Rettsmedisinsk analyse av harddisker og partisjoner med Autopsy

Innholdsfortegnelse

Obduksjon er programvare som brukes for rettsmedisinsk analyse av harddiskbilder. Det er et gratis og åpent kildegrensesnitt som lar deg søke og analysere partisjoner eller diskbilder.

Obduksjonsverktøyet kan fungere på forskjellige operativsystemer, for eksempel:

  • Linux
  • Windows
  • Mac OSx
  • Gratis BSD
Den ble opprinnelig skrevet på Perl -språk, og koden er nå endret til Java med et grafisk grensesnitt, selv om denne versjonen bare kjører på Windows, på andre plattformer har den et webgrensesnitt.

Obduksjon er en digital rettsmedisinsk analyseplattform og det grafiske grensesnittet Sleuthkit og andre digitale rettsmedisinske verktøy. Den brukes av myndigheter og offentlige og private enheter, av sikkerhetsstyrker som politi og militær, samt fagfolk og dataeksperter for å undersøke hva som skjedde på en datamaskin. Etter en hendelse som et angrep eller en feil, kan du bla gjennom lagringsenheter for å gjenopprette filer, søke etter systemmanipulasjoner, gjenopprette bilder, bilder eller videoer.

Først må vi installere Autopsy i Linux, den kommer i lagrene, i Windows kan du laste den ned her:

LAST NED AUTOPSY

I denne opplæringen ser vi Obduksjonsinstallasjon på Linux. Vi åpner et terminalvindu og skriver inn følgende kommandoer:

1. Vi installerer TSK -rammeverket

 sudo apt-get install sleuthkit
2. Så installerer vi Obduksjon
 apt-get obduksjon
TSK -rammeverket inneholder settet med biblioteker og moduler som kan brukes til å utvikle plugins og kommandoer for rettsmedisinske ferdigheter. TSK -rammeverket er et kommandolinjegrensesnitt som bruker forskjellige moduler til å analysere diskbilder.

Deretter kan vi starte programmet fra et terminalvindu ved å bruke kommandoen:

 sudo obduksjon

Deretter går vi til en hvilken som helst nettleser og skriver nettadressen http: // lokal vert: 9999 / obduksjon at Obduksjon forteller oss at den vil fungere som en server så lenge vi har den i gang.

Før vi fortsetter må vi ha bildet av noen enheter, vi kan enten lage et bilde av disken vår eller vi kan få eksempler på Internett, for eksempel på nettstedet http://dftt.sourceforge.net/ kan vi laste ned flere bilder som presenterer forskjellige problemer å analysere.

Vi kan for eksempel laste ned noen av de følgende bildene.

JPEG.webp -søk: Dette testbildet er et Windwos XP NTFS -filsystem med 10 jpg.webp -bilder i forskjellige kataloger. Bilder inkluderer filer med feil utvidelser, bilder innebygd i zip og Word -filer. Her kan vi jobbe med image recovery. Vi kan laste ned JPEG.webp -søk herfra.

NTFS Angre sletting: Dette testbildet er et 6 MB NTFS -filsystem med åtte slettede filer, to slettede kataloger og en alternativ datastrøm slettet. Filene spenner fra residente filer, individuelle cluster -filer og flere shards. Ingen datastrukturer ble endret i denne prosessen for å hindre gjenopprettingen. De ble opprettet på Windows XP, fjernet på XP og avbildet på Linux. Vi kan laste ned NTFS Undelete herfra.

Vi kan også lage et diskbilde fra Linux, vi finner ut hvilke som er partisjonene med følgende kommandoer:

 sudo fdisk -l

For eksempel, for å lage en eksakt kopi av oppstartspartisjonen, som vi kan bruke som en sikkerhetskopifil, bruker vi følgende kommandoer:

 dd if = /dev /partition-to-save of = /home/directory/copy-partition.img
I dette tilfellet vil det være hovedpartisjonen:
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Vi kan også bruke programvare som Clonezilla som er et program for å lage partisjoner og diskbilder, sikkerhetskopier og systemgjenoppretting fra en sikkerhetskopi.

Når vi har bildet for å utføre vår rettsmedisinske undersøkelse, går vi til Obduksjon, for denne opplæringen vil vi bruke NTSF Slett.

Obduksjonsgrensesnittet lar oss analysere flere saker med forskjellige bilder og til og med flere forskere, så klikker vi på knappen Ny sak eller Ny sak.

Skjermen åpnes for å opprette en sak der vi vil tildele navnet på saken, uten mellomrom siden dette navnet blir en mappe der informasjonen som er samlet inn i undersøkelsen, vil bli lagret. I dette tilfellet vil navnet være EmpresaSA, så vil vi legge til en beskrivelse av saken, vi vil også legge til navnene på etterforskerne som har ansvaret for saken, så klikker vi på Ny sak.

Vi vil se en skjerm der vi blir informert om at en mappe for saken og en konfigurasjonskatalog er opprettet.

Deretter oppretter vi verten, det vil si at vi registrerer dataene til utstyret eller bildet som skal undersøkes.

Vi vil legge til vertsnavnet, en beskrivelse, GMT -tiden i tilfelle du kommer fra et annet land, vi kan også legge til offset -tiden med hensyn til datamaskinen, og det finnes databaser som inneholder hashes av kjente skadelige filer.

Hvis vi vil bruke en database, kan vi bruke NIST NSRL til å oppdage kjente filer. National Software Reference Library -databasen som inneholder hashes som kan være gode eller dårlige avhengig av hvordan de er klassifisert.

For eksempel kan eksistensen av en bestemt programvare gjenkjennes, og Obduksjon behandler filene som finnes i NSRL som kjente og gode eller gjenkjenner den ikke og angir ikke om den er god eller dårlig. Vi kan også implementere en database som ignorerer kjente filer.

Til slutt klikker vi på LEGG TIL VERT og vi går til skjermen som viser oss, katalogen for denne verten, i samme sak kan vi ha flere verter å analysere.

Deretter får vi tilgang til vertslisten for denne saken og dermed starte forskning på noen vert eller sjekk noen vert.

Vi klikker på verten PC031 og deretter klikker vi på greit, åpnes en skjerm der vi legger til vertsbildet, for dette klikker vi på LEGG TIL BILDEFIL.

Deretter skal vi se etter bildet i henhold til mappen der vi har det:

Vi kan høyreklikke og velge alternativet Kopiere, så går vi til skjermen legg til vert og vi høyreklikker og lim inn alternativet dette vil legge til banen til bildefilen, vi kan også skrive den.

I tillegg vil vi angi type bilde hvis det er en disk eller en partisjon og importmetoden, bildet kan importeres til obduksjon fra den nåværende plasseringen ved hjelp av en symbolsk lenke, kopiere det eller flytte det.

Bildefilen må ha lesetillatelse, ellers vil det gi en feil når vi klikker på NESTE (Neste)
I dette tilfellet bruker vi bildet ved å lage en kopi. Hvis vi bruker Symlink som er lenken til hvor bildet er, kan vi få problemet med at vi kan skade bildet. Hvis vi kopierer det, blir det kopiert i sakskatalogen, men vi vil okkupere mer plass, husk at filene vi bruker er demoer som opptar omtrent 150 megabyte, et ekte bilde av en datamaskin eller en server kan oppta flere gigabyte.

Nedenfor viser det oss noen detaljer om bildet som vi la til, og lar oss beregne eller ignorere integriteten ved hjelp av kontrollsum MD5.

Til slutt klikker vi på LEGG TIL o Legg til for å gå til det siste skjermbildet der det forteller oss at prosessen er avsluttet og vi trykker greit å gå til vertsskjermen for denne saken.

Deretter velger vi verten i dette tilfellet har vi en og klikker på Analysere for å starte bildeanalyse. Analyseskjermen åpnes, og vi gjør det Bilde detaljer for å se systeminformasjon.

I dette tilfellet kan vi se at det er en Windwos XP NTFS -partisjon og andre data om diskstørrelse og sektorer. Så kan vi gå til Filanalyse, for å vise fil- og katalogstrukturen.

Vi ser i katalogene Boot -katalogen som inneholder oppstartsloggene til den partisjonen, hvis vi klikker vil vi se loggen og vi kan se den i forskjellige formater som ASCII, hexadecimal og tekst, i dette tilfellet ser vi følgende feil:

Det oppstod en feil med disklesing - NTLDR mangler

Windows XP NTLDR -filen er en viktig komponent i oppstartssektoren og oppstart av Windows XP. Datamaskinen vil ikke starte, den vil ikke starte opp hvis filen er skadet.

Så hvis vi klikker på dir -lenken i kolonnen Type, kan vi navigere gjennom katalogene og se slettede filer for å prøve å gjenopprette dem.

Dataforensikk gjør det mulig å identifisere og finne relevant informasjon i datakilder for eksempel bilder av harddisker, USB -pinner, nettverkstrafikkbilder eller datamaskinminne.

Når vi oppsummerer alt som er gjort med Autopsy, kan vi gjenåpne en sak siden det vi gjør blir lagret eller opprettet en ny sak, der en sak inneholder flere verter eller datamaskiner eller partisjoner av en logisk enhet som vil inneholde alt som er relatert til etterforskningen.

Derfor, når du oppretter en sak, blir informasjon som identifikasjonsnavnet ditt og personen som skal undersøke dataene lagt inn. Det neste trinnet består i å knytte en eller flere verter til saken, som tilsvarer bildene vi skal sende til analyse, eller et rettsmedisinsk bilde som tidligere er hentet fra datamaskinen eller serveren som skal analyseres.

Deretter lukker vi denne saken ved å klikke på Lukk og deretter på Lukk vert, og vi vil legge til en ny vert i saken, for dette trenger vi bildet JPEG.webp -søk, bilde vi nevnte tidligere.

Vi klikker videre LEGG TIL VERT For å legge til en ny vert som vi skal analysere, vil vi i dette tilfellet se etter tapte eller ødelagte bilder på en datamaskin i området grafisk design.

Etter at vi har lagt til verten, må vi legge til bildet som vi gjorde før.

Etter å ha fullført prosessen går vi til listen over verter som er tilgjengelige for denne saken.

Deretter velger vi verten som skal undersøkes og klikker på greit.

Deretter klikker vi på Analysere for å starte partisjonsvisningen. I dette tilfellet er det en Windows XP -partisjon, med et NTFS -filsystem med totalt 10 JPG.webp -bilder på det. Bildene inneholder filer med feil utvidelser, bilder innebygd i zip- og Word -filer, og feil som vi må finne og reparere for å gjenopprette disse filene.

Hensikten med dette partisjonsbildet er å teste evnene til automatiserte verktøy som søker etter JPG.webp -bilder.

Vi går gjennom katalogene, og vi kan se en knapp i venstre kolonne nedenfor ALLE SLETT FILER for å vise oss alle de slettede filene.

Vi kan også eksportere og laste ned filer for å analysere eller gjenopprette dem ved å klikke på lenken vi vil laste ned, og deretter klikke vi på Eksport

Inne finner vi et bilde og noen datafiler. Vi kan også søke etter ord fra Stikkordsøk som filutvidelser som doc eller programmer som kan fungere som crack, virus eller noe som kan virke rart.

Alle de oppnådde resultatene kan eksporteres til HTML -dokumenter å klikke på linkene Rapportere av hver type ASCI, heksadesimal eller tekstvisning, for presentasjon av en rapport til våre klienter eller for å beholde en database med hendelser.

Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng
wave wave wave wave wave