI, heksadecimālā vai teksta skata veida, lai prezentētu mūsu klientiem ziņojumu vai saglabātu incidentu datubāzi.

Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu

Jums palīdzēs attīstību vietā, daloties lapu ar draugiem

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā aizsargāt cieto disku operētājsistēmā Windows 10 ar slēpto disku
2
post-title
Lietojumprogrammas attēlu, failu un iPhone un Android lietotņu slēpšanai
3
post-title
▷ Aktivizējiet Xiaomi Poco M3 žestus
4
post-title
Mainiet failu koplietošanas šifrēšanas līmeni sistēmā Windows 10
5
post-title
Labākās alternatīvas Apple Watch

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -