Съдебномедицински анализ на твърди дискове и дялове с Аутопсия

Съдържание

Аутопсията е софтуер, използван за съдебен анализ на изображението на твърдия диск. Това е безплатен интерфейс с отворен код, който ви позволява да търсите и анализирате дялове или изображения на дискове.

Инструментът за аутопсия може да работи на различни операционни системи като:

  • Linux
  • Windows
  • Mac OSx
  • Безплатен BSD
Първоначално е написан на език Perl и кодът му сега е променен на Java с графичен интерфейс, въпреки че тази версия работи само на Windows, на други платформи има уеб интерфейс.

Аутопсията е дигитална платформа за съдебен анализ и графичния интерфейс на Sleuthkit и други цифрови инструменти за криминалистика. Използва се от правителства и публични и частни организации, от силите за сигурност като полиция и военни, както и от професионалисти и компютърни експерти, за да разследват случилото се на компютър. След инцидент, като атака или неуспех, можете да разглеждате устройства за съхранение, за да възстановявате файлове, да търсите системни манипулации, да възстановявате снимки, изображения или видеоклипове.

Първо трябва да инсталираме Autopsy в Linux, той идва в хранилищата, в Windows можете да го изтеглите от тук:

ИЗТЕГЛЕТЕ АВТОПСИЯ

В този урок ще видим Инсталиране на аутопсия на Linux. Отваряме терминален прозорец и въвеждаме следните команди:

1. Инсталираме рамката TSK

 sudo apt-get install sleuthkit
2. След това инсталираме Autopsy
 подходяща аутопсия
Рамката TSK съдържа набора от библиотеки и модули, които могат да се използват за разработване на плъгини и команди за компютърни криминалистични умения. Рамката TSK е интерфейс на командния ред, който използва различни модули за анализ на образи на диска.

След това можем да стартираме приложението от терминален прозорец с помощта на командата:

 sudo аутопсия

След това отиваме във всеки браузър и пишем URL адреса http: // localhost: 9999 / аутопсия че Аутопсията ни казва, че тя ще функционира като сървър, стига да работим.

Преди да продължим, трябва да имаме изображение на някои устройства, можем или да направим изображение на нашия диск, или можем да получим примерни изображения в Интернет, например на уебсайта http://dftt.sourceforge.net/, можем да изтеглим няколко изображения, които представляват различни проблеми за анализ.

Можем да изтеглим например някои от следните изображения.

JPEG.webp търсене: Това тестово изображение е файлова система на Windwos XP NTFS с 10 jpg.webp изображения в различни директории. Изображенията включват файлове с неправилни разширения, изображения, вградени в zip, и Word файлове. Тук можем да работим за възстановяване на изображения. Можем да изтеглим JPEG.webp Search от тук.

Възстановяване на NTFS: Това тестово изображение е 6MB NTFS файлова система с осем изтрити файла, две изтрити директории и изтрит алтернативен поток от данни. Файловете варират от резидентни файлове, отделни клъстерни файлове и множество фрагменти. В този процес не бяха променени структури от данни, за да се осуети възстановяването. Те са създадени на Windows XP, премахнати на XP и изобразени на Linux. Можем да изтеглим NTFS Undelete от тук.

Можем също така да създадем образ на диск от Linux, за да разберем кои са дяловете със следните команди:

 sudo fdisk -l

Например, за да направим точно копие на зареждащия дял, който можем да използваме като архивен файл, използваме следните команди:

 dd if = /dev /partition-to-save of = /home/directory/copy-partition.img
В този случай това ще бъде основният дял:
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Можем да използваме и софтуер като Clonezilla, който е програма за създаване на дялове и изображения на дискове, архивни копия и възстановяване на системата от архив.

След като имаме изображението за извършване на нашето съдебномедицинско разследване, отиваме на Аутопсия, за този урок ще използваме NTSF Undelete.

Интерфейсът за аутопсия ни позволява да анализираме няколко случая с различни изображения и дори няколко изследователи, след което кликваме върху бутона Нов случай или Нов случай.

Екранът ще се отвори, за да създаде случай, в който ще зададем името на случая, без интервали, тъй като това име ще се превърне в папка, в която ще се съхранява събраната в разследването информация. В този случай името ще бъде EmpresaSA, след това ще добавим описание на случая, ще добавим и имената на следователите, които отговарят за случая, след което щракваме върху Нов случай.

Ще видим екран, на който сме информирани, че са създадени папка за случая и конфигурационна директория.

След това ще създадем хоста, тоест ще регистрираме данните за оборудването или изображението, което ще се изследва.

Ще добавим името на хоста, описание, gmt времето, в случай че са от друга държава, можем да добавим и времето на отместване по отношение на компютъра, а има и бази данни, които съдържат хешове на известни злонамерени файлове.

Ако искаме да използваме база данни, можем да използваме NIST NSRL за откриване на известни файлове. Базата данни на Националната референтна библиотека за софтуер, която съдържа хешове, които могат да бъдат добри или лоши в зависимост от това как са класифицирани.

Например, съществуването на определен софтуер може да бъде разпознато и Аутопсията третира файловете, открити в NSRL, като известни и добри или не го разпознава и не посочва дали е добър или лош. Можем също така да внедрим база данни, която игнорира известни файлове.

В края кликваме върху ДОБАВЕТЕ ХОСТ и отиваме на екрана, който ни показва, директорията за този хост, в рамките на същия случай можем да имаме няколко хоста за анализ.

След това имаме достъп до списъка с хостове за този конкретен случай и по този начин започнете проучване на някой хост или проверете някой хост.

Щракваме върху нашия хост PC031 и след това кликваме върху добре, ще се отвори екран, където ще добавим изображението на хоста, за това кликваме върху ДОБАВЯНЕ НА ФАЙЛ С ИЗОБРАЖЕНИЕ.

След това ще търсим изображението според папката, където го имаме:

Можем да щракнем с десния бутон и да изберем опцията копие, след това отиваме на екрана добавяне на хост и щракваме с десния бутон и опцията Paste, това ще добави пътя към файла с изображение, можем също да го напишем.

Освен това ще посочим вида на изображението, ако е диск или дял, и метода на импортиране, изображението може да бъде импортирано в Autopsy от текущото му местоположение с помощта на символна връзка, копиране или преместване.

Файлът с изображение трябва да има разрешение за четене, в противен случай ще даде грешка, когато кликнете върху СЛЕДВАЩИЯ (Следващия)
В този случай използваме изображението, като създаваме копие, ако използваме символната връзка, която е връзката към мястото, където е изображението, можем да имаме проблема, че можем да повредим изображението, ако го копираме, копие ще бъде направено в директорията на случая, но ние ще заемаме повече място, не забравяйте, че файловете, които използваме, са демонстрации, които заемат около 150 мегабайта, реално изображение на компютър или сървър може да заема няколко гигабайта.

По -долу ни показва някои подробности за изображението, което добавихме и ни позволява да изчислим или пренебрегнем целостта чрез контролна сума MD5.

Накрая кликваме върху ДОБАВЯНЕ o Добавете, за да отидете на последния екран, където ни казва, че процесът е приключил и ние натискаме добре за да отидете на хост екрана за този случай.

След това избираме хоста в този случай имаме такъв и кликваме върху Анализирам за да започнете анализ на изображението. Отваря се екранът за анализ и ние ще го направим Подробности за изображението за преглед на системната информация.

В този случай можем да видим, че това е дял на Windwos XP NTFS и други данни за размера на диска и секторите. Тогава можем да отидем на Анализ на файлове, за да видите файла и структурата на директориите.

Виждаме в директориите зареждащата директория, която съдържа зареждащите журнали на този дял, ако щракнем, ще видим дневника и можем да го видим в различни формати като ASCII, шестнадесетичен и текстов, в този случай виждаме следната грешка:

Възникна грешка при четене на диск - липсва NTLDR

NTLDR файлът на Windows XP е съществен компонент от сектора за стартиране и стартиране на Windows XP. Компютърът няма да стартира, няма да завърши зареждането, ако този файл е повреден.

След това, ако кликнете върху връзката dir в колоната Тип, можем да се придвижваме в директориите и да видим изтрити файлове, за да се опитаме да ги възстановим.

Компютърната криминалистика позволява идентифициране и откриване на съответна информация в източници на данни като изображения на твърди дискове, USB стикове, снимки на мрежовия трафик или изхвърляния на паметта на компютъра.

Обобщавайки всичко направено с Аутопсия, можем да отворим отново случай, тъй като това, което правим, се записва или създаваме нов случай, където случай съдържа няколко хостове или компютри или дялове от логическа единица, която ще съдържа всичко, свързано с разследването.

Следователно, когато създавате случай, се въвежда информация като вашето идентифициращо име и лицето, което ще разследва данните. Следващата стъпка се състои в свързването на един или повече хостове към случая, които съответстват на изображенията, които ще изпратим за анализ, или на съдебномедицинско изображение, което преди това е било получено от компютъра или сървъра за анализ.

След това затваряме този случай, като щракнем върху Затвори и след това върху Затвори хоста и ще добавим нов хост в кутията, за това се нуждаем от изображението JPEG.webp Търсене, изображение, което споменахме по -рано.

Кликваме върху ДОБАВЕТЕ ХОСТ За да добавим нов хост, който ще анализираме, в този случай ще търсим изгубени или повредени изображения на компютър в областта за графичен дизайн.

След като добавим хоста, трябва да добавим изображението както преди.

След приключване на процеса отиваме към списъка с хостове, налични за този случай.

След това избираме хоста за изследване и кликваме върху добре.

След това кликваме върху Анализирам , за да стартирате изгледа на дялове. В този случай това е дял на Windows XP, с файлова система NTFS с общо 10 JPG.webp изображения върху него. Изображенията включват файлове с неправилни разширения, изображения, вградени в zip и Word файлове, и грешки, които трябва да намерим и поправим, за да възстановим тези файлове.

Целта на това изображение на дял е да тества възможностите на автоматизирани инструменти, които търсят JPG.webp изображения.

Преминаваме през директориите и можем да видим бутон в лявата колона по -долу ВСИЧКИ ИЗТРИВАНЕ НА ФАЙЛОВЕ за да ни покаже всички изтрити файлове.

Също така можем да експортираме и изтегляме файлове, за да ги анализираме или възстановяваме, като щракнем върху връзката, която искаме да изтеглим, и след това кликнете върху Експорт

Вътре ще намерим изображение и някои файлове с данни. Можем също да търсим думи от Търсене по ключова дума като файлови разширения като doc или програми, които могат да работят като crack, вирус или нещо, което може да изглежда странно.

всичко получените резултати могат да бъдат експортирани в HTML документи щракване върху връзките Доклад на всеки тип ASCI, шестнадесетичен или текстов изглед, за представяне на доклад пред нашите клиенти или за поддържане на база данни с инциденти.

Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
wave wave wave wave wave