Phenquestions
Uzstādīšana:
Vispirms Linux sistēmā palaidiet šādu komandu, lai atjauninātu pakotņu krātuves:
[aizsargāts pa e-pastu]: ~ $ sudo apt-get updateTagad, lai instalētu autopsijas pakotni, palaidiet šādu komandu:
[aizsargāts ar e-pastu]: ~ $ sudo apt install autopsyTas tiks instalēts Sleuth Kit autopsija savā Linux sistēmā.
Windows sistēmām vienkārši lejupielādējiet Autopsija no tās oficiālās vietnes https: // www.sleuthkit.org / autopsija /.
Lietošana:
Iededzināsim autopsiju, ierakstot autopsija terminālā. Tas mūs aizvedīs uz ekrānu ar informāciju par pierādījumu skapīša atrašanās vietu, sākuma laiku, vietējo portu un izmantoto autopsijas versiju.
Šeit mēs varam redzēt saiti, uz kuru mūs var aizvest autopsija. Par navigāciju uz http: // localhost: 9999 / autopsija jebkurā tīmekļa pārlūkprogrammā mūs sagaidīs mājas lapa, un tagad mēs varam sākt to izmantot Autopsija.
Lietas izveide:
Pirmā lieta, kas mums jādara, ir izveidot jaunu lietu. Mēs to varam izdarīt, noklikšķinot uz vienas no trim opcijām (Atvērts gadījums, Jauns gadījums, Palīdzība) Autopsijas mājas lapā. Pēc noklikšķināšanas uz tā tiks parādīts šāds ekrāns:
Ievadiet informāciju, kā minēts, t.e., lietas nosaukums, izmeklētāja vārdi un lietas apraksts, lai sakārtotu mūsu informāciju un pierādījumus, izmantojot šo izmeklēšanu. Pārsvarā ir vairāki pētnieki, kas veic digitālo kriminālistikas analīzi; tāpēc ir jāaizpilda vairāki lauki. Kad tas ir izdarīts, varat noklikšķināt uz Jauna lieta pogu.
Tas izveidos lietu ar norādīto informāciju un parādīs vietu, kur izveidots lietu katalogs i.e./ var / lab / autopsy /
Šeit mums nav jāaizpilda visi norādītie lauki. Mums vienkārši jāaizpilda lauks Hostname, kurā tiek ievadīts izmeklējamās sistēmas nosaukums un tā īss apraksts. Citas opcijas nav obligātas, piemēram, norādot ceļus, kur tiks glabāti slikti jaukumi, vai tos, uz kuriem dosies citi, vai iestatiet mūsu izvēlēto laika joslu. Pabeidzot to, noklikšķiniet uz Pievienot resursdatoru pogu, lai redzētu jūsu norādīto informāciju.
Tagad resursdators ir pievienots, un mums ir visu svarīgo direktoriju atrašanās vieta, mēs varam pievienot attēlu, kas tiks analizēts. Klikšķiniet uz Pievienot attēlu lai pievienotu attēla failu, parādīsies šāds ekrāns:
Situācijā, kad jums ir jāuzņem jebkuras šīs konkrētās datorsistēmas nodalījuma vai diska attēls, diska attēlu var iegūt, izmantojot dcfldd lietderība. Lai iegūtu attēlu, varat izmantot šādu komandu,
[e-pasts aizsargāts]: ~ $ dcfldd if =bs = 512 skaits = 1 hash =
ja =diska galamērķis, kura attēlu vēlaties redzēt
no =galamērķis, kurā tiks saglabāts nokopēts attēls (var būt jebkas, piem.g., cietais disks, USB utt.)
bs = bloka lielums (kopējamo baitu skaits vienlaikus)
hash =hash tips (piemēram,.g md5, sha1, sha2 utt.) (neobligāti)
Mēs varam arī izmantot dd utilīta, lai uzņemtu diska vai nodalījuma attēlu, izmantojot
[aizsargāts ar e-pastu]: ~ $ dd if =skaits = 1 hash =
Ir gadījumi, kad mums ir daži vērtīgi dati auns kriminālistikas izmeklēšanai, tāpēc mums ir jāfiksē fiziskais ram atmiņas analīzei. Mēs to darīsim, izmantojot šādu komandu:
[e-pasts aizsargāts]: ~ $ dd if = / dev / fmem of =hash =
Mēs varam tālāk apskatīt dd utilītas citas svarīgas iespējas nodalījuma vai fiziskā ram attēla tveršanai, izmantojot šādu komandu:
[e-pasts aizsargāts]: ~ $ dd --helpdd palīdzības iespējas
bs = BYTES vienlaikus nolasa un uzraksta līdz BYTES baitiem (noklusējums: 512);
ignorē ibs un obs
cbs = BYTES vienlaicīgi konvertē baitus
conv = CONVS konvertē failu atbilstoši komatatdalīto simbolu sarakstam
skaits = N kopēt tikai N ievades blokus
ibs = BYTES vienlaikus nolasa līdz BYTES baitiem (noklusējums: 512)
ja = FILE lasīts no FILE, nevis stdin
iflag = FLAGS lasāms atbilstoši komatatdalīto simbolu sarakstam
obs = BYTES rakstīt BYTES baitus vienlaikus (noklusējums: 512)
no = FILE rakstiet uz FILE, nevis stdout
oflag = FLAGS raksti atbilstoši komatatdalīto simbolu sarakstam
seek = N izlaist N obs izmēra blokus izejas sākumā
izlaist = N izlaist N ibs lieluma blokus ievades sākumā
status = LEVEL Informācijas līmenis, ko drukāt uz stderr;
“neviens” nomāc visu, izņemot kļūdu ziņojumus,
'noxfer' nomāc galīgo pārskaitījumu statistiku,
"progress" parāda periodisko pārskaitījumu statistiku
N un BYTES var sekot šādi reizinošie sufiksi:
c = 1, w = 2, b = 512, kB = 1000, K = 1024, MB = 1000 * 1000, M = 1024 * 1024, xM = M,
GB = 1000 * 1000 * 1000, G = 1024 * 1024 * 1024 utt. T, P, E, Z, Y.
Katrs CONV simbols var būt:
ascii no EBCDIC uz ASCII
ebcdic no ASCII uz EBCDIC
ibm no ASCII uz aizstājēju EBCDIC
bloķēt spilventiņu ar jaunu līniju izbeigtus ierakstus ar atstarpēm līdz cbs lielumam
atbloķēt aizstāt pēdējās atstarpes cbs lieluma ierakstos ar jaunu līniju
mainiet lielos burtus uz mazajiem burtiem
mainīt mazos burtus uz lielajiem burtiem
reti mēģiniet meklēt, nevis rakstīt izeju NUL ievades blokiem
tamponu apmainīt katru ievades baitu pāri
sinhronizācijas spilventiņu katram ievades blokam ar NUL līdz ibs izmēram; kad lieto
ar bloku vai atbloķēšanu, spilventiņš ar atstarpēm, nevis NUL
neizdoties, ja izvades fails jau pastāv
nocreat neveido izvades failu
notrunc netraucē izejas failu
Noerror turpināt pēc lasīšanas kļūdām
fdatasync pirms pabeigšanas fiziski uzraksta izejas faila datus
fsync tāpat, bet arī rakstīt metadatus
Katrs FLAG simbols var būt:
pievienot pievienošanas režīmu (jēga tikai izvadei; ierosināts conv = notrunc)
tieša izmantošana tieša I / O datiem
direktorija neizdodas, ja vien direktorijs
dsync izmanto sinhronizētu I / O datiem
sinhronizēt tāpat, bet arī metadatus
fullblock uzkrāj pilnus ievades blokus (tikai iflag)
nonblock izmantot nebloķējošu I / O
Noatime neatjaunina piekļuves laiku
nocache Pieprasījums nomest kešatmiņu.
Mēs izmantosim attēlu ar nosaukumu 8-jpeg-search-dd mēs esam ietaupījuši savā sistēmā. Šo attēlu testa gadījumiem izveidoja Braiens Kerjers, lai to izmantotu ar autopsiju, un tas ir pieejams internetā testa gadījumiem. Pirms attēla pievienošanas mums tagad jāpārbauda šī attēla md5 jaucējkrāsa un jāsalīdzina vēlāk, kad tas ir ievietots pierādījumu skapītī, un abiem jāatbilst. Mēs varam ģenerēt attēla md5 summu, mūsu terminālā ierakstot šādu komandu:
[aizsargāts ar e-pastu]: ~ $ md5sum 8-jpeg-search-ddTas izdos triku. Attēla faila saglabāšanas vieta ir / ubuntu / Desktop / 8-jpeg-search-dd.
Svarīgi ir tas, ka mums jāiet pa visu ceļu, kur atrodas attēls, t.r / ubuntu / desktop / 8-jpeg-search-dd šajā gadījumā. Symlink ir atlasīts, kas padara attēla failu neaizsargātu pret problēmām, kas saistītas ar failu kopēšanu. Dažreiz tiek parādīta kļūda “nederīgs attēls”, pārbaudiet attēla faila ceļu un pārliecinieties, vai uz priekšu slīpsvītra “/ ” ir tur. Klikšķiniet uz Nākamais parādīs mums informāciju par attēlu, kas satur Failu sistēma tips, Uzmontēt piedziņu, un md5 mūsu attēla faila vērtība. Klikšķiniet uz Pievienot lai ievietotu attēla failu pierādījumu skapī un noklikšķiniet labi. Parādīsies šāds ekrāns:
Šeit mēs veiksmīgi iegūstam attēlu un dodam savu labā Analizēt daļa, lai analizētu un izgūtu vērtīgus datus digitālās kriminālistikas izpratnē. Pirms pāriet uz sadaļu “analizēt”, mēs varam pārbaudīt attēla informāciju, noklikšķinot uz opcijas Sīkāka informācija.
Tas sniegs mums informāciju par attēlu failu, piemēram, izmantoto failu sistēmu (NTFS šajā gadījumā), montāžas nodalījums, attēla nosaukums un ļauj ātrāk veikt atslēgvārdu meklēšanu un datu atkopšanu, izvelkot visu sējumu virknes un arī nepiešķirtās atstarpes. Kad esat izgājis visas opcijas, noklikšķiniet uz pogas Atpakaļ. Tagad, pirms analizējam attēla failu, mums jāpārbauda attēla integritāte, noklikšķinot uz pogas Attēla integritāte un ģenerējot attēla md5 jaucējkrānu.
Svarīgi atzīmēt, ka šī jaucējkrāsa sakritīs ar to, ko procedūras sākumā esam izveidojuši, izmantojot md5 summu. Kad tas ir izdarīts, noklikšķiniet uz Aizvērt.
Analīze:
Tagad, kad esam izveidojuši lietu, devuši tai resursdatora nosaukumu, pievienojuši aprakstu, veikuši integritātes pārbaudi, mēs varam apstrādāt analīzes opciju, noklikšķinot uz Analizēt pogu.
Mēs varam redzēt dažādus analīzes režīmus, t.i.e., Failu analīze, Atslēgvārdu meklēšana, Faila tips, Attēla informācija, Datu vienība. Vispirms mēs noklikšķinām uz Attēla informācija, lai iegūtu informāciju par failu.
Mēs varam redzēt svarīgu informāciju par mūsu attēliem, piemēram, failu sistēmas tipu, operētājsistēmas nosaukumu un vissvarīgāko - sērijas numuru. Sējuma sērijas numurs ir svarīgs tiesā, jo tas parāda, ka analizētais attēls ir tāds pats vai tā kopija.
Apskatīsim Failu analīze opcija.
Attēla iekšpusē mēs varam atrast virkni direktoriju un failu. Tie ir norādīti noklusējuma secībā, un mēs varam pārvietoties failu pārlūkošanas režīmā. Kreisajā pusē mēs varam redzēt pašreizējo norādīto direktoriju un tā apakšdaļu - apgabalu, kurā var meklēt konkrētus atslēgvārdus.
Faila nosaukuma priekšā ir nosaukti 4 lauki rakstīts, pieejams, mainīts, izveidots. Uzrakstīts nozīmē datumu un laiku, kad fails pēdējo reizi tika rakstīts, Piekļūst nozīmē, ka failam tika piekļūts pēdējo reizi (šajā gadījumā vienīgais datums ir uzticams), Mainīts nozīmē, ka pēdējo reizi faila aprakstošie dati tika modificēti, Izveidots ir datums un laiks, kad fails tika izveidots, un MetaData parāda informāciju par failu, kas nav vispārīga informācija.
Augšpusē mēs redzēsim iespēju Ģenerē md5 hashes no failiem. Un tas atkal nodrošinās visu failu integritāti, ģenerējot visu pašreizējā direktorijā esošo failu md5 jaukšanas iespējas.
Kreisajā pusē Failu analīze cilnē ir četras galvenās iespējas, t.e., Direktoriju meklēšana, meklēšana faila nosaukumā, visi izdzēstie faili, direktoriju paplašināšana. Direktorija meklēšana ļauj lietotājiem meklēt direktorijus, kādus vēlaties. Faila nosaukuma meklēšana ļauj meklēt konkrētus failus dotajā direktorijā,
Visi izdzēstie faili satur izdzēstos failus no attēla ar tādu pašu formātu, t.e., rakstītas, piekļūtas, izveidotas, metadati un mainītas opcijas, un tās ir redzamas sarkanā krāsā, kā norādīts zemāk:
Mēs varam redzēt, ka pirmais fails ir JPEG failu, bet otrajam failam ir paplašinājums “Hmm”. Apskatīsim šī faila metadatus, labajā pusē noklikšķinot uz metadatiem.
Mēs esam noskaidrojuši, ka metadatos ir a JFIF ieraksts, kas nozīmē JPEG failu apmaiņas formāts, mēs saprotam, ka tas ir tikai attēla fails ar paplašinājumu “hmm”. Paplašināt direktorijus paplašina visus direktorijus un ļauj lielākai teritorijai darboties ar direktorijiem un failiem dotajos direktorijos.
Failu kārtošana:
Visu failu metadatu analīze nav iespējama, tāpēc mums tie ir jāšķiro un jāanalizē, kārtojot esošos, izdzēstos un nepiešķirtos failus, izmantojot Faila tips cilni."
Lai kārtotu failu kategorijas, lai mēs varētu viegli pārbaudīt tos, kuriem ir viena un tā pati kategorija. Faila tips ir iespēja sakārtot viena veida failus vienā kategorijā, t.i.e., Arhīvi, audio, video, attēli, metadati, exec faili, teksta faili, dokumenti, saspiesti faili, utt.
Svarīga lieta par šķiroto failu skatīšanu ir tā, ka autopsija neļauj šeit skatīt failus; tā vietā mums ir jāpārlūko vieta, kur tie tiek glabāti, un tie tur jāapskata. Lai uzzinātu, kur tie tiek glabāti, noklikšķiniet uz Skatīt sakārtotos failus opcija ekrāna kreisajā pusē. Vieta, kuru tā mums piešķirs, būs tāda pati kā tā, kuru norādījām, izveidojot lietu pirmajā solī i.e./ var / lib / autopsy /
Lai atsāktu lietu, vienkārši atveriet autopsiju un noklikšķiniet uz vienas no opcijām “Atvērt lietu.”
Lieta: 2
Apskatīsim cita attēla analīzi, izmantojot autopsiju Windows operētājsistēmā, un uzzināsim, kādu svarīgu informāciju mēs varam iegūt no atmiņas ierīces. Pirmā lieta, kas mums jādara, ir izveidot jaunu lietu. Mēs to varam izdarīt, noklikšķinot uz vienas no trim opcijām (atklāts gadījums, jauns gadījums, nesen atvērts gadījums) autopsijas mājas lapā. Pēc noklikšķināšanas uz tā tiks parādīts šāds ekrāns:
Norādiet lietas nosaukumu un ceļu, kur glabāt failus, pēc tam ievadiet informāciju, kā minēts, t.e., lietas nosaukums, pārbaudītāja vārdi un lietas apraksts, lai sakārtotu mūsu informāciju un pierādījumus, izmantojot šo izmeklēšanu. Vairumā gadījumu izmeklēšanu veic vairāk nekā viens pārbaudītājs.
Tagad sniedziet attēlu, kuru vēlaties pārbaudīt. E01(Eksperta liecinieka formāts), AFF(uzlabots kriminālistikas formāts), neapstrādāts formāts (DD), un atmiņas kriminālistikas attēli ir saderīgi. Mēs esam saglabājuši savas sistēmas attēlu. Šis attēls tiks izmantots šajā izmeklēšanā. Mums jānorāda pilns ceļš uz attēla atrašanās vietu.
Tas prasīs izvēlēties dažādas iespējas, piemēram, Laika skalas analīze, Hashes filtrēšana, Datu griešana, Exif dati, Tīmekļa artefaktu iegūšana, Atslēgvārdu meklēšana, E-pasta parsētājs, Iegulto failu ekstrakcija, Neseno darbību pārbaude utt. Lai iegūtu vislabāko pieredzi, noklikšķiniet uz Atlasīt visu un noklikšķiniet uz nākamās pogas.
Kad viss ir paveikts, noklikšķiniet uz Pabeigt un gaidiet, kamēr process būs pabeigts.
Analīze:
Ir divu veidu analīze, Dead analīze, un Tiešā analīze:
Nāves pārbaude notiek, kad tiek izmantota saistoša izmeklēšanas sistēma, lai informāciju aplūkotu no spekulētā ietvara. Tajā brīdī, kad tas notiek, Sleuth komplekta autopsija var darboties apgabalā, kur tiek izskausta bojājumu iespēja. Autopsija un The Sleuth Kit piedāvā palīdzību neapstrādātiem, Expert Witness un AFF formātiem.
Tieša izmeklēšana notiek, kad pieņēmuma ietvars tiek sadalīts, kamēr tas darbojas. Šajā gadījumā, Sleuth komplekta autopsija var darboties jebkurā apgabalā (kaut kas cits kā ierobežota telpa). To bieži izmanto reakcijas laikā, kamēr tiek apstiprināta epizode.
Tagad, pirms analizējam attēla failu, mums jāpārbauda attēla integritāte, noklikšķinot uz pogas Attēla integritāte un ģenerējot attēla md5 jaucējkrānu. Svarīgi atzīmēt, ka šī jaucējkrāsa sakritīs ar attēlu, kas mums bija procedūras sākumā. Attēla jaukšana ir svarīga, jo tā norāda, vai dotais attēls ir sabojāts.
Tikmēr, Autopsija ir pabeidzis savu procedūru, un mums ir visa nepieciešamā informācija.
- Pirmkārt, mēs sāksim ar pamatinformāciju, piemēram, izmantoto operētājsistēmu, pēdējo reizi, kad lietotājs pieteicās, un pēdējo personu, kas piekļuva datoram kļūmes laikā. Par to mēs iesim Rezultāti> Izvilktais saturs> Informācija par operētājsistēmu loga kreisajā pusē.
Lai skatītu kopējo kontu skaitu un visus saistītos kontus, dodamies uz Rezultāti> Izvilktais saturs> Operētājsistēmas lietotāju konti. Mēs redzēsim šādu ekrānu:
Informācija, piemēram, pēdējā persona, kas piekļūst sistēmai, un lietotāja vārda priekšā ir nosaukti daži lauki piekļuvis, mainīts, izveidots. Piekļūst nozīmē pēdējo reizi, kad kontam tika piekļūts (šajā gadījumā vienīgais datums ir uzticams) un created nozīmē konta izveides datumu un laiku. Mēs varam redzēt, ka tika nosaukts pēdējais lietotājs, kurš piekļuvis sistēmai Mr. Ļaunums.
Ejam uz Programmu faili mape ieslēgta C disks, kas atrodas ekrāna kreisajā pusē, lai atklātu datorsistēmas fizisko un interneta adresi.
Mēs varam redzēt IP (Interneta protokola) adrese un MAC uzskaitītās datorsistēmas adrese.
Ejam uz Rezultāti> Izvilktais saturs> Instalētās programmas, mēs šeit redzam šādu programmatūru, kas izmantota ļaunprātīgu uzdevumu veikšanai, kas saistīti ar uzbrukumu.
- Kains un Ābels: jaudīgs pakešu šņaukšanas rīks un paroļu uzlaušanas rīks, ko izmanto pakešu šņaukšanai.
- Anonimizētājs: rīks, ko izmanto, lai slēptu ļaunprātīgā lietotāja veiktās pēdas un darbības.
- Ēterisks: rīks, ko izmanto tīkla trafika uzraudzībai un pakešu tveršanai tīklā.
- Cute FTP: FTP programmatūra.
- NetStumbler: rīks, ko izmanto bezvadu piekļuves punkta atklāšanai
- WinPcap: slavens rīks, ko izmanto saišu slāņa tīkla piekļuvei Windows operētājsistēmās. Tas nodrošina zema līmeņa piekļuvi tīklam.
Iekš / Windows / sistēma32 atrašanās vietu, mēs varam atrast lietotāja izmantotās e-pasta adreses. Mēs varam redzēt MSN e-pasts, Hotmail, Outlook e-pasta adreses. Mēs varam arī redzēt SMTP e-pasta adrese šeit.
Dodamies uz vietu, kur Autopsija glabā iespējamos ļaunprātīgos failus no sistēmas. Virzieties uz Rezultāti> Interesanti priekšmeti, un mēs varam redzēt zip bumbu, kas nosaukta unix_hack.tgz.
Kad mēs virzījāmies uz / Pārstrādātājs atrašanās vietu, mēs atradām 4 izdzēstus izpildāmos failus ar nosaukumu DC1.exe, DC2.exe, DC3.exe un DC4.exe.
- Ēterisks, slavens šņaukāties Tiek atklāts arī rīks, kuru var izmantot, lai uzraudzītu un pārtvertu visu veidu vadu un bezvadu tīkla trafiku. Mēs no jauna samontējām uzņemtās paketes un direktoriju, kur tā tiek saglabāta / Dokumenti, faila nosaukums šajā mapē ir Pārtveršana.
Šajā failā mēs varam redzēt tādus datus kā upuris Pārlūks un bezvadu datora veidu, kā arī noskaidrojām, ka tas bija Internet Explorer operētājsistēmā Windows CE. Vietnes, kurām upuris piekļuva, bija YAHOO un MSN .com, un tas tika atrasts arī pārtveršanas failā.
Par satura atklāšanu Rezultāti> Izvilktais saturs> Tīmekļa vēsture,
Mēs to varam redzēt, izpētot norādīto failu metadatus, lietotāja vēsturi, apmeklētās vietnes un e-pasta adreses, kuras viņš ir iesniedzis, lai pieteiktos.
Dzēsto failu atkopšana:
Raksta iepriekšējā daļā mēs esam atklājuši, kā iegūt svarīgu informāciju no jebkuras ierīces attēla, kurā var saglabāt datus, piemēram, mobilos tālruņus, cietos diskus, datorsistēmas utt. Starp pamata ekspertiem nepieciešamajiem talantiem, domājams, ir visbūtiskākais dzēsto ierakstu atgūšana. Kā jūs droši vien zināt, dokumenti, kas tiek “izdzēsti”, paliek atmiņas ierīcē, ja vien tas nav pārrakstīts. Šo ierakstu dzēšana būtībā padara ierīci pieejamu pārrakstīšanai. Tas nozīmē, ka aizdomās turētie izdzēš pierādījumu ierakstus, līdz tos pārraksta dokumentu sistēma, tie mums paliek pieejami, lai atgūtu.
Tagad mēs aplūkosim, kā atgūt izdzēstos failus vai ierakstus, izmantojot Sleuth komplekta autopsija. Veiciet visas iepriekš minētās darbības, un, kad attēls tiks importēts, mēs redzēsim šādu ekrānu:
Loga kreisajā pusē, ja mēs vēl paplašinām Failu veidi opciju, mēs redzēsim virkni kategoriju Arhīvi, audio, video, attēli, metadati, exec faili, teksta faili, dokumenti (html, pdf, word, .ppx utt.), saspiesti faili. Ja mēs noklikšķināsim uz attēlus, tas parādīs visus atkoptos attēlus.
Nedaudz tālāk, apakškategorijā Failu veidi, mēs redzēsim opcijas nosaukumu Dzēstie faili. Noklikšķinot uz šī, apakšējā labajā logā mēs redzēsim dažas citas opcijas iezīmētu cilņu veidā analīzei. Cilnes ir nosauktas Hex, Rezultāts, Indeksēts teksts, Stīgas, un Metadati. Cilnē Metadati mēs redzēsim četrus nosaukumus rakstīts, pieejams, mainīts, izveidots. Uzrakstīts nozīmē datumu un laiku, kad fails pēdējo reizi tika rakstīts, Piekļūst nozīmē, ka failam tika piekļūts pēdējo reizi (šajā gadījumā vienīgais datums ir uzticams), Mainīts nozīmē, ka pēdējo reizi faila aprakstošie dati tika modificēti, Izveidots nozīmē datuma un laiku, kad fails tika izveidots. Tagad, lai atgūtu vēlamo izdzēsto failu, noklikšķiniet uz izdzēstā faila un atlasiet Eksportēt. Tas prasīs vietu, kur fails tiks saglabāts, izvēlēsies vietu un noklikšķinās labi. Aizdomās turamie bieži mēģinās noklusēt savus ierakstus, izdzēšot dažādus svarīgus failus. Mēs kā tiesu eksperts zinām, ka, kamēr failu sistēma nepārraksta šos dokumentus, tos var atgūt.
Secinājums:
Mēs esam izskatījuši procedūru, kā iegūt noderīgu informāciju no mūsu mērķa attēla, izmantojot Sleuth komplekta autopsija atsevišķu rīku vietā. Autopsija ir izvēles iespēja jebkuram tiesu izmeklētājam un tās ātruma un uzticamības dēļ. Autopsijā tiek izmantoti vairāki galvenie procesori, kas paralēli darbojas fona procesos, kas palielina tā ātrumu un dod mums rezultātus īsākā laika posmā, un meklēšanas vaicājumus parādīs, tiklīdz tie tiks atrasti ekrānā. Laikmetā, kad kriminālistikas rīki ir nepieciešami, autopsija bez maksas nodrošina tādas pašas pamatīpašības kā citi apmaksāti kriminālistikas rīki.
Autopsija notiek pirms dažu apmaksātu rīku reputācijas, kā arī sniedz dažas papildu funkcijas, piemēram, reģistra analīzi un tīmekļa artefaktu analīzi, kuras citi rīki nav. Autopsija ir pazīstama ar intuitīvu dabas izmantošanu. Ātri noklikšķinot ar peles labo pogu, tiek atvērts nozīmīgais dokuments. Tas nozīmē, ka blakus nullei jāiztur laiks, lai atklātu, vai mūsu tēlā, tālrunī vai personālajā datorā ir skaidri izteikti vajāšanas noteikumi. Lietotāji var arī atgriezties, kad dziļi meklējumi pārvēršas par strupceļiem, izmantojot atpakaļ un uz priekšu vēstures uztveršanu, lai palīdzētu sekot viņu līdzekļiem. Video var redzēt arī bez ārējām lietojumprogrammām, paātrinot lietošanu.
Sīktēlu perspektīvas, ierakstu un dokumentu veida sakārtošana, filtrējot filtrus un atzīmējot par šausmīgiem, izmantojot pielāgotu jaukšanas iestatījumu atdalīšanu, ir tikai daļa no dažādiem izceltiem elementiem Sleuth komplekta autopsija 3. versija, kas piedāvā būtiskus uzlabojumus no 2. versijas.Basis Technology parasti atbalstīja darbu pie 3. versijas, kur Braiens Kerjers, kurš veica lielu darba daļu pie iepriekšējām Autopsija, ir CTO un progresīvās kriminoloģijas nodaļas vadītājs. Viņš tiek uzskatīts arī par Linux meistaru un ir sacerējis grāmatas par izmērāmu informācijas ieguvi, un Basis Technology rada Sleuth Kit. Tāpēc, visticamāk, klienti var justies patiešām pārliecināti, ka viņi saņem pienācīgu priekšmetu, priekšmetu, kas tuvākajā nākotnē nekad nezudīs, un tādu, kas, iespējams, tiks atbalstīts visā nākotnē.
