Retsmedicinsk analyse af harddiske og partitioner med Autopsy

Retsmedicinsk analyse af harddiske og partitioner med Autopsy
Indholdsfortegnelse

Obduktion er software, der bruges til retsmedicinsk analyse af harddiskbilleder. Det er en gratis og open source -grænseflade, der giver dig mulighed for at søge og analysere partitioner eller diskbilleder.

Obduktionsværktøjet kan fungere på forskellige operativsystemer, såsom:

  • Linux
  • Windows
  • Mac OSx
  • Gratis BSD
Det blev oprindeligt skrevet på Perl -sprog, og koden er nu ændret til Java med en grafisk grænseflade, selvom denne version kun kører på Windows, på andre platforme har den en webgrænseflade.

Obduktion er en digital retsmedicinsk analyseplatform og Sleuthkit grafiske grænseflade og andre digitale retsmedicinske værktøjer. Det bruges af regeringer og offentlige og private enheder, af sikkerhedsstyrker som politi og militær samt fagfolk og computereksperter til at undersøge, hvad der skete på en computer. Efter en hændelse som et angreb eller en fejl, kan du gennemse lagerenheder for at gendanne filer, søge efter systemmanipulationer, gendanne fotos, billeder eller videoer.

Først skal vi installere Autopsy i Linux, det kommer i lagrene, i Windows kan du downloade det herfra:

DOWNLOAD AUTOPSY

I denne tutorial ser vi Obduktion installation på Linux. Vi åbner et terminalvindue og skriver følgende kommandoer:

1. Vi installerer TSK -rammen 

 sudo apt-get install sleuthkit
2. Derefter installerer vi Autopsy 
 apt-get obduktion
TSK -rammen indeholder sæt biblioteker og moduler, der kan bruges til at udvikle plugins og kommandoer til computerens retsmedicinske færdigheder. TSK -rammen er en kommandolinjegrænseflade, der bruger forskellige moduler til at analysere diskbilleder.

Derefter kan vi starte applikationen fra et terminalvindue ved hjælp af kommandoen: 

 sudo obduktion

Dernæst går vi til en hvilken som helst browser og skriver URL'en http: // localhost: 9999 / obduktion at Obduktion fortæller os, at den vil fungere som en server, så længe vi har den kørende.

Inden vi fortsætter skal vi have billedet af nogle enheder, vi kan enten lave et billede af vores disk, eller vi kan få eksempler på billeder på Internettet, f.eks. På webstedet http://dftt.sourceforge.net/ kan vi downloade flere billeder, der giver forskellige problemer at analysere.

Vi kan f.eks. Downloade nogle af følgende billeder.

JPEG.webp -søgning: Dette testbillede er et Windwos XP NTFS -filsystem med 10 jpg.webp -billeder i forskellige biblioteker. Billeder inkluderer filer med forkerte udvidelser, billeder indlejret i zip og Word -filer. Her kan vi arbejde med billedgendannelse. Vi kan downloade JPEG.webp -søgning herfra.

NTFS Fortryd sletning: Dette testbillede er et 6 MB NTFS -filsystem med otte slettede filer, to slettede mapper og en alternativ datastrøm slettet. Filerne spænder fra residente filer, individuelle klynge -filer og flere shards. Ingen datastrukturer blev ændret i denne proces for at modvirke genoprettelsen. De blev oprettet på Windows XP, fjernet på XP og afbildet på Linux. Vi kan downloade NTFS Undelete herfra.

Vi kan også oprette et diskbillede fra Linux, vi finder ud af, hvilke partitioner der har følgende kommandoer: 

 sudo fdisk -l

For eksempel, for at lave en nøjagtig kopi af bootpartitionen, som vi kan bruge som en backupfil, bruger vi følgende kommandoer: 

 dd hvis = /dev /partition-to-save af = /home/directory/copy-partition.img
I dette tilfælde vil det være hovedpartitionen: 
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Vi kan også bruge software som Clonezilla, som er et program til at oprette partitioner og diskbilleder, sikkerhedskopier og systemgendannelse fra en sikkerhedskopi.

Når vi har billedet til at udføre vores retsmedicinske undersøgelse, går vi til obduktion, til denne vejledning vil vi bruge NTSF Fortryd sletning.

Obduktionsgrænsefladen giver os mulighed for at analysere flere sager med forskellige billeder og endda flere forskere, så klikker vi på knappen Ny sag eller Ny sag.

Skærmen åbnes for at oprette en sag, hvor vi vil tildele sagens navn, uden mellemrum, da dette navn bliver en mappe, hvor de oplysninger, der er indsamlet i undersøgelsen, vil blive gemt. I dette tilfælde vil navnet være EmpresaSA, så tilføjer vi en beskrivelse af sagen, vi tilføjer også navnene på de efterforskere, der har ansvaret for sagen, derefter klikker vi på Ny sag.

Vi vil se en skærm, hvor vi får besked om, at der er oprettet en mappe til sagen og et konfigurationskatalog.

Dernæst opretter vi værten, det vil sige, vi registrerer dataene på det udstyr eller billede, der skal undersøges.

Vi tilføjer værtsnavnet, en beskrivelse, gmt -tiden i tilfælde af at være fra et andet land, vi kan også tilføje offset -tiden med hensyn til computeren, og der er databaser, der indeholder hash af kendte ondsindede filer.

Hvis vi vil bruge en database, kan vi bruge NIST NSRL til at registrere kendte filer. National Software Reference Library -databasen, der indeholder hash, der kan være gode eller dårlige afhængigt af, hvordan de klassificeres.

Eksempelvis kan eksistensen af ​​en bestemt software genkendes, og Autopsy behandler filerne i NSRL som kendte og gode eller genkender den ikke og angiver ikke, om den er god eller dårlig. Vi kan også implementere en database, der ignorerer kendte filer.

I slutningen klikker vi på TILFØJ HOST og vi går til skærmen, der viser os, biblioteket for denne vært, inden for samme sag kan vi have flere værter at analysere.

Dernæst får vi adgang til værtslisten for denne særlige sag og dermed starte forskning på en eller anden vært eller tjek en vært.

Vi klikker på vores vært PC031, og derefter klikker vi på okay, åbnes en skærm, hvor vi tilføjer værtsbilledet, for dette klikker vi på TILFØJ BILLEDFIL.

Dernæst leder vi efter billedet i henhold til den mappe, hvor vi har det:

Vi kan højreklikke og vælge indstillingen Kopi, så går vi til skærmen tilføj vært og vi højreklikker og indsætter indstillingen, dette tilføjer stien til billedfilen, vi kan også skrive den.

Derudover angiver vi billedtypen, hvis det er en disk eller en partition og importmetoden, billedet kan importeres til obduktion fra dets nuværende placering ved hjælp af et symbolsk link, kopiere det eller flytte det.

Billedfilen skal have læsetilladelse, ellers giver den en fejl, når vi klikker på NÆSTE (Næste)
I dette tilfælde bruger vi billedet ved at oprette en kopi, hvis vi bruger Symlink, der er linket til, hvor billedet er, kan vi have det problem, at vi kan beskadige billedet, hvis vi kopierer det, vil der blive lavet en kopi i sagens bibliotek, men vi vil indtage mere plads, husk at de filer, vi bruger, er demoer, der fylder omkring 150 Megabyte, et rigtigt billede af en computer eller en server kan optage flere gigabyte.

Nedenfor viser det os nogle detaljer om det billede, vi tilføjede, og giver os mulighed for at beregne eller ignorere integriteten ved hjælp af kontrolsum MD5.

Endelig klikker vi videre TILFØJE o Tilføj for at gå til den sidste skærm, hvor den fortæller os, at processen er afsluttet, og vi trykker på okay for at gå til værtsskærmen for denne sag.

Dernæst vælger vi værten i dette tilfælde har vi en og klikker på Analysere at starte billedanalyse. Analyseskærmen åbnes, og det gør vi Billeddetaljer for at se systemoplysninger.

I dette tilfælde kan vi se, at det er en Windwos XP NTFS -partition og andre data om diskstørrelse og sektorer. Så kan vi gå til Filanalyse, for at se fil- og biblioteksstrukturen.

Vi ser i bibliotekerne Boot -biblioteket, der indeholder boot -logfiler for denne partition, hvis vi klikker, ser vi loggen, og vi kan se den i forskellige formater som ASCII, hexadecimal og tekst, i dette tilfælde ser vi følgende fejl:

Der opstod en disklæsefejl - NTLDR mangler

Windows XP NTLDR -filen er en vigtig komponent i Windows XP -boot -sektoren og opstart. Computeren starter ikke, den starter ikke med at starte op, hvis filen er beskadiget.

Så hvis vi klikker på dir -linket i kolonnen Type, kan vi navigere gennem bibliotekerne og se slettede filer for at forsøge at gendanne dem.

Computerforensik gør det muligt at identificere og finde relevante oplysninger i datakilder f.eks. billeder af harddiske, USB -sticks, netværkstrafikbilleder eller computerhukommelsesdumpe.

Sammenfattende alt udført med Autopsy kan vi genåbne en sag, da det vi gør gemmes eller opretter en ny sag, hvor en sag indeholder flere værter eller computere eller partitioner i en logisk enhed, der vil indeholde alt, der er relateret til undersøgelsen.

Derfor, når du opretter en sag, indtastes oplysninger såsom dit identificerende navn og den person, der vil undersøge dataene. Det næste trin består i at knytte en eller flere værter til sagen, som svarer til de billeder, vi skal indsende til analyse, eller et retsmedicinsk billede, der tidligere er erhvervet fra computeren eller serveren, der skal analyseres.

Derefter lukker vi denne sag ved at klikke på Luk og derefter på Luk vært, og vi tilføjer en ny vært i sagen, til dette har vi brug for billedet JPEG.webp -søgning, billede, vi nævnte tidligere.

Vi klikker videre TILFØJ HOST For at tilføje en ny vært, som vi skal analysere, vil vi i dette tilfælde lede efter tabte eller beskadigede billeder på en computer i området grafisk design.

Efter tilføjelse af værten skal vi tilføje billedet, som vi gjorde før.

Efter at have afsluttet processen går vi til listen over tilgængelige værter for denne sag.

Dernæst vælger vi den vært, der skal undersøges, og klikker på okay.

Så klikker vi videre Analysere for at starte partitionsvisningen. I dette tilfælde er det en Windows XP -partition med et NTFS -filsystem med i alt 10 JPG.webp -billeder på det. Billederne indeholder filer med forkerte udvidelser, billeder indlejret i zip- og Word -filer og fejl, som vi skal finde og reparere for at gendanne disse filer.

Formålet med dette partitionsbillede er at teste mulighederne i automatiserede værktøjer, der søger efter JPG.webp -billeder.

Vi går gennem bibliotekerne, og vi kan se en knap i venstre kolonne herunder ALLE SLETTE FILER for at vise os alle de slettede filer.

Vi kan også eksportere og downloade filer for at analysere eller gendanne dem ved at klikke på det link, vi vil downloade, og derefter klikker vi på Eksport

Inde finder vi et billede og nogle datafiler. Vi kan også søge efter ord fra Nøgleordssøgning som filudvidelser som doc eller programmer, der kan fungere som crack, virus eller noget, der kan virke underligt.

Alle de opnåede resultater kan eksporteres til HTML -dokumenter ved at klikke på linkene Rapport af hver type ASCI, hexadecimal eller tekstvisning, til præsentation af en rapport til vores klienter eller til at opbevare en database med hændelser.

Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt

Du vil bidrage til udviklingen af ​​hjemmesiden, at dele siden med dine venner

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Tegn og løsninger til at opdage falsk antivirus
2
post-title
▷ Sådan ved du, om din MOBILE ER SEET og WhatsApp -spion
3
post-title
BadStore: Web til pentestingstest
4
post-title
Sådan installeres FTP på macOS Mojave
5
post-title
IT Pro Windows 10 Creators Update -funktioner

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -