Die digitale Forensik beinhaltet die Wiederherstellung und Erfassung jeglicher Art von Beweisen von Geräten wie Festplatten, Computern und Mobiltelefonen, mit denen alle Arten von Daten gespeichert werden können. Eine Autopsie ist ein Instrument, das von Militär, Strafverfolgungsbehörden und verschiedenen Agenturen verwendet wird, wenn ein forensischer Bedarf besteht. Eine Autopsie ist im Grunde eine grafische Schnittstelle für die sehr berühmten Das Sleuth -Kit Wird verwendet, um Beweise aus einem physischen Laufwerk und vielen anderen Werkzeugen abzurufen. Das Sleuth-Kit nimmt nur Befehlszeilenanweisungen auf. Andererseits macht Autopsie den gleichen Prozess einfach und benutzerfreundlich. Autopsie bietet verschiedene Funktionen, die beim Erwerb und Analysieren kritischer Daten beitragen, und verwendet auch verschiedene Tools für Jobs wie wie Timeline -Analyse, Hashes filtern, Daten schnitzen, EXIF -Daten,Erfassen von Webartefakten, Keyword -Suche, usw. Autopsy verwendet mehrere Kerne und führt die Hintergrundprozesse parallel aus und erzählt Sie, sobald etwas von Ihrem Interesse auftaucht, was es zu einem extrem schnellen und zuverlässigen Tool für digitale Forensik macht.
Installation:
Führen Sie zunächst den folgenden Befehl in Ihrem Linux -System aus, um Ihre Paket -Repositories zu aktualisieren:
Ubuntu@Ubuntu: ~ $ sudo Apt-Get-Update
Führen Sie nun den folgenden Befehl aus, um das Autopsie -Paket zu installieren:
Ubuntu@Ubuntu: ~ $ sudo APT Installieren Sie Autopsie
Dies wird installieren SLEUTH KIT Autopsie Auf Ihrem Linux -System.
Für Windows-basierte Systeme einfach herunterladen Autopsie von seiner offiziellen Website https: // www.SLEUTHKIT.Org/Autopsie/.
Verwendung:
Lassen Sie uns die Autopsie durch Eingabe aufbauen $ Autopsie im Terminal. Es führt uns zu einem Bildschirm mit Informationen über den Ort des Evidenz -Schließfachs, der Startzeit, des lokalen Ports und der Version von Autopsie, die wir verwenden.
Wir können hier einen Link sehen, zu dem wir uns bringen können Autopsie. Beim Navigieren zu http: // localhost: 9999/Autopsie In jedem Webbrowser werden wir von der Startseite begrüßt und können jetzt beginnen Autopsie.
Erstellen eines Falls:
Das erste, was wir tun müssen, ist, einen neuen Fall zu erstellen. Wir können dies tun, indem wir auf eine von drei Optionen (Open Case, New Case, Hilfe) auf der Homepage von Autopsie klicken. Nachdem wir darauf geklickt haben, sehen wir einen Bildschirm wie diesen:
Geben Sie die Details wie erwähnt ein, ich.e., Der Fallname, die Namen des Ermittlers und die Beschreibung des Falls, um unsere Informationen und Beweise für diese Untersuchung zu organisieren. Meistens wird mehr als ein Forscher eine digitale Forensikanalyse durchführen. Daher gibt es mehrere Felder zu füllen. Sobald es fertig ist, können Sie auf die Klicken auf die Neuer Fall Taste.
Dadurch wird ein Fall mit bestimmten Informationen erstellt und zeigt Ihnen den Ort, an dem das Fallverzeichnis erstellt wird. I.e./var/lab/Autopsie/ und der Speicherort der Konfigurationsdatei. Klicken Sie nun auf Host hinzufügen, Und ein Bildschirm wie dieser wird angezeigt:
Hier müssen wir nicht alle angegebenen Felder ausfüllen. Wir müssen nur das Feld des Hostnamens ausfüllen, in dem der Name des zu untersuchenden Systems eingegeben wird und die kurze Beschreibung davon ist. Andere Optionen sind optional, z. B. Angabe von Wegen, auf denen schlechte Hashes gespeichert werden, oder diejenigen, in denen andere die Zeitzone unserer Wahl setzen oder festlegen werden. Klicken Sie nach dem Abschluss auf die Host hinzufügen Schaltfläche, um die von Ihnen angegebenen Details anzuzeigen.
Jetzt wird der Host hinzugefügt, und wir haben den Ort aller wichtigen Verzeichnisse, wir können das Bild hinzufügen, das analysiert werden soll. Klicke auf Bild hinzufügen So fügen Sie eine Bilddatei hinzu und ein Bildschirm wie dieser wird ein Poping:
In einer Situation, in der Sie ein Bild einer Partition oder eines Laufwerks dieses bestimmten Computersystems erfassen müssen, kann das Bild einer Festplatte verwendet werden dcfldd Dienstprogramm. Um das Bild zu erhalten, können Sie den folgenden Befehl verwenden,
Ubuntu@ubuntu: ~ $ dcfldd if = von BS = 512 count = 1 Hash =
if =das Ziel des Laufwerks, das Sie ein Bild haben möchten
von =Das Ziel, an dem ein kopiertes Bild gespeichert wird (kann alles sein, e.G., Festplatte, USB usw.)
BS = Blockgröße (Anzahl der Bytes, die jeweils kopiert werden)
Wir können auch verwenden dd Dienstprogramm zum Erfassen eines Bildes eines Laufwerks oder einer Partition mithilfe
Ubuntu@Ubuntu: ~ $ dd if = von = BS = 512 count = 1 Hash =
Es gibt Fälle, in denen wir einige wertvolle Daten in haben RAM Für eine forensische Untersuchung müssen wir den physischen RAM für die Speicheranalyse erfassen. Wir werden dies tun, indem wir den folgenden Befehl verwenden:
Ubuntu@Ubuntu: ~ $ dd if =/dev/fmem von = BS = 512 count = 1 Hash =
Wir können uns weiter ansehen dd Die verschiedenen anderen wichtigen Optionen des Versorgungsunternehmens, um das Bild einer Partition oder eines physischen RAM mit dem folgenden Befehl zu erfassen:
Ubuntu@Ubuntu: ~ $ DD -HELP DD -Hilfeoptionen BS = Bytes lesen und schreiben nach Bytes gleichzeitig (Standard: 512); überschreibt IBS und OBS CBS = Bytes konvertieren Bytes gleichzeitig Bytes Conv = Convs Convert der Datei gemäß der von Kommas getrennten Symbolliste konvertieren count = n nur n Eingangsblöcke kopieren IBS = Bytes lesen nach Bytes gleichzeitig (Standard: 512) if = Datei aus der Datei anstelle von stdin lesen IFLAG = Flags gemäß der von Kommas getrennten Symbolliste gelesen OBS = Bytes schreiben Bytes gleichzeitig (Standard: 512) von = Datei schreiben in Datei anstelle von stdout Oflag = Flags schreiben nach der von Kommas getrennten Symbolliste such = n überspringen n obsgröße Blöcke zu Beginn der Ausgabe Skip = N Skip N IBS-Größe Blöcke zu Beginn der Eingabe überspringen Status = Ebene die Informationsebene zum Drucken auf Stderr; 'Keine' unterdrückt alles, aber Fehlermeldungen, 'Noxfer' unterdrückt die endgültige Übertragungsstatistik, 'Fortschritt' zeigt regelmäßige Übertragungsstatistiken N und Bytes können die folgenden multiplikativen Suffixe folgen: c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000*1000, m = 1024*1024, xm = m, Gb = 1000*1000*1000, g = 1024*1024*1024 und so weiter für t, p, e, z, y. Jedes Konvolksymbol kann sein: ASCII von Ebcdic nach ASCII Ebcdic von ASCII zu Ebcdic IBM von ASCII zu alternativem Ebcdic Block Pad Newline-terminierte Datensätze mit Platz zu CBS-Größe Entsperren Sie nach Ablaufräumen in CBS-Größe Rekorde durch eine neue Linie Lupe ändern den oberen Fall in den unteren Fall ucase ändern den unteren Fall in den oberen Fall Spärliche Versuche, die Ausgabe für NUL -Eingangsblöcke zu suchen, anstatt die Ausgabe zu schreiben Tauschen Sie jedes Paar Eingangsbytes aus Synchronisieren Sie jeden Eingangsblock mit Nuls bis IBS-Größe; wenn benutzt mit einem Block oder einem Entsperren, Pad mit Räumen und nicht Nuls Exc -Fail, wenn die Ausgabedatei bereits vorhanden ist Nocreat erstellen die Ausgabedatei nicht Notrunc schneidet die Ausgabedatei nicht ab NoError geht nach den Lesenfehlern weiter Fdatasync schreiben vor dem Ende physisch Ausgabedateidaten schreiben FSYNC ebenfalls, aber auch Metadaten schreiben Jedes Flag -Symbol kann sein: Append -Append -Modus (macht nur für die Ausgabe sinnvoll; conv = Notrunc vorgeschlagen) Direkte Verwendung direkter E/A für Daten Verzeichnis scheitern, es sei denn ein Verzeichnis DSYNC verwenden synchronisierte E/A für Daten synchronisieren ebenfalls, aber auch für Metadaten FullBlock sammeln volle Eingangsblöcke (nur IFLAG) Nicht blockieren nicht blockierende i/o Noatime aktualisieren die Zugriffszeit nicht Nocache -Anfrage zum Ablegen von Cache.
Wir werden ein Bild namens verwenden 8-JPEG-Search-DD Wir haben unser System gespeichert. Dieses Bild wurde von Brian Carrier für Testfälle erstellt, um es mit Autopsie zu verwenden, und ist im Internet für Testfälle verfügbar. Bevor wir das Bild hinzufügen, sollten wir den MD5 -Hash dieses Bildes jetzt überprüfen und es später vergleichen, nachdem wir es in das Evidenz -Schließfach gelangen, und beide sollten übereinstimmen. Wir können die MD5 -Summe unseres Bildes erzeugen, indem wir den folgenden Befehl in unserem Terminal eingeben:
Ubuntu@Ubuntu: ~ $ MD5SUM 8-JPEG-Search-DD
Dies wird den Trick machen. Der Ort, an dem die Bilddatei gespeichert ist /Ubuntu/Desktop/8-JPEG-Search-DD.
Das Wichtigste ist, dass wir den gesamten Weg eingeben müssen, auf dem sich das Bild befindet, i.R /Ubuntu/Desktop/8-JPEG-Search-DD in diesem Fall. Symlink wird ausgewählt, wodurch die Bilddatei für Probleme, die mit dem Kopieren von Dateien verbunden sind. Manchmal erhalten Sie einen "ungültigen Bild" -Fehler, überprüfen Sie den Pfad zur Bilddatei und stellen Sie sicher, dass die Vorwärtsschärfe “/" Gibt es. Klicke auf Nächste wird uns unsere Bilddetails zeigen, die enthalten Dateisystem Typ, Reittierantrieb, und das MD5 Wert unserer Bilddatei. Klicke auf Hinzufügen So platzieren Sie die Bilddatei in das Evidenz -Schließfach und klicken Sie auf OK. Ein Bildschirm wie dieser wird angezeigt:
Hier bekommen wir erfolgreich das Bild und los auf unsere Analysieren Teil zur Analyse und Abruf von wertvollen Daten im Sinne der digitalen Forensik. Bevor wir mit dem Teil „Analyse“ übergehen, können wir die Bilddetails überprüfen, indem wir auf die Option Details klicken.
Dadurch werden wir Details zur Bilddatei wie das verwendete Dateisystem erhalten (NTFS in diesem Fall), die Mount -Partition, der Name des Bildes und ermöglicht es, Keywordsuche und Datenwiederherstellung schneller durch das Extrahieren von Zeichenfolgen und nicht zugewiesener Räume zu machen. Nachdem Sie alle Optionen durchlaufen haben, klicken Sie auf die Schaltfläche zurück. Bevor wir unsere Bilddatei analysieren, müssen wir die Integrität des Bildes überprüfen, indem wir auf die Bildintegritätstaste klicken und einen MD5 -Hash unseres Bildes generieren.
Das Wichtigste ist zu beachten, dass dieser Hash zu Beginn des Verfahrens mit dem übereinstimmt, den wir durch MD5 -Summe generiert hatten. Sobald es fertig ist, klicken Sie auf Schließen.
Analyse:
Nachdem wir unseren Fall erstellt haben, ihm einen Hostnamen gegeben haben, eine Beschreibung hinzugefügt, die Integritätsprüfung durchführte, können wir die Analyseoption verarbeiten, indem wir auf die Klicken auf die Analysieren Taste.
Wir können verschiedene Analysemodi sehen, ich.e., Dateianalyse, Keywordsuche, Dateityp, Bilddetails, Dateneinheit. Zunächst klicken wir auf Bilddetails, um die Dateiinformationen abzurufen.
Wir können wichtige Informationen zu unseren Bildern wie den Dateisystemtyp, den Namen des Betriebssystems und das Wichtigste, die Seriennummer, sehen. Die Volumen -Seriennummer ist vor dem Gerichtshof wichtig, da es zeigt, dass das von Ihnen analysierte Bild dieselbe oder eine Kopie ist.
Schauen wir uns das an die Datenanalyse Möglichkeit.
Wir können eine Reihe von Verzeichnissen und Dateien finden, die im Bild vorhanden sind. Sie sind in der Standardreihenfolge aufgeführt, und wir können in einem Datei -Browsing -Modus navigieren. Auf der linken Seite können wir das aktuelle angegebene Verzeichnis sehen, und unten können wir einen Bereich sehen, in dem bestimmte Schlüsselwörter durchsucht werden können.
Vor dem Dateinamen stehen 4 Felder benannt geschrieben, abgerufen, geändert, erstellt. Geschrieben bedeutet das Datum und die Uhrzeit, an die die Datei zuletzt geschrieben wurde, Zugriff bedeutet, dass die letzte Zeit auf Datei zugegriffen wurde (in diesem Fall ist das einzige Datum zuverlässig), Geändert bedeutet, dass das letzte Mal die beschreibenden Daten der Datei geändert wurde, Erstellt bedeutet das Datum und die Uhrzeit, zu der die Datei erstellt wurde, und Metadaten Zeigt die anderen Informationen zur Datei als allgemeine Informationen an.
Oben sehen wir eine Option von MD5 -Hashes erzeugen der Dateien. Auch dies wird die Integrität aller Dateien sicherstellen, indem die MD5 -Hashes aller Dateien im aktuellen Verzeichnis generiert werden.
Die linke Seite der Datenanalyse Registerkarte enthält vier Hauptoptionen, ich.e., Verzeichnissuche, Dateiname -Suche, alle gelöschten Dateien, Verzeichnisse erweitern. Verzeichnis suchen Ermöglicht Benutzern, die von einem gewünschten Verzeichnisse zu durchsuchen. Dateinamensuche Ermöglicht das Durchsuchen bestimmter Dateien im angegebenen Verzeichnis,
Alle gelöschten Dateien enthalten die gelöschten Dateien aus einem Bild mit demselben Format, ich.e., geschrieben, abgerufen, erstellt, metadaten und geändert die Optionen geändert und werden in Rot wie unten angegeben:
Wir können sehen, dass die erste Datei a ist JPEG Datei, aber die zweite Datei hat eine Erweiterung von "Hmm". Schauen wir uns die Metadaten dieser Datei an, indem wir uns auf Metadaten an den richtigen Rechten klicken.
Wir haben festgestellt, dass die Metadaten a enthält Jfif Eintrag, was bedeutet JPEG -Datei -Austauschformat, Wir bekommen also, dass es sich nur um eine Bilddatei mit einer Erweiterung von “handeltHmm”. Verzeichnisse erweitern Erweitert alle Verzeichnisse und ermöglicht es einem größeren Bereich, mit Verzeichnissen und Dateien in den angegebenen Verzeichnissen zu arbeiten.
Sortieren der Dateien:
Die Analyse der Metadaten aller Dateien ist nicht möglich. Daher müssen wir sie sortieren und analysieren, indem wir die vorhandenen, gelöschten und nicht zugewiesenen Dateien mithilfe der vorhandenen Dateien sortieren Dateityp Tab.''
So sortieren Sie die Dateienkategorien, damit wir diejenigen mit derselben Kategorie problemlos untersuchen können. Dateityp hat die Möglichkeit, den gleichen Dateienyp in eine Kategorie zu sortieren, ich.e., Archive, Audio, Video, Bilder, Metadaten, Execs -Dateien, Textdateien, Dokumente, komprimierte Dateien, usw.
Eine wichtige Sache beim Anzeigen von sortierten Dateien ist, dass die Autopsie hier keine Anzeigen von Dateien erlaubt. Stattdessen müssen wir zu dem Ort stöbern, an dem diese gespeichert werden, und sie dort anzeigen. Um zu wissen, wo sie gespeichert sind, klicken Sie auf die Sortierte Dateien anzeigen Option auf der linken Seite des Bildschirms. Der Ort, den wir uns geben, ist der gleiche wie der, den wir beim Erstellen des Falls im ersten Schritt i angegeben haben.e./var/lib/Autopsie/.
Um den Fall wieder zu öffnen, öffnen Sie einfach die Autopsie und klicken Sie auf eine der Optionen "Offener Fall.”
Fall: 2
Schauen wir uns an, ein anderes Bild mithilfe der Autopsie in einem Windows -Betriebssystem zu analysieren und herauszufinden, welche wichtigen Informationen wir von einem Speichergerät erhalten können. Das erste, was wir tun müssen, ist, einen neuen Fall zu erstellen. Wir können dies tun, indem wir auf eine von drei Optionen klicken (Open Case, New Case, Neuere Open -Fall) auf der Homepage der Autopsie. Nachdem wir darauf geklickt haben, sehen wir einen Bildschirm wie diesen:
Geben Sie den Fallnamen und den Pfad an, in dem die Dateien gespeichert werden sollen, und geben Sie die Details wie erwähnt ein, i, i.e., Der Fallname, die Namen des Prüfers und die Beschreibung des Falls, um unsere Informationen und Beweise für diese Untersuchung zu organisieren. In den meisten Fällen gibt es mehr als einen Prüfer, der die Untersuchung durchführt.
Geben Sie nun das Bild an, das Sie untersuchen möchten. E01(Sachverständigerformat), Aff(Advanced Forensics Format), RAW -Format (Dd) und Gedächtnis -Forensik -Bilder sind kompatibel. Wir haben ein Bild unseres Systems gespeichert. Dieses Bild wird in dieser Untersuchung verwendet. Wir sollten den vollständigen Pfad zum Bildstandort bereitstellen.
Es werden verschiedene Optionen wie Timeline -Analyse, Filtern von Hashes, Schnitzdaten, EXIF -Daten, Erfassen von Webartefakten, Schlüsselwortsuche, E -Mail -Parser, eingebettete Dateiextraktion, aktuelle Aktivitätsprüfung usw. aufgefordert. Klicken Sie auf die beste Erfahrung ausgewählt und klicken Sie auf die Schaltfläche Weitere Schaltfläche.
Wenn alles fertig ist, klicken Sie auf Fertig stellen und warten Sie, bis der Vorgang abgeschlossen ist.
Analyse:
Es gibt zwei Arten von Analysen, Tote Analyse, Und Live -Analyse:
Eine tote Prüfung findet statt, wenn ein engagierter Untersuchungsrahmen verwendet wird, um die Informationen aus einem spekulierten Rahmen zu untersuchen. An dem Punkt, an dem dies passiert, Die Autopsie der Sleuth Kit kann in einem Bereich laufen, in dem die Wahrscheinlichkeit eines Schadens ausgerottet wird. Autopsie und das Sleuth Kit bieten Hilfe für Roh-, Sachverständigen und AFF -Formate.
Eine Live -Untersuchung erfolgt, wenn das vermutete Framework während des Laufens zerlegt wird. In diesem Fall, Die Autopsie der Sleuth Kit kann in jedem Bereich laufen (alles andere als einen engen Raum). Dies wird häufig während der Auftrittsreaktion verwendet, während die Episode bestätigt wird.
Bevor wir unsere Bilddatei analysieren, müssen wir die Integrität des Bildes überprüfen, indem wir auf die Bildintegritätstaste klicken und einen MD5 -Hash unseres Bildes generieren. Das Wichtigste ist zu beachten, dass dieser Hash zu Beginn des Verfahrens zu dem mit dem, was wir für das Bild hatten, übereinstimmen wird. Image Hash ist wichtig, da er zeigt, ob das angegebene Bild manipuliert hat oder nicht.
In der Zwischenzeit, Autopsie hat sein Verfahren abgeschlossen, und wir haben alle Informationen, die wir benötigen.
Zunächst beginnen wir mit grundlegenden Informationen wie dem verwendeten Betriebssystem, dem letzten Mal, als sich der Benutzer angemeldet hat, und die letzte Person, die während der Zeit eines Missgeschicks auf den Computer zugegriffen hat. Dafür werden wir gehen Ergebnisse> Extrahierter Inhalt> Betriebssysteminformationen auf der linken Seite des Fensters.
Um die Gesamtzahl der Konten und alle zugeordneten Konten anzuzeigen, gehen wir zu Ergebnisse> Extrahierter Inhalt> Betriebssystem Benutzerkonten. Wir werden einen solchen Bildschirm sehen:
Die Informationen wie die letzte Person, die auf das System zugreift, und vor dem Benutzernamen gibt es einige Felder benannt Zugriff auf, geändert, erstellt.Zugriff bedeutet, dass das letzte Mal auf das Konto zugegriffen wurde (in diesem Fall ist das einzige Datum zuverlässig) und cgeraten bedeutet das Datum und die Uhrzeit, die das Konto erstellt wurde. Wir können sehen, dass der letzte Benutzer, der auf das System zugegriffen hat Herr. Teuflisch.
Lass uns zu ... gehen Programmdateien Ordner eingeschaltet C Fahren Sie auf der linken Seite des Bildschirms, um die physische und die Internetadresse des Computersystems zu ermitteln.
Wir können das sehen IP (Internetprotokoll) Adresse und die MAC Adresse des aufgeführten Computersystems.
Lass uns gehen zu Ergebnisse> Extrahierter Inhalt> installierte Programme, Wir können hier sehen, dass die folgende Software zur Ausführung böswilliger Aufgaben im Zusammenhang mit dem Angriff verwendet wird.
Cain & Abel: Ein leistungsstarkes Paket -Schnüffel -Tool und Kennwort -Cracking -Tool, das zum Paketschnüffeln verwendet wird.
Anonymizer: Ein Tool zum Verstecken von Tracks und Aktivitäten, die der bösartige Benutzer durchführt.
Ätheral: Ein Tool, das zum Überwachung des Netzwerkverkehrs und zur Erfassung von Paketen in einem Netzwerk verwendet wird.
Niedliche FTP: Eine FTP -Software.
Netstumbler: Ein Tool, das verwendet wird, um einen drahtlosen Zugangspunkt zu ermitteln
WinPCAP: Ein renommiertes Tool, das für Link-Layer-Netzwerkzugriff in Windows-Betriebssystemen verwendet wird. Es bietet auf niedrigem Niveau Zugriff auf das Netzwerk.
Im /Windows/System32 Ort finden wir die E -Mail -Adressen, die der verwendete Benutzer adressiert. Wir sehen Msn E -Mail, Hotmail, Outlook -E -Mail -Adressen. Wir können auch das sehen SMTP E -Mail -Adresse hier genau hier.
Gehen wir zu einem Ort, an dem Autopsie Speichert mögliche böswillige Dateien aus dem System. Navigieren zu Ergebnisse> Interessante Gegenstände, und wir können eine Zip -Bombe sehen, die benannt ist UNIX_HACK.TGZ.
Als wir zum Navigieren zum Navigieren /Recycler Der Ort fanden wir 4 gelöschte ausführbare Dateien mit dem Namen DC1.exe, dc2.exe, dc3.exe und dc4.exe.
Ätherisch, renommiert schnüffeln Tool, mit dem alle Arten von Kabel- und drahtlosen Netzwerkverkehr überwacht und abgefangen werden können, wird ebenfalls entdeckt. Wir haben die erfassten Pakete wieder zusammengestellt und das Verzeichnis, in dem es gespeichert wird, ist /Unterlagen, Der Dateiname in diesem Ordner ist Abfangen.
In dieser Datei können wir die Daten wie das Browser -Opfer und die Art des drahtlosen Computers sehen und herausgefunden, dass es sich um Internet -Explorer unter Windows CE handelte. Die Websites, auf das das Opfer zugänglich war Yahoo Und Msn .com, und dies wurde auch in der Abfangendatei gefunden.
Bei der Entdeckung von Inhalten von Ergebnisse> Extrahierter Inhalt> Web -Verlauf,
Wir sehen.
Wiederherstellen gelöschter Dateien:
Im früheren Teil des Artikels haben wir festgestellt. Zu den grundlegendsten notwendigsten Talenten für einen forensischen Agenten ist es vermutlich die wichtigste, gelöschte Aufzeichnungen zu erholen. Wie Sie wahrscheinlich wissen, bleiben Dokumente, die „gelöscht“ werden, auf dem Speichergerät, es sei denn, es ist überschrieben. Durch das Löschen dieser Datensätze wird das Gerät im Grunde zugänglich, um überschrieben zu werden. Dies bedeutet, dass der Verdächtige Beweisaufzeichnungen ausgelöscht hat, bis sie durch das Dokument -Framework überschrieben werden, sie bleiben für uns zugänglich, um uns wieder aufzunehmen.
Jetzt werden wir uns untersuchen Die Autopsie der Sleuth Kit. Befolgen Sie alle Schritte oben, und wenn das Bild importiert wird, werden wir einen solchen Bildschirm sehen:
Auf der linken Seite des Fensters erweitern wir das weiter Datentypen Option, wir werden eine Reihe von Kategorien sehen Archive, Audio, Video, Bilder, Metadaten, Exec -Dateien, Textdateien, Dokumente (HTML, PDF, Wort, .PPX usw.), komprimierte Dateien. Wenn wir darauf klicken Bilder, Es wird alle wiederhergestellten Bilder angezeigt.
Etwas weiter unten in der Unterkategorie von Datentypen, Wir werden einen Optionsnamen sehen Dateien gelöscht. Wenn Sie auf diese Weise klicken. Die Registerkarten werden benannt Hex, Ergebnis, indizierter Text, Zeichenfolgen, Und Metadaten. Auf der Registerkarte "Metadaten" sehen wir vier Namen geschrieben, abgerufen, geändert, erstellt. Geschrieben bedeutet das Datum und die Uhrzeit, an die die Datei zuletzt geschrieben wurde, Zugriff bedeutet, dass die letzte Zeit auf Datei zugegriffen wurde (in diesem Fall ist das einzige Datum zuverlässig), Geändert bedeutet, dass das letzte Mal die beschreibenden Daten der Datei geändert wurde, Erstellt bedeutet das Datum und die Zeit, zu der die Datei erstellt wurde. Um die gewünschte gelöschte Datei wiederherzustellen, klicken Sie auf die gelöschte Datei und wählen Sie aus Export. Es wird nach einem Speicherort gefragt, an dem die Datei gespeichert wird, einen Speicherort auswählen und klicken OK. Verdächtige werden sich häufig bemühen, ihre Spuren abzudecken, indem verschiedene wichtige Dateien gelöscht werden. Wir wissen als forensische Person, dass diese Dokumente durch das Dateisystem überschrieben werden, können sie wiederholt werden.
Abschluss:
Wir haben das Verfahren untersucht, um die nützlichen Informationen aus unserem Zielbild mithilfe von unser Die Autopsie der Sleuth Kit statt einzelner Werkzeuge. Eine Autopsie ist eine Anlaufstelle für jeden forensischen Ermittler und aufgrund seiner Geschwindigkeit und Zuverlässigkeit. Autopsie verwendet mehrere Kernprozessoren, die die Hintergrundprozesse parallel ausführen, was die Geschwindigkeit erhöht und uns zu einer geringeren Zeitspanne führt und die durchsuchten Keywords anzeigt, sobald sie auf dem Bildschirm gefunden werden. In einer Zeit, in der Forensik -Tools eine Notwendigkeit darstellen.
Die Autopsie geht dem Ruf einiger bezahlter Tools voraus und bietet einige zusätzliche Funktionen wie Registrierungsanalysen und Web -Artefakte, die die anderen Tools nicht. Eine Autopsie ist bekannt für ihren intuitiven Gebrauch der Natur. Ein flottes Rechtsklick öffnet das bedeutende Dokument. Dies impliziert, dass neben Null die Zeit ermittelt wird, um festzustellen, ob explizite Verfolgungster Begriffe auf unserem Bild, dem Telefon oder unserem PC sind, das sich angesehen wird. Benutzer können ebenfalls zurückverfolgen, wenn sich tiefgreifende Quests in Sackgassen verwandeln, wobei die Historien mit der Rück- und Vorwärtsgeschichte hilft, ihren Mitteln zu folgen. Video ist auch ohne äußere Anwendungen zu sehen, die die Verwendung beschleunigen.
Vorschaubildperspektiven, Aufzeichnungen und Dokumenten Typen, die die guten Dateien herausfiltern und für schrecklich markieren. Die Verwendung benutzerdefinierter Hash -Set ist nur ein Teil verschiedener Highlights, auf denen man gefunden werden muss Die Autopsie der Sleuth Kit Version 3 bietet erhebliche Verbesserungen aus Version 2.Die Basistechnologie subventionierte im Allgemeinen die Arbeit an Version 3, wo Brian Carrier, der einen großen Teil der Arbeit an früheren Darstellungen von lieferte Autopsie, ist CTO und Leiter der fortschrittlichen Kriminologie. Er wird ebenfalls als Linux -Meister angesehen und hat Bücher zum Thema messbarer Informationsabbau und Basistechnologie erstellt Das Sleuth -Kit. Daher können Kunden höchstwahrscheinlich sicher sein, dass sie einen anständigen Gegenstand erhalten, ein Gegenstand, der in naher Zukunft zu keinem Zeitpunkt verschwindet, und eines, das wahrscheinlich überall zu dem sein wird, was kommen wird.
