Analiza criminalistică a hard diskurilor și partițiilor cu Autopsie

Analiza criminalistică a hard diskurilor și partițiilor cu Autopsie
Cuprins

Autopsia este un software utilizat pentru analiza criminalistică a imaginii de pe hard disk. Este o interfață open source gratuită care vă permite să căutați și să analizați partiții sau imagini pe disc.

Instrumentul de autopsie poate funcționa pe diferite sisteme de operare, cum ar fi:

  • Linux
  • Windows
  • Mac OS X
  • BSD gratuit
A fost scris inițial în limbajul Perl și codul său a fost schimbat acum în Java cu o interfață grafică, deși această versiune rulează doar pe Windows, pe alte platforme are o interfață web.

Autopsia este o platformă digitală de analiză criminalistică și interfața grafică Sleuthkit și alte instrumente medico-legale digitale. Acesta este utilizat de guverne și entități publice și private, de forțele de securitate precum poliția și armata, precum și de profesioniști și experți în informatică pentru a investiga ce s-a întâmplat pe un computer. După un incident, cum ar fi un atac sau un eșec, puteți răsfoi dispozitivele de stocare pentru a recupera fișiere, căuta manipulări ale sistemului, recupera fotografii, imagini sau videoclipuri.

Mai întâi trebuie să instalăm Autopsia în Linux, vine în depozite, în Windows o puteți descărca de aici:

DESCĂRCARE AUTOPSIE

În acest tutorial vom vedea Instalarea autopsiei pe Linux. Deschidem o fereastră de terminal și tastăm următoarele comenzi:

1. Instalăm cadrul TSK 

 sudo apt-get install sleuthkit
2. Apoi instalăm Autopsia 
 autopsie apt-get
Cadrul TSK conține setul de biblioteci și module care pot fi utilizate pentru a dezvolta pluginuri și comenzi pentru abilitățile de criminalistică pe computer. Cadrul TSK este o interfață de linie de comandă care utilizează diferite module pentru a analiza imaginile de pe disc.

Apoi putem porni aplicația dintr-o fereastră terminal folosind comanda: 

 autopsie sudo

Apoi mergem la orice browser și scriem adresa URL http: // localhost: 9999 / autopsie că Autopsia ne spune că va funcționa ca un server atâta timp cât îl vom rula.

Înainte de a continua, trebuie să avem imaginea unor dispozitive, fie putem face o imagine a discului nostru, fie putem obține exemple de imagini pe Internet, de exemplu pe site-ul http://dftt.sourceforge.net/ putem descărca mai multe imagini care prezintă diferite probleme de analizat.

Putem descărca de exemplu câteva dintre următoarele imagini.

Căutare JPEG.webp: Această imagine de testare este un sistem de fișiere Windwos XP NTFS cu 10 imagini jpg.webp în diferite directoare. Imaginile includ fișiere cu extensii incorecte, imagini încorporate în fișier zip și fișiere Word. Aici putem lucra la recuperarea imaginii. Putem descărca JPEG.webp Search de aici.

Anulare ștergere NTFS: Această imagine de testare este un sistem de fișiere NTFS de 6 MB cu opt fișiere șterse, două directoare șterse și un flux de date alternativ șters. Fișierele variază de la fișiere rezidente, fișiere de cluster individuale și mai multe cioburi. Nu au fost modificate structuri de date în acest proces pentru a contracara recuperarea. Au fost create pe Windows XP, eliminate pe XP și imaginate pe Linux. Putem descărca NTFS Undelete de aici.

De asemenea, putem crea o imagine de disc din Linux, aflăm care sunt partițiile cu următoarele comenzi: 

 sudo fdisk -l

De exemplu, pentru a face o copie exactă a partiției de boot, pe care o putem folosi ca fișier de rezervă, folosim următoarele comenzi: 

 dd if = / dev / partition-to-save of = /home/directory/copy-partition.img
În acest caz, va fi partiția principală: 
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Putem folosi, de asemenea, software cum ar fi Clonezilla, care este un program pentru a crea partiții și imagini pe disc, copii de rezervă și recuperarea sistemului dintr-o copie de rezervă.

Odată ce avem imaginea pentru a efectua investigația criminalistică, mergem la Autopsie, pentru acest tutorial vom folosi NTSF Undelete.

Interfața de autopsie ne permite să analizăm mai multe cazuri cu imagini diferite și chiar mai mulți cercetători, apoi facem clic pe buton Caz nou sau Caz nou.

Ecranul se va deschide pentru a crea un caz în care vom atribui numele cazului, fără spații, deoarece acest nume va deveni un folder în care vor fi stocate informațiile colectate în cadrul investigației. În acest caz, numele va fi EmpresaSA, apoi vom adăuga o descriere a cazului, vom adăuga și numele anchetatorilor responsabili de caz, apoi vom face clic pe Caz nou.

Vom vedea un ecran în care suntem informați că au fost create un folder pentru carcasă și un director de configurare.

Apoi vom crea gazda, adică vom înregistra datele echipamentului sau imaginii de investigat.

Vom adăuga numele gazdei, o descriere, ora GMT în cazul în care provin dintr-o altă țară, putem adăuga timpul de compensare și în ceea ce privește computerul și există baze de date care conțin hashuri de fișiere rău intenționate cunoscute.

Dacă dorim să folosim o bază de date, putem folosi NIST NSRL pentru a detecta fișierele cunoscute. Baza de date National Library Reference Library care conține hash-uri care pot fi bune sau rele în funcție de modul în care sunt clasificate.

De exemplu, existența unui anumit software poate fi recunoscută și Autopsia tratează fișierele găsite în NSRL ca fiind cunoscute și bune sau nu le recunoaște și nu specifică dacă este bun sau rău. De asemenea, putem implementa o bază de date care ignoră fișierele cunoscute.

La final facem clic pe ADĂUGAȚI GAZDĂ și mergem la ecranul care ne arată, directorul pentru această gazdă, în același caz putem avea mai multe gazde de analizat.

Apoi accesăm lista de gazde pentru acest caz particular și astfel începe cercetarea pe o anumită gazdă sau verificați o gazdă.

Facem clic pe gazda noastră PC031 și apoi facem clic pe Bine, se va deschide un ecran în care vom adăuga imaginea gazdă, pentru aceasta facem clic pe ADĂUGAȚI FIȘIERUL DE IMAGINI.

În continuare vom căuta imaginea în funcție de folderul în care o avem:

Putem face clic dreapta și selecta opțiunea Copie, apoi mergem la ecran adăugați gazdă și facem clic dreapta și opțiunea Paste, aceasta va adăuga calea fișierului imagine, o putem scrie și.

În plus, vom indica tipul de imagine dacă este un disc sau o partiție și metoda de import, imaginea poate fi importată în autopsie din locația sa curentă utilizând o legătură simbolică, copiind-o sau mutând-o.

Fișierul imagine trebuie să aibă permisiunea de citire, altfel va da o eroare atunci când facem clic pe URMĂTORUL (Următorul)
În acest caz, utilizăm imaginea creând o copie, dacă folosim Symlink care este legătura către locul unde se află imaginea, putem avea problema că am putea deteriora imaginea, dacă o copiem, o copie va fi făcută în directorul de cazuri, dar vom ocupa mai mult loc, amintiți-vă că fișierele pe care le folosim sunt demonstrații care ocupă aproximativ 150 de megaocteți, o imagine reală a unui computer sau a unui server ar putea ocupa mai mulți gigaocteți.

Mai jos ne arată câteva detalii ale imaginii pe care le-am adăugat și ne permite să calculăm sau să ignorăm integritatea prin intermediul suma de verificare MD5.

În cele din urmă facem clic pe ADĂUGA o Adăugați pentru a merge la ecranul final, unde ne spune că procesul sa încheiat și apăsăm Bine pentru a accesa ecranul gazdei pentru acest caz.

Apoi selectăm gazda în acest caz avem una și facem clic pe A analiza pentru a începe analiza imaginii. Se deschide ecranul de analiză și o vom face Detalii imagine pentru a vizualiza informații despre sistem.

În acest caz, putem vedea că este o partiție Windwos XP NTFS și alte date despre dimensiunea și sectoarele discului. Atunci putem merge la Analiza fișierelor, pentru a vizualiza structura fișierului și directorului.

Vedem în directoare directorul de pornire care conține jurnalele de pornire ale acelei partiții, dacă facem clic, vom vedea jurnalul și îl putem vedea în diferite formate, cum ar fi ASCII, Hexadecimal și text, în acest caz vom vedea următoarea eroare:

A apărut o eroare de citire a discului - NTLDR lipsește

Fișierul Windows XP NTLDR este o componentă esențială a sectorului de pornire și pornire Windows XP. Computerul nu va porni, nu va finaliza pornirea dacă fișierul respectiv este deteriorat.

Apoi, dacă facem clic pe linkul dir din coloană Tip, putem naviga prin directoare și putem vedea fișierele șterse pentru a încerca să le recuperăm.

Criminalistica computerizată permite identificarea și descoperirea informațiilor relevante din sursele de date cum ar fi imagini de hard disk-uri, stick-uri USB, instantanee de trafic de rețea sau depozite de memorie ale computerului.

Rezumând tot ceea ce a fost făcut cu autopsia, putem redeschide un caz, deoarece ceea ce facem este salvarea sau crearea unui caz nou, în cazul în care un caz conține mai multe gazde sau computere sau partiții ale unei unități logice care va conține tot ceea ce este legat de investigație.

Prin urmare, atunci când creați un caz, sunt introduse informații precum numele dvs. de identificare și persoana care va investiga datele. Următorul pas constă în asocierea uneia sau mai multor gazde la caz, care corespund imaginilor pe care urmează să le supunem analizei sau unei imagini criminalistice care a fost achiziționată anterior de pe computer sau server pentru a fi analizată.

Apoi închidem acest caz făcând clic pe Închidere și apoi pe Închidere gazdă și vom adăuga o nouă gazdă în carcasă, pentru aceasta avem nevoie de imagine Căutare JPEG.webp, imagine pe care am menționat-o mai devreme.

Facem clic pe ADĂUGAȚI GAZDĂ Pentru a adăuga o nouă gazdă pe care urmează să o analizăm, în acest caz vom căuta imagini pierdute sau deteriorate pe un computer în zona de design grafic.

După adăugarea gazdei, trebuie să adăugăm imaginea așa cum am făcut înainte.

După terminarea procesului, mergem la lista gazdelor disponibile pentru acest caz.

Apoi selectăm gazda de investigat și facem clic pe Bine.

Apoi facem clic pe A analiza pentru a porni vizualizarea partiției. În acest caz, este o partiție Windows XP, cu un sistem de fișiere NTFS cu un total de 10 imagini JPG.webp pe el. Imaginile includ fișiere cu extensii incorecte, imagini încorporate în fișiere zip și Word și erori pe care trebuie să le găsim și să le reparăm pentru a recupera acele fișiere.

Scopul acestei imagini de partiție este de a testa capacitățile instrumentelor automate care caută imagini JPG.webp.

Trecem prin directoare și putem vedea un buton în coloana din stânga de mai jos TOATE FISIERELE ȘTERGERE pentru a ne arăta toate fișierele șterse.

De asemenea, putem exporta și descărca fișiere pentru a le analiza sau a le recupera făcând clic pe linkul pe care dorim să îl descărcăm, apoi facem clic pe Export

În interior vom găsi o imagine și câteva fișiere de date. Putem căuta și cuvinte din Căutare cuvânt cheie ca extensii de fișiere, cum ar fi doc sau programe care pot funcționa ca crack, viruși sau orice poate părea ciudat.

Toate rezultatele obținute pot fi exportate în documente HTML făcând clic pe linkuri Raport pentru fiecare tip de vizualizare ASCI, hexazecimală sau text, pentru prezentarea unui raport clienților noștri sau pentru păstrarea unei baze de date cu incidente.

V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se schimbă PIN-ul SIM Huawei P smart + Plus
2
post-title
▷ Descărcați și instalați Google Chrome macOS Big Sur
3
post-title
Cum se dezactivează ID-ul de amprentă pe Huawei Mate 10
4
post-title
Ce este Linux Kernel și ce versiune am
5
post-title
Java - Bazele pentru proiectarea clasei

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -