Phenquestions
Izveidot USB diska kopēšanas attēlu
Pirmā lieta, ko mēs darīsim, ir USB diska kopija. Šajā gadījumā regulāri dublējumi nedarbosies. Tas ir ļoti izšķirošs solis, un, ja tas tiek izdarīts nepareizi, viss darbs tiks izniekots. Izmantojiet šo komandu, lai uzskaitītu visus sistēmai pievienotos diskus:
[e-pasts aizsargāts]: ~ $ sudo fdisk -lLinux disko nosaukumi atšķiras no Windows. Linux sistēmā, hda un hdb tiek izmantoti (sda, SDB, SDK, utt.) SCSI, atšķirībā no Windows OS.
Tagad, kad mums ir diska nosaukums, mēs varam to izveidot .dd attēls pa bitiem ar dd lietderība, ievadot šādu komandu:
[e-pasts aizsargāts]: ~ $ sudo dd if = / dev / sdc1 no = usb.dd bs = 512 skaits = 1ja= USB diska atrašanās vieta
gada= galamērķis, kur tiks saglabāts nokopētais attēls (tas var būt lokāls ceļš jūsu sistēmā, piem.,.g. / home / user / usb.dd)
bs= vienlaicīgi kopēto baitu skaits
Lai nodrošinātu pierādījumu, ka mums ir diska oriģināla attēla kopija, mēs to izmantosim jaukšana lai saglabātu attēla integritāti. Jaukšana nodrošinās USB diska jaucējkrātu. Ja tiek mainīts viens datu bits, jaukšana tiks pilnībā mainīta, un kāds zinās, vai kopija ir viltota vai oriģināla. Mēs ģenerēsim diska MD5 jaucējkrātu, lai, salīdzinot ar diska sākotnējo jaucēju, neviens nevarētu apšaubīt kopijas integritāti.
[e-pasts aizsargāts]: ~ $ md5sum usb.ddTas nodrošinās attēla md5 jaucējkrānu. Tagad mēs varam sākt kriminālistikas analīzi par šo nesen izveidoto USB diska attēlu kopā ar jaucējkrātu.
Sāknēšanas sektora izkārtojums
Palaižot komandu fails, tiks atgriezta failu sistēma, kā arī diska ģeometrija:
[aizsargāts ar e-pastu]: ~ $ fails usb.ddlabi.dd: DOS / MBR sāknēšanas sektors, koda nobīde 0x58 + 2, OEM-ID "MSDOS5.0 ",
sektori / 8. kopa, rezervētie sektori 4392, multivides deskriptors 0xf8,
sektori / 63. celiņš, 255. galvas, slēptās nozares 32, sektori 1953760 (apjomi> 32 MB),
FAT (32 biti), sektori / FAT 1900, rezervēts 0x1, sērijas numurs 0x6efa4158, bez etiķetes
Tagad mēs varam izmantot minfo rīks, lai iegūtu NTFS sāknēšanas sektora izkārtojumu un informāciju par sāknēšanas sektoru, izmantojot šādu komandu:
[e-pasts aizsargāts]: ~ $ minfo -i usb.ddinformācija par ierīci:
===================
faila nosaukums = "labi.dd "
nozares katrā sliežu ceļā: 63
galvas: 255
cilindri: 122
mformat komandrinda: mformat -T 1953760 -i labi.dd -h 255 -s 63 -H 32 ::
informācija par sāknēšanas sektoru
======================
reklāmkarogs: "MSDOS5.0 "
sektora lielums: 512 baiti
kopas lielums: 8 sektori
rezervētie (sāknēšanas) sektori: 4392
tauki: 2
maksimāli pieejamās saknes direktorija vietas: 0
mazs izmērs: 0 sektori
multivides deskriptora baits: 0xf8
sektori uz tauku: 0
nozares katrā sliežu ceļā: 63
galvas: 255
slēptās nozares: 32
liels izmērs: 1953760 sektori
fiziskā diska ID: 0x80
rezervēts = 0x1
dos4 = 0x29
sērijas numurs: 6EFA4158
diska etiķete = "NO NAME"
diska tips = "FAT32"
Lielais fatlen = 1900
Paplašināti karodziņi = 0x0000
FS versija = 0x0000
rootCluster = 2
infoSektora atrašanās vieta = 1
rezerves sāknēšanas sektors = 6
Informētājs:
paraksts = 0x41615252
brīvās kopas = 243159
pēdējā piešķirtā kopa = 15
Vēl viena komanda fstat komandu, var izmantot, lai iegūtu vispārēju zināmu informāciju, piemēram, sadalījuma struktūras, izkārtojumu un sāknēšanas blokus, par ierīces attēlu. Lai to izdarītu, mēs izmantosim šādu komandu:
[e-pasts aizsargāts]: ~ $ fstat usb.dd--------------------------------------------
Failu sistēmas tips: FAT32
OEM nosaukums: MSDOS5.0
Sējuma ID: 0x6efa4158
Sējuma etiķete (sāknēšanas sektors): NO NAME
Sējuma etiķete (saknes direktorijs): KINGSTON
Failu sistēmas tipa etiķete: FAT32
Nākamais bezmaksas sektors (FS informācija): 8296
Brīvo sektoru skaits (FS informācija): 1945272
Nozares pirms failu sistēmas: 32
Failu sistēmas izkārtojums (sektoros)
Kopējais diapazons: 0 - 1953759
* Rezervēts: 0 - 4391
** Sāknēšanas sektors: 0
** FS informācijas sektors: 1
** Rezerves sāknēšanas sektors: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Datu apgabals: 8192 - 1953759
** Klastera apgabals: 8192 - 1953759
*** Saknes direktorijs: 8192 - 8199
INFORMĀCIJA PAR METADATIEM
--------------------------------------------
Diapazons: 2 - 31129094
Saknes direktorijs: 2
SATURA INFORMĀCIJA
--------------------------------------------
Nozares lielums: 512
Klastera izmērs: 4096
Kopējais klastera diapazons: 2 - 243197
TAUKU SATURS (nozarēs)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Dzēstie faili
The Sleuth Kit nodrošina fls rīks, kas nodrošina visus failus (īpaši nesen izdzēstos failus) katrā ceļā vai norādītajā attēla failā. Jebkādu informāciju par izdzēstajiem failiem var atrast, izmantojot fls lietderība. Lai izmantotu rīku fls, ievadiet šādu komandu:
[aizsargāts pa e-pastu]: ~ $ fls -rp -f fat32 usb.ddr / r 3: KINGSTON (apjoma etiķetes ieraksts)
d / d 6: Informācija par sistēmas apjomu
r / r 135: Informācija par sistēmas apjomu / WPS iestatījumi.dat
r / r 138: Informācija par sistēmas apjomu / IndexerVolumeGuid
r / r * 14: Troņu spēle 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Troņu spēle 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Troņu spēle 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Troņu spēle 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: okeāni divpadsmit (2004)
r / r 45: PC-I PROTOKOLS PAVADĪJA 23. NODAĻĀ.01.2020. gads.docx
r / r * 49: LEC PROTOKOLS NOSLĒDZĀS 10.02.2020. gads.docx
r / r * 50: vējš.exe
r / r * 51: _WRL0024.tmp
r / r 55: LEC PROTOKOLS NOSLĒDZĀS 10.02.2020. gads.docx
d / d * 57: jauna mape
d / d * 63: paziņojums par konkursu par tīkla infrastruktūras aprīkojumu
r / r * 67: PIRKUMA PAZIŅOJUMS (Mega PC-I) II fāze.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: PIRKUMA PAZIŅOJUMS (Mega PC-I) II fāze.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Šeit mēs esam ieguvuši visus attiecīgos failus. Ar komandu fls tika izmantoti šādi operatori:
-lpp = izmanto, lai parādītu visu atgūto failu pilnu ceļu
-r = tiek izmantots, lai rekursīvi parādītu ceļus un mapes
-f = izmantotās failu sistēmas tips (FAT16, FAT32 utt.)
Iepriekš minētā izeja parāda, ka USB diskā ir daudz failu. Izdzēstie faili ir atzīmēti ar “*”Zīmi. Var redzēt, ka ar nosauktajiem failiem kaut kas nav normāli $bad_content1, $bad_content2, $bad_content3, un vējš.exe. Windump ir tīkla trafika uztveršanas rīks. Izmantojot windump rīku, var iegūt datus, kas nav domāti tam pašam datoram. Nodoms tiek parādīts faktā, ka programmatūras windump īpašais mērķis ir tīkla trafika uztveršana un tā tika apzināti izmantota, lai piekļūtu likumīga lietotāja personīgajiem sakariem.
Laika skalas analīze
Tagad, kad mums ir failu sistēmas attēls, mēs varam veikt attēla MAC laika skalas analīzi, lai ģenerētu laika skalu un ievietotu saturu ar datumu un laiku sistemātiskā, lasāmā formātā. Gan fls un ils komandas var izmantot, lai izveidotu failu sistēmas laika grafika analīzi. Komandai fls mums jānorāda, ka izeja būs MAC laika skalas izvades formātā. Lai to izdarītu, mēs palaidīsim fls komandu ar -m atzīmējiet karodziņu un novirziet izvadi uz failu. Mēs arī izmantosim -m karogs ar ils komandu.
[aizsargāts ar e-pastu]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls[e-pasts aizsargāts]: ~ $ cat usb.fls
0 | / KINGSTON (apjoma etiķetes ieraksts) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Sistēmas informācija | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Informācija par sistēmas apjomu / WPS iestatījumi.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Informācija par sistēmas apjomu / IndexerVolumeGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Troņu spēle 1 720p x264 DDP 5.1 ESub - xRG.mkv (svītrots) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Troņu spēle 2 720p x264 DDP 5.1 ESub - xRG.mkv (svītrots) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Troņu spēle 3 720p x264 DDP 5.1 ESub - xRG.mkv (svītrots) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Troņu spēle 4 720p x264 DDP 5.1 ESub - xRG.mkv (svītrots) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (svītrots) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / PC-I MINŪTE 23.01.2020. gads.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / LEC MINŪTE 10.02.2020. gads.docx (svītrots) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (svītrots) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (svītrots) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / LEC MINŪTE 10.02.2020. gads.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(svītrots) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (svītrots) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (svītrots) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / KONKURSA PAZIŅOJUMS (Mega PC-I) II fāze.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Jauna mape (dzēsta) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (svītrots) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / KONKURSA PAZIŅOJUMS (Mega PC-I) II fāze.docx (svītrots) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (svītrots) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (svītrots) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / KONKURSA PAZIŅOJUMS (Mega PC-I) II fāze.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ bad_content 1 (svītrots) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (svītrots) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 3 (svītrots) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Palaidiet mactime rīks laika skalas analīzes iegūšanai ar šādu komandu:
[e-pasts aizsargāts]: ~ $ cat usb.fls> usb.macLai pārveidotu šoactact izeju formātā, kuru var lasīt cilvēkiem, ievadiet šādu komandu:
[e-pasts aizsargāts]: ~ $ mactime -b usb.mac> usb.mactime[e-pasts aizsargāts]: ~ $ cat usb.mactime Otrdiena, 26. jūlijs 2018, 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (svītrots)
Otrdiena, 26. jūlijs, 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Troņu spēle 4 720p x264 DDP 5.1 ESub - (svītrots)
47 m… - / rrwxrwxrwx 0 0 22930444 / Troņu spēle 4 720p x264 DDP 5.1 ESub - (svītrots)
353 m… - / rrwxrwxrwx 0 0 22930449 // Troņu spēle 4 720p x264 DDP 5.1 ESub - (svītrots)
Piektdien, 27. jūlijā, 2018 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / Informācija par sistēmas apjomu / WPS iestatījumi.dat
76 .a… r / rrwxrwxrwx 0 0 138 / Informācija par sistēmas apjomu / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Troņu spēle 3 720p x264 DDP 5.1 ESub 3 (svītrots)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Troņu spēle 3 720p x264 DDP 5.1 ESub 3 (svītrots)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Troņu spēle 3 720p x264 DDP 5.1 ESub 3 (svītrots)
Piektdien, 2020. gada 31. janvārī 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / PC-I MINŪTES PALĪDZĒJU.01.2020. gads.docx
Piektdiena, 2020. gada 31. janvāris, 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / PC-I MINŪTES PALĪDZĒJĀS 23. LĪNIJĀ.01.2020. gads.docx
Piektdiena, 2020. gada 31. janvāris, 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / PC-I MINŪTES PALĪDZĒJĀS 23. LĪNIJĀ.01.2020. gads.docx
Pirmdiena, 17. februāris, 2020 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49 / LEC MINŪTES,.02.2020. gads.docx (izdzēsts)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izdzēsts)
2020. gada 18. februāris, 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Troņu spēle 2 720p x264 DDP 5.1 ESub - (svītrots)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izdzēsts)
Otrdien, 18. februārī, 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Troņu spēle 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izdzēsts)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izdzēsts)
38208… b r / rrwxrwxrwx 0 0 55 / LEC MINŪTES, KAS NOSLĒDZĀS 10. GADĀ.02.2020. gads.docx
Otrdien, 18. februārī, 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izdzēsts)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izdzēsts)
38208 .a… r / rrwxrwxrwx 0 0 55 / LEC MINŪTES, KAS NOSLĒDZĀS 10. DIENĀ.02.2020. gads.docx
Otrdien, 18. februārī, 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Troņu spēle 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izdzēsts)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izdzēsts)
38208… b r / rrwxrwxrwx 0 0 55 / LEC MINŪTES, KAS NOSLĒDZĀS 10. GADĀ.02.2020. gads.docx
Otrdien, 18. februārī, 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izdzēsts)
38208 m… r / rrwxrwxrwx 0 0 55 / Troņu spēle 3 720p x264 DDP 5.1 ESub -
Piektdien, 2020. gada 15. maijā 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Jauna mape (dzēsta)
4096 .a… d / drwxrwxrwx 0 0 63 / paziņojums par konkursu IIUI tīkla infrastruktūras aprīkojumam (svītrots)
56775 .a… r / rrwxrwxrwx 0 0 67 / PIRKUMA PAZIŅOJUMS (Mega PC-I) II fāze.docx (izdzēsts)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (izdzēsts)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (izdzēsts)
56783 .a… r / rrwxrwxrwx 0 0 73 / PIRKUMA PAZIŅOJUMS (Mega PC-I) II fāze.docx
Piektdiena, 2020. gada 15. maijs 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Jauna mape (dzēsta)
4096… b d / drwxrwxrwx 0 0 63 / paziņojums par konkursu IIUI tīkla infrastruktūras aprīkojumam (svītrots)
Piektdiena, 2020. gada 15. maijs 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (dzēsts)
4096 m… d / drwxrwxrwx 0 0 63 / paziņojums par konkursu IIUI tīkla infrastruktūras aprīkojumam (svītrots)
Piektdiena, 2020. gada 15. maijs 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (dzēsts)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (izdzēsts)
Piektdiena, 2020. gada 15. maijs 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (dzēsts)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (izdzēsts)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (izdzēsts)
56783… b r / rrwxrwxrwx 0 0 73 / PIRKUMA PAZIŅOJUMS (Mega PC-I) II fāze.docx
Piektdiena, 2020. gada 15. maijs 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 windump.exe (svītrots)
56783 m… r / rrwxrwxrwx 0 0 73 / PIRKUMA PAZIŅOJUMS (Mega PC-I) II fāze.docx
Visi faili ir jāatgūst ar laika zīmogu uz tā cilvēkiem lasāmā formātā failā “usb.mactime.”
Rīki USB kriminālistikas analīzei
Ir dažādi rīki, kurus var izmantot, lai veiktu kriminālistikas analīzi USB diskā, piemēram, Sleuth Kit autopsija, FTK attēlveidotājs, Galvenais, utt. Pirmkārt, mēs apskatīsim autopsijas rīku.
Autopsija
Autopsija tiek izmantots, lai iegūtu un analizētu datus no dažādiem attēlu veidiem, piemēram, AFF (Advance Forensic Format) attēliem, .dd attēli, neapstrādāti attēli utt. Šī programma ir spēcīgs rīks, ko izmanto tiesu medicīnas izmeklētāji un dažādas tiesībaizsardzības aģentūras. Autopsija sastāv no daudziem rīkiem, kas var palīdzēt izmeklētājiem efektīvi un nevainojami paveikt darbu. Autopsy rīks ir pieejams gan Windows, gan UNIX platformām bez maksas.
Lai analizētu USB attēlu, izmantojot autopsiju, vispirms jāizveido lieta, tostarp jāuzraksta izmeklētāju vārdi, jāieraksta lietas nosaukums un jāveic citi informatīvie uzdevumi. Nākamais solis ir importēt USB diska avota attēlu, kas iegūts procesa sākumā, izmantojot dd lietderība. Pēc tam mēs ļausim Autopsy rīkam darīt to, kas tam vislabāk padodas.
Informācijas apjoms, ko sniedz Autopsija ir milzīgs. Autopsija nodrošina oriģinālos failu nosaukumus, kā arī ļauj pārbaudīt direktorijus un ceļus ar visu informāciju par attiecīgajiem failiem, piemēram, piekļūt, modificēts, mainīts, datums, un laiks. Tiek izgūta arī metadatu informācija, un visa informācija tiek kārtota profesionāli. Lai atvieglotu failu meklēšanu, Autopsy nodrošina a Atslēgvārdu meklēšana opcija, kas ļauj lietotājam ātri un efektīvi meklēt virkni vai numuru no izgūtā satura.
Apakškategorijas kreisajā panelī Failu veidi, jūs redzēsiet kategoriju ar nosaukumu “Dzēstie faili”Satur izdzēstos failus no vēlamā diska attēla ar visu metadatu un laika skalas analīzes informāciju.
Autopsija ir komandrindas rīka grafiskā lietotāja saskarne (GUI) Sleuth Kit un tas ir kriminālistikas pasaules augstākajā līmenī, pateicoties tā integritātei, daudzpusībai, viegli lietojamajam raksturam un spējai radīt ātrus rezultātus. USB ierīces kriminālistiku var veikt tikpat viegli Autopsija tāpat kā uz jebkuru citu apmaksātu rīku.
FTK attēlveidotājs
FTK Imager ir vēl viens lielisks rīks, ko izmanto datu iegūšanai un iegūšanai no dažādu veidu attēliem. FTK Imager ir arī iespēja izveidot kopiju attēlu pa bitam, lai nevienam citam līdzīgam rīkam nebūtu dd vai dcfldd ir vajadzīgs šim nolūkam. Šī diska kopija ietver visus failus un mapes, nepiešķirto un brīvo vietu, kā arī izdzēstos failus, kas palikuši brīvā vai nepiešķirtajā vietā. Veicot kriminālistikas analīzi uz USB diskdziņiem, šeit galvenais mērķis ir rekonstruēt vai atjaunot uzbrukuma scenāriju.
Tagad mēs apskatīsim USB kriminālistikas analīzes veikšanu USB attēlā, izmantojot FTK Imager rīku.
Vispirms pievienojiet attēla failu FTK attēlveidotājs noklikšķinot Fails >> Pievienot pierādījumu vienumu.
Tagad atlasiet faila veidu, kuru vēlaties importēt. Šajā gadījumā tas ir USB diska attēla fails.
Tagad ievadiet pilnu attēla faila atrašanās vietu. Atcerieties, ka šim solim ir jānorāda pilns ceļš. Klikšķis Pabeigt sākt datu iegūšanu un ļaut FTK attēlveidotājs dari darbu. Pēc kāda laika rīks nodrošinās vēlamos rezultātus.
Vispirms ir jāpārbauda Attēla integritāte ar peles labo pogu noklikšķiniet uz attēla nosaukuma un atlasiet Pārbaudīt attēlu. Rīks pārbaudīs, vai attēla informācijai ir pievienotas md5 vai SHA1 jaukšanas iespējas, kā arī parādīs, vai attēls ir ievainots pirms tā importēšanas FTK attēlveidotājs rīks.
Tagad, Eksportēt dotie rezultāti uz izvēlēto ceļu, ar peles labo pogu noklikšķinot uz attēla nosaukuma un atlasot Eksportēt iespēja to analizēt. The FTK attēlveidotājs izveidos pilnu kriminālistikas procesa datu žurnālu un ievietos šos žurnālus tajā pašā mapē, kur ir attēla fails.
Analīze
Atgūtie dati var būt jebkurā formātā, piemēram, darva, zip (saspiestiem failiem), png, jpeg, jpg (attēlu failiem), mp4, avi formāts (video failiem), svītrkodi, pdf un citi failu formāti. Jums vajadzētu analizēt norādīto failu metadatus un pārbaudīt svītrkodus a formā QR kods. Tas var būt png failā, un to var iegūt, izmantojot ZBAR rīks. Vairumā gadījumu docx un pdf faili tiek izmantoti, lai paslēptu statistikas datus, tāpēc tiem jābūt nesaspiestiem. Kdbx failus var atvērt, izmantojot Keepass; parole, iespējams, tika saglabāta citos atkoptajos failos, vai arī mēs jebkurā brīdī varam veikt bruteforce.
Galvenais
Galvenais ir rīks, ko izmanto, lai atgūtu izdzēstos failus un mapes no diska attēla, izmantojot galvenes un kājenes. Mēs apskatīsim Foremost man lapu, lai izpētītu dažas spēcīgas komandas, kas ietvertas šajā rīkā:
[e-pasts aizsargāts]: ~ $ man priekšroka-a Ļauj rakstīt visas galvenes, neveic kļūdu noteikšanu
bojātu failu.
-b numurs
Ļauj norādīt bloka lielumu, kas tiek izmantots galvenokārt. Tas ir
attiecas uz failu nosaukšanu un ātru meklēšanu. Noklusējums ir
512. ti. galvenais -b 1024 attēls.dd
-q (ātrais režīms):
Iespējo ātro režīmu. Ātrā režīmā tikai katra sektora sākums
tiek meklētas atbilstošas galvenes. Tas ir, galvene ir
meklēja tikai līdz garākās galvenes garumam. Pārējie
sektora, parasti aptuveni 500 baiti, tiek ignorēts. Šis režīms
galvenais palaiž ievērojami ātrāk, bet tas var izraisīt jums
izlaist failus, kas ir iegulti citos failos. Piemēram, izmantojot
ātrajā režīmā jūs nevarēsit atrast iegultus JPEG attēlus
Microsoft Word dokumenti.
Ātro režīmu nevajadzētu izmantot, pārbaudot NTFS failu sistēmas.
Tā kā NTFS mazos failus glabās galvenajā failā
ble, šie faili tiks palaisti garām ātrā režīmā.
-a Ļauj rakstīt visas galvenes, neveic kļūdu noteikšanu
bojātu failu.
-i (ievades) fails:
Fails, kas tiek izmantots ar opciju i, tiek izmantots kā ievades fails.
Gadījumā, ja nav norādīts ievades fails, stdin tiek izmantots c.
Fails, kas tiek izmantots ar opciju i, tiek izmantots kā ievades fails.
Gadījumā, ja nav norādīts ievades fails, stdin tiek izmantots c.
Lai paveiktu darbu, mēs izmantosim šādu komandu:
[e-pasts aizsargāts]: ~ $ galvenokārt USB.ddPēc procesa pabeigšanas failā būs fails / izeja mapes nosaukums tekstu satur rezultātus.
Secinājums
USB diska kriminālistika ir laba prasme, lai izgūtu pierādījumus un atgūtu izdzēstos failus no USB ierīces, kā arī identificētu un pārbaudītu, kādas datorprogrammas varētu būt izmantotas uzbrukumā. Pēc tam jūs varat salikt darbības, kuras uzbrucējs varētu būt veicis, lai pierādītu vai noraidītu likumīgā lietotāja vai upura apgalvojumus. Lai nodrošinātu, ka neviens neiztiek no kibernoziegumiem, kas saistīti ar USB datiem, USB kriminālistika ir būtisks rīks. USB ierīces satur galvenos pierādījumus vairumā kriminālistikas gadījumu, un dažreiz no USB diska iegūtie kriminālistikas dati var palīdzēt atgūt svarīgus un vērtīgus personas datus.
