Kriminalteknisk analys av hårddiskar och partitioner med Autopsy

Kriminalteknisk analys av hårddiskar och partitioner med Autopsy
Innehållsförteckning

Obduktion är en programvara som används för rättsmedicinsk analys av hårddiskbild. Det är ett gratis och öppet gränssnitt som låter dig söka och analysera partitioner eller diskbilder.

Obduktionsverktyget kan fungera på olika operativsystem såsom:

  • Linux
  • Windows
  • Mac OSx
  • Gratis BSD
Den skrevs ursprungligen på Perl -språk och dess kod har nu ändrats till Java med ett grafiskt gränssnitt, även om den här versionen bara körs på Windows, på andra plattformar har den ett webbgränssnitt.

Obduktion är en digital kriminalteknisk analysplattform och Sleuthkit grafiska gränssnitt och andra digitala rättsmedicinska verktyg. Det används av regeringar och offentliga och privata enheter, av säkerhetsstyrkor som polis och militär, samt proffs och datorexperter för att undersöka vad som hände på en dator. Efter en incident som en attack eller ett misslyckande kan du bläddra bland lagringsenheter för att återställa filer, söka efter systemmanipulationer, återställa foton, bilder eller videor.

Först måste vi installera Autopsy i Linux, det kommer i lagren, i Windows kan du ladda ner det härifrån:

LADDA NER AUTOPSY

I denna handledning kommer vi att se Obduktion installation på Linux. Vi öppnar ett terminalfönster och skriver följande kommandon:

1. Vi installerar TSK -ramverket 

 sudo apt-get install sleuthkit
2. Sedan installerar vi Autopsy 
 apt-get obduktion
TSK -ramverket innehåller uppsättningen bibliotek och moduler som kan användas för att utveckla plugins och kommandon för datortekniska färdigheter. TSK -ramverket är ett kommandoradsgränssnitt som använder olika moduler för att analysera diskbilder.

Sedan kan vi starta programmet från ett terminalfönster med kommandot: 

 sudo obduktion

Därefter går vi till valfri webbläsare och skriver URL: en http: // lokal värd: 9999 / obduktion att Autopsy berättar att den kommer att fungera som en server så länge vi har den igång.

Innan vi fortsätter måste vi ha bilden av vissa enheter, vi kan antingen göra en bild av vår disk eller så kan vi få exempelbilder på Internet, till exempel på webbplatsen http://dftt.sourceforge.net/ vi kan ladda ner flera bilder som presenterar olika problem att analysera.

Vi kan till exempel ladda ner några av följande bilder.

JPEG.webp -sökning: Denna testbild är ett Windwos XP NTFS -filsystem med 10 jpg.webp -bilder i olika kataloger. Bilderna innehåller filer med felaktiga tillägg, bilder inbäddade i zip och Word -filer. Här kan vi arbeta med bildåterställning. Vi kan ladda ner JPEG.webp -sökning härifrån.

NTFS Ångra borttagning: Denna testbild är ett 6 MB NTFS -filsystem med åtta raderade filer, två raderade kataloger och en alternativ dataström raderad. Filerna sträcker sig från residenta filer, enskilda klusterfiler och flera skärvor. Inga datastrukturer modifierades i denna process för att motverka återställningen. De skapades på Windows XP, togs bort på XP och avbildades på Linux. Vi kan ladda ner NTFS Undelete härifrån.

Vi kan också skapa en diskavbildning från Linux, vi tar reda på vilka som är partitionerna med följande kommandon: 

 sudo fdisk -l

Till exempel, för att göra en exakt kopia av startpartitionen, som vi kan använda som en backupfil, använder vi följande kommandon: 

 dd if = /dev /partition-to-save of = /home/directory/copy-partition.img
I det här fallet kommer det att vara huvudpartitionen: 
 dd if = / dev / sda1 av = / home / myuser / partition-sda1-HDD.img
Vi kan också använda program som Clonezilla som är ett program för att skapa partitioner och diskbilder, säkerhetskopior och systemåterställning från en säkerhetskopia.

När vi har bilden för att utföra vår rättsmedicinska undersökning går vi till Obduktion, för denna handledning kommer vi att använda NTSF Återställ.

Obduktionsgränssnittet låter oss analysera flera fall med olika bilder och till och med flera forskare, sedan klickar vi på knappen Nytt fall eller Nytt fall.

Skärmen öppnas för att skapa ett fall där vi kommer att tilldela fallets namn, utan mellanslag eftersom detta namn kommer att bli en mapp där informationen som samlats in i utredningen kommer att lagras. I det här fallet kommer namnet att vara EmpresaSA, sedan lägger vi till en beskrivning av ärendet, vi lägger också till namnen på utredarna som ansvarar för ärendet, sedan klickar vi på Nytt ärende.

Vi kommer att se en skärm där vi informeras om att en mapp för fallet och en konfigurationskatalog har skapats.

Därefter skapar vi värden, det vill säga att vi registrerar data för utrustningen eller bilden som ska undersökas.

Vi kommer att lägga till värdnamnet, en beskrivning, GMT -tiden om du kommer från ett annat land, vi kan också lägga till offset -tiden med avseende på datorn och det finns databaser som innehåller hascher av kända skadliga filer.

Om vi ​​vill använda en databas kan vi använda NIST NSRL för att upptäcka kända filer. National Software Reference Library -databasen som innehåller hash som kan vara bra eller dåligt beroende på hur de klassificeras.

Exempelvis kan förekomsten av en viss programvara erkännas och Autopsy behandlar filerna som finns i NSRL som kända och bra eller känner inte igen den och anger inte om den är bra eller dålig. Vi kan också implementera en databas som ignorerar kända filer.

I slutet klickar vi på LÄGG TILL HOST och vi går till skärmen som visar oss, katalogen för den här värden, inom samma fall kan vi ha flera värdar att analysera.

Därefter kommer vi åt värdlistan för det här fallet och därmed starta forskning om någon värd eller kolla någon värd.

Vi klickar på vår värd PC031 och sedan klickar vi på Okej, en skärm öppnas där vi lägger till värdbilden, för detta klickar vi på LÄGG TILL BILDFIL.

Därefter letar vi efter bilden enligt mappen där vi har den:

Vi kan högerklicka och välja alternativet Kopiera, sedan går vi till skärmen lägg till värd och vi högerklickar och klistrar in alternativet detta lägger till sökvägen till bildfilen, vi kan också skriva den.

Dessutom kommer vi att ange typen av bild om det är en disk eller en partition och importmetoden, bilden kan importeras till Autopsy från dess nuvarande plats med hjälp av en symbolisk länk, kopiera den eller flytta den.

Bildfilen måste ha läsbehörighet annars ger det ett fel när vi klickar på NÄSTA (Nästa)
I det här fallet använder vi bilden genom att skapa en kopia, om vi använder Symlink som är länken till var bilden är kan vi få problemet att vi kan skada bilden, om vi kopierar den kommer en kopia att göras i fallkatalogen, men vi kommer att ta mer plats, kom ihåg att filerna vi använder är demos som upptar cirka 150 megabyte, en riktig bild av en dator eller en server kan uppta flera gigabyte.

Nedan visar det oss några detaljer om bilden som vi lade till och låter oss beräkna eller ignorera integriteten med hjälp av kontrollsumma MD5.

Slutligen klickar vi på LÄGG TILL o Lägg till för att gå till den sista skärmen där den berättar att processen har slutat och vi trycker på Okej för att gå till värdskärmen för det här fallet.

Därefter väljer vi värd i det här fallet har vi en och klickar på Analysera för att starta bildanalys. Analysskärmen öppnas och vi gör det Bildinformation för att visa systeminformation.

I det här fallet kan vi se att det är en Windwos XP NTFS -partition och andra data om hårddiskens storlek och sektorer. Då kan vi gå till Filanalys, för att visa fil- och katalogstrukturen.

Vi ser i katalogerna Boot -katalogen som innehåller startloggarna för den partitionen, om vi klickar ser vi loggen och vi kan se den i olika format som ASCII, Hexadecimal och text, i det här fallet ser vi följande fel:

Ett diskläsningsfel uppstod - NTLDR saknas

Windows XP NTLDR -filen är en viktig komponent i Windows XP -startsektorn och -start. Datorn startar inte, den startar inte om filen är skadad.

Om vi ​​sedan klickar på dir -länken i kolumnen Typ, vi kan navigera genom katalogerna och se raderade filer för att försöka återställa dem.

Datorteknik möjliggör identifiering och upptäckt av relevant information i datakällor t.ex. bilder av hårddiskar, USB -minnen, ögonblicksbilder av nätverkstrafik eller datorminne.

Genom att sammanfatta allt som gjorts med Autopsy kan vi återuppta ett ärende eftersom det vi gör sparas eller skapar ett nytt ärende, där ett ärende innehåller flera värdar eller datorer eller partitioner av en logisk enhet som innehåller allt som rör utredningen.

Därför, när du skapar ett ärende, anges information som ditt identifieringsnamn och personen som ska undersöka uppgif.webpterna. Nästa steg består i att associera en eller flera värdar till ärendet, som motsvarar de bilder som vi ska skicka till analys, eller en rättsmedicinsk bild som tidigare har förvärvats från datorn eller servern som ska analyseras.

Därefter stänger vi det här ärendet genom att klicka på Stäng och sedan på Stäng värd, och vi lägger till en ny värd i ärendet, för detta behöver vi bilden JPEG.webp -sökning, bild som vi nämnde tidigare.

Vi klickar på LÄGG TILL HOST För att lägga till en ny värd som vi ska analysera, i det här fallet kommer vi att leta efter förlorade eller skadade bilder på en dator i området grafisk design.

Efter att ha lagt till värden måste vi lägga till bilden som vi gjorde tidigare.

Efter avslutad process går vi till listan över värdar som är tillgängliga för detta fall.

Därefter väljer vi värden att undersöka och klickar på Okej.

Sedan klickar vi på Analysera för att starta partitionsvyn. I det här fallet är det en Windows XP -partition, med ett NTFS -filsystem med totalt 10 JPG.webp -bilder på den. Bilderna innehåller filer med felaktiga tillägg, bilder inbäddade i zip- och Word -filer och buggar som vi måste hitta och reparera för att återställa dessa filer.

Syftet med denna partitionsbild är att testa möjligheterna hos automatiserade verktyg som söker efter JPG.webp -bilder.

Vi går igenom katalogerna och vi kan se en knapp i den vänstra kolumnen nedan ALLA RADERA FILER för att visa oss alla raderade filer.

Vi kan också exportera och ladda ner filer för att analysera eller återställa dem genom att klicka på länken som vi vill ladda ner och sedan klicka på Exportera

Inuti hittar vi en bild och några datafiler. Vi kan också söka efter ord från Nyckelordssökning som filtillägg som doc eller program som kan fungera som crack, virus eller något som kan verka konstigt.

Allt de erhållna resultaten kan exporteras till HTML -dokument klicka på länkarna Rapportera av varje typ av ASCI, hexadecimal eller textvy, för presentation av en rapport till våra kunder eller för att hålla en databas med incidenter.

Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng

Du kommer att bidra till utvecklingen av webbplatsen, dela sidan med dina vänner

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Hur man visar och kör Linux -bakgrundsprocesser
2
post-title
Så här inaktiverar du aviseringar från program, Safari eller Mac -system
3
post-title
Python - filer
4
post-title
Tekniker för onlineplaceringsmarknadsföring
5
post-title
Så här stänger du av och startar om Xiaomi Mi A2

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -