Forenzička analiza tvrdih diskova i particija s obdukcijom

Forenzička analiza tvrdih diskova i particija s obdukcijom
Sadržaj

Autopsy je softver koji se koristi za forenzičku analizu slike tvrdog diska. To je besplatno i sučelje otvorenog koda koje vam omogućuje pretraživanje i analizu particija ili slika diska.

Alat za obdukciju može raditi na različitim operativnim sustavima, kao što su:

  • Linux
  • Windows
  • Mac OSx
  • Besplatni BSD
Izvorno je napisan na jeziku Perl, a njegov kôd sada je promijenjen u Java s grafičkim sučeljem, iako ova verzija radi samo na Windowsima, na drugim platformama ima web sučelje.

Obdukcija je platforma za digitalnu forenzičku analizu te Sleuthkit grafičko sučelje i drugi digitalni forenzički alati. Koriste ga vlade, javni i privatni subjekti, sigurnosne snage poput policije i vojske, kao i stručnjaci i računalni stručnjaci za istraživanje onoga što se dogodilo na računalu. Nakon incidenta, poput napada ili kvara, možete pregledavati uređaje za pohranu kako biste oporavili datoteke, tražili manipulacije sustavom, oporavili fotografije, slike ili videozapise.

Prvo moramo instalirati Autopsy u Linux, dolazi u spremišta, u Windowsima ga možete preuzeti odavde:

PREUZMI AUTOPSIJU

U ovom vodiču ćemo vidjeti Obdukcijska instalacija na Linuxu. Otvaramo prozor terminala i upisujemo sljedeće naredbe:

1. Instaliramo okvir TSK 

 sudo apt-get install sleuthkit
2. Zatim instaliramo Autopsy 
 apt-get obdukcija
Okvir TSK sadrži skup knjižnica i modula koji se mogu koristiti za razvoj dodataka i naredbi za vještinu računalne forenzike. Okvir TSK je sučelje naredbenog retka koje koristi različite module za analizu slika diska.

Zatim možemo pokrenuti aplikaciju iz prozora terminala pomoću naredbe: 

 sudo obdukcija

Zatim idemo u bilo koji preglednik i upisujemo URL http: // localhost: 9999 / obdukcija ta Obdukcija nam govori da će funkcionirati kao poslužitelj sve dok je pokrenuta.

Prije nego nastavimo, moramo imati sliku nekih uređaja, možemo napraviti sliku našeg diska ili možemo dobiti primjere slika na Internetu, na primjer na web stranici http://dftt.sourceforge.net/, možemo preuzeti nekoliko slike koje predstavljaju različite probleme za analizu.

Na primjer, možemo preuzeti neke od sljedećih slika.

JPEG.webp pretraživanje: Ova testna slika je datotečni sustav Windwos XP NTFS sa 10 jpg.webp slika u različitim imenicima. Slike uključuju datoteke s pogrešnim proširenjima, slike ugrađene u zip datoteku i datoteke Word. Ovdje možemo poraditi na oporavku slike. Odavde možemo preuzeti JPEG.webp pretraživanje.

NTFS poništavanje brisanja: Ova testna slika je 6MB NTFS datotečni sustav s osam izbrisanih datoteka, dva izbrisana direktorija i izbrisanim alternativnim nizom podataka. Datoteke se kreću od rezidentnih datoteka, pojedinačnih datoteka klastera i više ulomaka. U ovom procesu nisu promijenjene strukture podataka kako bi se spriječio oporavak. Nastale su u sustavu Windows XP, uklonjene u sustavu XP i snimljene u sustavu Linux. Ovdje možemo preuzeti NTFS Undelete.

Također možemo stvoriti sliku diska iz Linuxa, saznat ćemo koje su particije sa sljedećim naredbama: 

 sudo fdisk -l

Na primjer, za izradu točne kopije particije za pokretanje, koju možemo koristiti kao datoteku sigurnosne kopije, koristimo sljedeće naredbe: 

 dd if = /dev /partition-to-save of = /home/directory/copy-partition.img
U ovom slučaju to će biti glavna particija: 
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Također možemo koristiti softver kao što je Clonezilla koji je program za stvaranje particija i slika diska, sigurnosnih kopija i oporavak sustava iz sigurnosne kopije.

Nakon što dobijemo sliku za provođenje forenzičke istrage, idemo na Obdukciju, koju ćemo koristiti za ovaj vodič NTSF poništavanje brisanja.

Autopsijsko sučelje omogućuje nam analizu nekoliko slučajeva s različitim slikama, pa čak i nekoliko istraživača, a zatim kliknemo gumb Novi slučaj ili Novi slučaj.

Otvorit će se zaslon za stvaranje slučaja u kojem ćemo dodijeliti naziv slučaju, bez razmaka jer će to ime postati mapa u kojoj će se pohraniti podaci prikupljeni u istrazi. U ovom slučaju ime će biti EmpresaSA, zatim ćemo dodati opis slučaja, također ćemo dodati imena istražitelja koji su nadležni za slučaj, a zatim ćemo kliknuti na Novi slučaj.

Vidjet ćemo zaslon na kojem smo obaviješteni da je stvorena mapa za slučaj i konfiguracijski direktorij.

Zatim ćemo stvoriti domaćina, odnosno registrirat ćemo podatke o opremi ili slici koju treba istražiti.

Dodati ćemo naziv hosta, opis, vrijeme gmt -a u slučaju da potječe iz druge zemlje, možemo dodati vrijeme pomaka i za računalo, a postoje i baze podataka koje sadrže raspršivanje poznatih zlonamjernih datoteka.

Ako želimo koristiti bazu podataka, možemo koristiti NIST NSRL za otkrivanje poznatih datoteka. Baza podataka Nacionalne biblioteke referentnih knjižnica koja sadrži raspršivanja koja mogu biti dobra ili loša, ovisno o tome kako su klasificirana.

Na primjer, postojanje određenog softvera može se prepoznati, a Obdukcija datoteke koje se nalaze u NSRL -u tretira kao poznate i dobre ili ih ne prepoznaje i ne navodi je li dobra ili loša. Također možemo implementirati bazu podataka koja zanemaruje poznate datoteke.

Na kraju kliknemo na DODAJ HOST i idemo na zaslon koji nam prikazuje, direktorij za ovaj host, u istom slučaju možemo imati nekoliko hostova za analizu.

Zatim pristupamo popisu domaćina za ovaj određeni slučaj i na taj način započeti istraživanje na nekom domaćinu ili provjerite nekog domaćina.

Kliknemo na naš host PC031, a zatim kliknemo na u redu, otvorit će se zaslon na koji ćemo dodati sliku hosta, za to kliknemo DODAJTE SLIKU.

Zatim ćemo tražiti sliku prema mapi u kojoj je imamo:

Možemo kliknuti desnom tipkom miša i odabrati opciju Kopirati, zatim idemo na ekran dodaj domaćina i desnom tipkom miša kliknite i zalijepi opciju, ovo će dodati putanju slikovne datoteke, koju također možemo napisati.

Osim toga, navest ćemo vrstu slike ako se radi o disku ili particiji i način uvoza, slika se može uvesti u Autopsy s njenog trenutnog mjesta pomoću simbolične veze, kopiranjem ili premještanjem.

Slikovna datoteka mora imati dopuštenje za čitanje, u protivnom će donijeti pogrešku kada kliknemo na SLJEDEĆI (Sljedeći)
U ovom slučaju sliku koristimo stvaranjem kopije, ako koristimo simboličku vezu koja je veza do mjesta na kojoj se nalazi slika, možemo imati problem da bismo mogli oštetiti sliku, ako je kopiramo, kopija će biti napravljena u direktoriju slučaja, ali mi ćemo zauzeti više mjesta, sjetite se da su datoteke koje koristimo demo koje zauzimaju oko 150 megabajta, a prava slika računala ili poslužitelja mogla bi zauzeti nekoliko gigabajta.

Ispod nas prikazuje neke pojedinosti slike koju smo dodali i omogućuje nam da izračunamo ili zanemarimo integritet pomoću kontrolni zbroj MD5.

Na kraju kliknemo na DODATI o Dodajte za odlazak na završni zaslon gdje nam govori da je proces završio i mi pritisnemo u redu za otvaranje ekrana domaćina za ovaj slučaj.

Zatim odaberemo domaćina u ovom slučaju imamo jedan i kliknemo na Analizirati za početak analize slike. Otvara se zaslon za analizu i mi ćemo Detalji o slici za pregled informacija o sustavu.

U ovom slučaju možemo vidjeti da se radi o Windwos XP NTFS particiji i drugim podacima o veličini diska i sektorima. Tada možemo ići na Analiza datoteka, za pregled datoteke i strukture direktorija.

U direktorijima vidimo direktorij Boot koji sadrži zapisnike pokretanja te particije, ako kliknemo vidjet ćemo zapisnik i možemo ga vidjeti u različitim formatima kao što su ASCII, heksadecimalni i tekstualni, u ovom slučaju vidimo sljedeću pogrešku:

Došlo je do pogreške pri čitanju diska - nedostaje NTLDR

Windows XP NTLDR datoteka bitna je komponenta sektora za pokretanje i pokretanje sustava Windows XP. Računalo se neće pokrenuti niti će se pokrenuti ako je datoteka oštećena.

Zatim ako kliknemo vezu dir u stupcu Tip, možemo se kretati kroz direktorije i vidjeti izbrisane datoteke kako bismo ih pokušali oporaviti.

Računalna forenzika omogućuje identifikaciju i otkrivanje relevantnih informacija u izvorima podataka kao što su slike tvrdih diskova, USB ključevi, snimke mrežnog prometa ili otisci memorije računala.

Sažimajući sve što je učinjeno s Obdukcijom, možemo ponovno otvoriti slučaj jer se sprema ono što radimo ili stvaramo novi slučaj, gdje slučaj sadrži nekoliko hostova ili računala ili particije logičke jedinice koja će sadržavati sve što se odnosi na istragu.

Stoga se prilikom stvaranja slučaja unose podaci poput vašeg identifikacijskog imena i osobe koja će ispitati podatke. Sljedeći korak sastoji se od pridruživanja jednog ili više hostova slučaju, koji odgovaraju slikama koje ćemo poslati na analizu, ili forenzičke slike koja je prethodno pribavljena s računala ili poslužitelja za analizu.

Zatim zatvaramo ovaj slučaj klikom na Zatvori, a zatim Zatvori host, pa ćemo unutar kućišta dodati novog hosta, za to nam je potrebna slika JPEG.webp pretraživanje, slika koju smo ranije spomenuli.

Kliknemo na DODAJ HOST Za dodavanje novog hosta koji ćemo analizirati, u ovom slučaju ćemo potražiti izgubljene ili oštećene slike na računalu u području grafičkog dizajna.

Nakon dodavanja hosta, moramo dodati sliku kao i prije.

Nakon završetka procesa idemo na popis hostova dostupnih za ovaj slučaj.

Zatim odabiremo hosta za istraživanje i kliknemo na u redu.

Zatim kliknemo na Analizirati za pokretanje prikaza particije. U ovom slučaju radi se o particiji Windows XP, s datotečnim sustavom NTFS s ukupno 10 JPG.webp slika. Slike uključuju datoteke s netočnim ekstenzijama, slike ugrađene u zip i Word datoteke te greške koje moramo pronaći i popraviti da bismo oporavili te datoteke.

Svrha ove slike particije je testiranje sposobnosti automatiziranih alata koji traže JPG.webp slike.

Prolazimo kroz direktorije i možemo vidjeti gumb u lijevom stupcu ispod SVE IZBRIŠI DATOTEKE kako bi nam prikazali sve izbrisane datoteke.

Također možemo izvesti i preuzeti datoteke za njihovu analizu ili oporavak klikom na vezu koju želimo preuzeti, a zatim kliknite na Izvoz

Unutra ćemo pronaći sliku i neke podatkovne datoteke. Također možemo tražiti riječi iz Pretraživanje po ključnim riječima kao nastavci datoteka kao što su doc ​​ili programi koji mogu raditi kao crack, virus ili bilo što što se može činiti čudnim.

svi dobiveni rezultati mogu se izvesti u HTML dokumente klikom na veze izvješće svake vrste ASCI -a, heksadecimalnog ili tekstualnog prikaza, za prezentaciju izvješća našim klijentima ili za održavanje baze podataka o incidentima.

Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod

Vi ćete pomoći u razvoju web stranice, dijeljenje stranicu sa svojim prijateljima

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
Automatski onemogući WiFi pri povezivanju mrežnog kabela Windows
2
post-title
Pogreška Chromea: administrator je onemogućio ažuriranja
3
post-title
Android P spriječit će aplikacije da vas špijuniraju putem kamere
4
post-title
Kako aktivirati otključavanje licem na Xiaomi Mi 8 Lite
5
post-title
Kako vratiti i sigurnosno kopirati izbornik Start sustava Windows 10

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -