USB -Forensik

Fr. Chris Frisch
USB -Forensik
Die Verwendung von USB Geräte zum Speichern personenbezogener Daten und Informationen steigen von Tag zu Tag aufgrund der Portabilität und der Plug-and-Play-Art dieser Geräte. A USB (Universal Serienbus) Das Gerät bietet Speicherkapazität von 2 GB bis 128 GB oder mehr. Aufgrund der heimlichen Natur dieser Geräte kann USB -Laufwerke zur Speicherung böswilliger und gefährlicher Programme und Dateien wie Paketschnüffler, Keylogger, böswillige Dateien usw. verwendet werden. böswillige Aufgaben durch Hacker und Drehbuchkinder ausführen. Wenn belastende Informationen wie Erpressung von einem USB -Gerät gelöscht werden, wird die USB -Forensik ins Spiel kommen, um die gelöschten Informationen abzurufen. Das Abrufen oder die Wiederherstellung gelöschter Daten von USB -Laufwerken ist das, was wir USB -Forensik bezeichnen. Dieser Artikel wird sich das professionelle Verfahren zur Durchführung der Forensikanalyse auf einem USB -Gerät ansehen.

Erstellen Sie das Kopiebild des USB -Laufwerks

Das erste, was wir tun werden, ist eine Kopie des USB -Laufwerks zu erstellen. In diesem Fall funktionieren regelmäßige Backups nicht. Dies ist ein sehr entscheidender Schritt, und wenn es falsch gemacht wird, wird die gesamte Arbeit verschwendet. Verwenden Sie den folgenden Befehl, um alle an das System angehängten Laufwerke aufzulisten:

Ubuntu@Ubuntu: ~ $ sudo fdisk -l

In Linux unterscheiden sich die Laufwerksnamen von Windows. In einem Linux -System, HDA Und HDB werden verwendet (SDA, SDB, SDC, usw.) für SCSI im Gegensatz zu Windows OS.

Jetzt, da wir den Laufwerksnamen haben, können wir seine erstellen .dd Bild Bit für Bit mit dem dd Dienstprogramm durch Eingabe des folgenden Befehls:

Ubuntu@Ubuntu: ~ $ sudo dd if =/dev/sdc1 von = USB.dd bs = 512 count = 1

Wenn= der Ort des USB -Laufwerks
von= Das Ziel, an dem das kopierte Bild gespeichert wird (kann ein lokaler Weg in Ihrem System sein, e.G. /home/user/USB.dd)
BS= die Anzahl der Bytes, die gleichzeitig kopiert werden

Um den Beweis dafür zu sichern, dass wir die Originalbildkopie des Laufwerks haben, werden wir verwenden Hashing um die Integrität des Bildes aufrechtzuerhalten. Hashing wird einen Hash für das USB -Laufwerk liefern. Wenn ein einziges Stück Daten geändert wird, wird der Hash vollständig geändert und man weiß, ob die Kopie gefälscht oder originell ist. Wir werden einen MD5 -Hash des Laufwerks generieren, damit im Vergleich zum ursprünglichen Hash des Laufwerks niemand die Integrität der Kopie in Frage stellen kann.

Ubuntu@Ubuntu: ~ $ md5sum USB.dd

Dies liefert einen MD5 -Hash des Bildes. Jetzt können wir unsere forensische Analyse zu diesem neu erstellten Bild des USB -Laufwerks zusammen mit dem Hash starten.

Bootsektor -Layout

Durch das Ausführen des Dateibefehls wird das Dateisystem sowie die Geometrie des Laufwerks zurückgegeben:

Ubuntu@Ubuntu: ~ $ Datei USB.dd
OK.DD: DOS/MBR-Startsektor, Codeversetzt 0x58+2, OEM-ID "msdos5.0 ",
Sektoren/Cluster 8, reservierte Sektoren 4392, Mediendeskriptor 0xf8,
Sektoren/Track 63, Köpfe 255, versteckte Sektoren 32, Sektoren 1953760 (Volumes> 32 MB),
Fett (32 Bit), Sektoren/Fett 1900, reserviert 0x1, Seriennummer 0x6EFA4158, nicht

Jetzt können wir die verwenden Minfo Tool, um das Layout des NTFS -Bootsektors und die Informationen zum Bootsektor über den folgenden Befehl zu erhalten:

Ubuntu@Ubuntu: ~ $ minfo -i USB.dd
Geräteinformation:
===================
Dateiname = "OK.DD "
Sektoren pro Spur: 63
Köpfe: 255
Zylinder: 122
MFormat -Befehlszeile: MFormat -t 1953760 -I ok.dd -h 255 -s 63 -h 32 ::
Startsektorinformationen
=======================
Banner: "msdos5.0 "
Sektorgröße: 512 Bytes
Clustergröße: 8 Sektoren
Reservierte Sektoren: 4392
Fette: 2
Max verfügbare Root Directory Slots: 0
kleine Größe: 0 Sektoren
Mediendeskriptor Byte: 0xf8
Sektoren pro Fett: 0
Sektoren pro Spur: 63
Köpfe: 255
versteckte Sektoren: 32
große Größe: 1953760 Sektoren
physische Antriebs -ID: 0x80
Reserviert = 0x1
dos4 = 0x29
Seriennummer: 6efa4158
Disk label = "Nein Name"
Disktyp = "fat32"
Big Fatlen = 1900
Verlängerte Flags = 0x0000
Fs Version = 0x0000
rootcluster = 2
Standort infosens = 1
Sicherungsstartsektor = 6
Infosektor:
Signatur = 0x41615252
freie Cluster = 243159
zuletzt zugewiesener Cluster = 15

Ein weiterer Befehl, der, der fstat Befehl kann verwendet werden, um allgemeine bekannte Informationen wie Zuordnungsstrukturen, Layout und Startblöcke über das Gerätbild zu erhalten. Wir werden den folgenden Befehl verwenden, um dies zu tun:

Ubuntu@Ubuntu: ~ $ fstat USB.dd
--------------------------------------------
Dateisystemtyp: FAT32
OEM -Name: MSDOS5.0
Volumen -ID: 0x6efa4158
Volumenetikett (Bootsektor): kein Name
Volumenetikett (Root Directory): Kingston
Dateisystemtyp Beschriftung: FAT32
Nächster kostenloser Sektor (FS -Info): 8296
Kostenlose Sektorzahl (FS -Info): 1945272
Sektoren vor Dateisystem: 32
Dateisystemlayout (in Sektoren)
Gesamtbereich: 0 - 1953759
* Reserviert: 0 - 4391
** Bootsektor: 0
** FS Info -Sektor: 1
** Backup -Bootsektor: 6
* Fett 0: 4392 - 6291
* Fett 1: 6292 - 8191
* Datenbereich: 8192 - 1953759
** Clusterbereich: 8192 - 1953759
*** Wurzelverzeichnis: 8192 - 8199
Metadateninformationen
--------------------------------------------
Bereich: 2 - 31129094
Stammverzeichnis: 2
Inhaltsinformationen
--------------------------------------------
Sektorgröße: 512
Clustergröße: 4096
Gesamtclusterbereich: 2 - 243197
Fettinhalt (in Sektoren)
--------------------------------------------
8192-8199 (8) -> eof
8200-8207 (8) -> eof
8208-8215 (8) -> eof
8216-8223 (8) -> eof
8224-8295 (72) -> eof
8392-8471 (80) -> eof
8584-8695 (112) -> eof

Dateien gelöscht

Der Sleuth Kit Bietet die FLS Tool, das alle Dateien (vor kurzem gelöschte Dateien) in jedem Pfad oder in der angegebenen Bilddatei bereitstellt. Alle Informationen zu gelöschten Dateien können mit dem gefunden werden FLS Dienstprogramm. Geben Sie den folgenden Befehl ein, um das FLS -Tool zu verwenden:

Ubuntu@Ubuntu: ~ $ fls -rp -f fat32 USB.dd
R/R 3: Kingston (Volume Label -Eintrag)
D/D 6: Systemvolumeninformationen
R/R 135: Systemvolumeninformationen/Wpettings.dat
R/R 138: Systemvolumeninformationen/Indexervolumeguid
R/R * 14: Game of Thrones 1 720p x264 DDP 5.1 ESUB - XRG.mkv
R/R * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESUB - XRG.mkv
R/R * 30: Game of Thrones 3 720p x264 DDP 5.1 ESUB - XRG.mkv
R/R * 38: Game of Thrones 4 720p x264 DDP 5.1 ESUB - XRG.mkv
D/D * 41: Ozeane zwölf (2004)
R/R 45: Minuten von PC-i gehalten am 23.01.2020.docx
R/R * 49: Minuten von LEC auf 10 gehalten.02.2020.docx
R/R * 50: Windump.exe
r/r * 51: _wrl0024.TMP
R/R 55: Minuten von LEC auf 10 gehalten.02.2020.docx
d/d * 57: neuer Ordner
D/D * 63: Ausschreibungs Mitteilung für Netzwerkinfrastrukturausrüstung
R/R * 67: Ausschreibungsbekanntmachung (Mega PC-I) Phase-II-II.docx
r/r * 68: _wrd2343.TMP
r/r * 69: _wrl2519.TMP
R/R 73: Ausschreibungsbekanntmachung (Mega PC-I) Phase-II-II.docx
v/v 31129091: $ mbr
v/v 31129092: $ fat1
v/v 31129093: $ fat2
D/D 31129094: $ Orphanfiles
-/r * 22930439: $ bad_content1
-/r * 22930444: $ bad_content2
-/r * 22930449: $ bad_content3

Hier haben wir alle relevanten Dateien erhalten. Die folgenden Operatoren wurden mit dem FLS -Befehl verwendet:

-P = verwendet, um den vollständigen Pfad jeder wiederhergestellten Datei anzuzeigen
-R = verwendet, um die Pfade und Ordner rekursiv anzuzeigen
-F = der verwendete Dateisystemtyp (FAT16, FAT32 usw.)

Die obige Ausgabe zeigt, dass das USB -Laufwerk viele Dateien enthält. Die wiederhergestellten gelöschten Dateien sind mit einem notiert “*" Zeichen. Sie können sehen, dass bei den benannten Dateien etwas nicht normal ist $bad_content1, $bad_content2, $bad_content3, Und Windumm.exe. Windump ist ein Tool für Netzwerkverkehrsaufnahmen. Mit dem Windump -Tool kann man Daten erfassen, die nicht für denselben Computer bestimmt sind. Die Absicht wird in der Tatsache gezeigt.

Timeline -Analyse

Nachdem wir ein Bild des Dateisystems haben, können wir die MAC -Timeline -Analyse des Bildes durchführen, um eine Zeitleiste zu generieren und den Inhalt mit Datum und Uhrzeit in einem systematischen, lesbaren Format zu platzieren. Beide FLS Und ils Befehle können verwendet werden, um eine Timeline -Analyse des Dateisystems zu erstellen. Für den Befehl FLS müssen wir angeben, dass die Ausgabe im Mac -Timeline -Ausgangsformat vorliegt. Um dies zu tun, werden wir die leiten FLS Befehl mit dem -M Fahnen Sie und leiten Sie die Ausgabe in eine Datei um und leiten Sie sie um. Wir werden auch die verwenden -M Flagge mit dem ils Befehl.

Ubuntu@Ubuntu: ~ $ fls -m / -rp -f fat32 OK.DD> USB.FLS
Ubuntu@Ubuntu: ~ $ cat USB.FLS
0 |/kingston (Volumenetiketteintrag) | 3 | r/rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
0 |/Systemvolumeninformationen | 6 | D/DR-XR-XR-X | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 153115906
0 |/Systemvolumeninformationen/Wpettings.dat | 135 | r/rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 |/Systemvolumeninformationen/Indexervolumeguid | 138 | r/rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESUB - XRG.MKV (gelöscht) | 14 | r/rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESUB - XRG.MKV (gelöscht) | 22 | r/rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 |/Game of Thrones 3 720p x264 DDP 5.1 ESUB - XRG.MKV (gelöscht) | 30 | r/rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 153114448 | 0 | 1531121607
0 |/Game of Thrones 4 720p x264 DDP 5.1 ESUB - XRG.MKV (gelöscht) | 38 | r/rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 |/Ozeane zwölf (2004) (gelöscht) | 41 | d/drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 15326268322
0 |/Minuten von PC-I am 23 gehalten.01.2020.docx | 45 | r/rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 |/Minuten von LEC auf 10 gehalten.02.2020.docx (gelöscht) | 49 | r/rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/_wrd3886.tmp (gelöscht) | 50 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 |/_wrl0024.TMP (gelöscht) | 51 | r/rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/Minuten von LEC auf 10 gehalten.02.2020.docx | 55 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 15820046322
(gelöscht) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_wrd2343.tmp (gelöscht) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_wrl2519.TMP (gelöscht) | 69 | r/rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Ausschreibungsbekanntmachung (Mega PC-I) Phase-II.docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v ---------- | 0 | 0 | 512 | 0 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | v/v ---------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0 | 0
0 |/neuer Ordner (gelöscht) | 57 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windelt.exe (gelöscht) | 63 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 |/Ausschreibungsbekanntmachung (Mega PC-I) Phase-II.docx (gelöscht) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_wrd2343.tmp (gelöscht) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_wrl2519.TMP (gelöscht) | 69 | r/rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Ausschreibungsbekanntmachung (Mega PC-I) Phase-II.docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v ---------- | 0 | 0 | 512 | 0 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | v/v ---------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0 | 0
0 |/$ Orphanfiles | 31129094 | D/D ---------- | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 |/$$ bad_content 1 (gelöscht) | 22930439 |-/rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ bad_content 2 (gelöscht) | 22930444 |-/rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ bad_content 3 (gelöscht) | 22930449 |-/rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821

Leiten Sie die Maktime Tool, um die Timeline -Analyse mit dem folgenden Befehl zu erhalten:

Ubuntu@Ubuntu: ~ $ cat USB.FLS> USB.Mac

Geben Sie den folgenden Befehl ein, um diese Mactime-Ausgabe in die menschliche lesbare Form umzuwandeln:

Ubuntu@Ubuntu: ~ $ mactime -b USB.Mac> USB.Maktime
Ubuntu@Ubuntu: ~ $ cat USB.Maktime
Do 26. Juli 2018 22:57:02 0 m… d /drwxrwxrwx 0 0 41 /Ozeane zwölf (2004) (gelöscht)
Thu 26. Juli 2018 22:57:26 59 m… - /rrwxrwxrwx 0 0 22930439 /Game of Thrones 4 720p x264 DDP 5.1 ESUB -(gelöscht)
47 m… - /rrwxrwxrwx 0 0 22930444 /Game of Thrones 4 720p x264 DDP 5.1 ESUB - (gelöscht)
353 m… -/rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESUB - (gelöscht)
Fr 27. Juli 2018 00:00:00 12 .A… r/rrwxrwxrwx 0 0 135/Systemvolumeninformationen/Wpettings.dat
76 .A… r/rrwxrwxrwx 0 0 138/Systemvolumeninformationen/Indexervolumeguid
59 .A… - /rrwxrwxrwx 0 0 22930439 /Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (gelöscht)
47 .A… -/rrwxrwxrwx 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (gelöscht)
353 .A… - /rrwxrwxrwx 0 0 22930449 /Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (gelöscht)
Fr 31. Januar 2020 00:00:00 33180 .A… r /rrwxrwxrwx 0 0 45 /Minuten von PC-I am 23.01.2020.docx
Fr 3 Januar 2020 12:20:38 33180 m… r /rrwxrwxrwx 0 0 45 /Minuten von PC-I Halten am 23.01.2020.docx
Fr 3 Januar 2020 12:21:03 33180… B r /rrwxrwxrwx 0 0 45 /Minuten von PC-I HALTEN 23.01.2020.docx
Mo 17. Februar 2020 14:36:44 46659 m… r /rrwxrwxrwx 0 0 49 /Minuten von LEC auf 10 gehalten.02.2020.docx (gelöscht)
46659 m… R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (gelöscht)
Di 18 Februar 2020 00:00:00 46659 .A… r /rrwxrwxrwx 0 0 49 /Game of Thrones 2 720p x264 DDP 5.1 ESUB -(gelöscht)
38208 .A… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (gelöscht)
Di 18 Februar 2020 10:43:52 46659… B R /rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESUB -
38208… B r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (gelöscht)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (gelöscht)
38208… B r /rrwxrwxrwx 0 0 55 /Minuten von LEC auf 10 gehalten.02.2020.docx
Di 18 Februar 2020 11:13:16 38208 m… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (gelöscht)
46659 .A… R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (gelöscht)
38208 .A… r /rrwxrwxrwx 0 0 55 /Minuten von LEC auf 10 gehalten.02.2020.docx
Di 18 Februar 2020 10:43:52 46659… B R /rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESUB -
38208… B r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (gelöscht)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (gelöscht)
38208… B r /rrwxrwxrwx 0 0 55 /Minuten von LEC auf 10 gehalten.02.2020.docx
Di 18 Februar 2020 11:13:16 38208 m… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (gelöscht)
38208 m… r /rrwxrwxrwx 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 ESUB -
Fr 15 Mai 2020 00:00:00 4096 .A… d /drwxrwxrwx 0 0 57 /neuer Ordner (gelöscht)
4096 .A… D /DRWXRWXRWX 0 0 63 /Ausschreibungsbekanntmachung für Netzwerkinfrastrukturgeräte für IIUI (gelöscht)
56775 .A… r /rrwxrwxrwx 0 0 67 /Ausschreibungsnotiz (Mega PC-I) Phase-II.docx (gelöscht)
56783 .A… r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (gelöscht)
56775 .A… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (gelöscht)
56783 .A… r /rrwxrwxrwx 0 0 73 /Ausschreibungsnotiz (Mega PC-I) Phase-II.docx
Fr, 15. Mai 2020 12:39:42 4096… B d /drwxrwxrwx 0 0 57 /neuer Ordner (gelöscht)
4096… B D /DRWXRWXRWX 0 0 63 /Ausschreibungs Mitteilung für Netzwerkinfrastrukturgeräte für IIUI (gelöscht)
Fr, 15. Mai 2020 12:39:44 4096 M… d/drwxrwxrwx 0 0 57 $$ Bad_Content 3 (gelöscht)
4096 m… d /drwxrwxrwx 0 0 63 /Ausschreibungshinweis für Netzwerkinfrastrukturausrüstung für IIUI (gelöscht)
Fr, 15. Mai 2020 12:43:18 56775 m… r/rrwxrwxrwx 0 0 67 $$ BAD_CONTENT 1 (gelöscht)
56775 m… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (gelöscht)
Fr. Mai 15. Mai 2020 12:45:01 56775… B r/rrwxrwxrwx 0 0 67 $$ Bad_Content 2 (gelöscht)
56783… B r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (gelöscht)
56775… B R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (gelöscht)
56783… B r /rrwxrwxrwx 0 0 73 /Ausschreibungsnotiz (Mega PC-I) Phase-II.docx
Fr. Mai 15. Mai 2020 12:45:36 56783 m… r/rrwxrwxrwx 0 0 68 Windump.exe (gelöscht)
56783 m… r /rrwxrwxrwx 0 0 73 /Ausschreibungsnotiz (Mega PC-I) Phase-II.docx

Alle Dateien sollten mit einem Zeitstempel in einem menschlich lesbaren Format in der Datei wiederhergestellt werdenUSB.Maktime.”

Tools für die USB -Forensikanalyse

Es gibt verschiedene Tools, mit denen die Forensikanalyse auf einem USB -Laufwerk durchgeführt werden kann, wie z SLEUTH KIT Autopsie, FTK -Imager, In erster Linie, usw. Erstens werden wir uns das Autopsie -Werkzeug ansehen.

Autopsie

Autopsie wird verwendet, um Daten aus verschiedenen Arten von Bildern zu extrahieren und zu analysieren, z. B. AFF -Bilder (Advance Forensic Format), .DD -Bilder, Rohbilder usw. Dieses Programm ist ein leistungsstarkes Tool, das von forensischen Ermittlern und verschiedenen Strafverfolgungsbehörden verwendet wird. Autopsie besteht aus vielen Tools, mit denen Ermittler die Arbeit effizient und reibungslos erledigen können. Das Autopsie -Tool ist sowohl für Windows- als auch für UNIX -Plattformen kostenlos zur Verfügung.

Um ein USB -Bild mit Autopsie zu analysieren, müssen Sie zunächst einen Fall erstellen, einschließlich des Schreibens der Namen der Ermittler, der Aufzeichnung des Fallnamens und anderer Informationsaufgaben. Der nächste Schritt besteht darin, das Quellbild des USB -Laufwerks zu Beginn des Prozesses mit dem zu importieren dd Dienstprogramm. Dann lassen wir das Autopsie -Tool das tun, was es am besten kann.

Die Menge an Informationen von bereitgestellt von Autopsie ist enorm. Autopsie stellt die ursprünglichen Dateinamen an und ermöglicht es Ihnen auch, die Verzeichnisse und Pfade mit allen Informationen zu den relevanten Dateien wie z. B. zu untersuchen Zugriff, geändert, geändert, Datum, Und Zeit. Die Metadateninformationen werden ebenfalls abgerufen und alle Informationen werden professionell sortiert. Um die Dateisuche zu vereinfachen, bietet Autopsie a Schlagwortsuche Option, mit der der Benutzer schnell und effizient eine Zeichenfolge oder eine Nummer unter den abgerufenen Inhalten durchsucht kann.

Im linken Feld der Unterkategorie von Datentypen, Sie werden eine Kategorie mit dem Namen "sehen"Dateien gelöscht”Mit den gelöschten Dateien aus dem gewünschten Laufwerksbild mit allen Informationen zur Metadaten- und Timeline -Analyse enthalten.

Autopsie ist eine grafische Benutzeroberfläche (GUI) für das Befehlszeilen-Tool Sleuth Kit und befindet sich aufgrund ihrer Integrität, der Vielseitigkeit, ihrer benutzerfreundlichen Natur und der Fähigkeit, schnelle Ergebnisse zu erzielen. USB -Geräte -Forensik kann so einfach durchgeführt werden Autopsie wie bei jedem anderen bezahlten Tool.

FTK -Imager

Der FTK -Imager ist ein weiteres großartiges Tool, das zum Abrufen und Erwerb von Daten aus verschiedenen Bereitstellungen verwendet wird. Der FTK-Imager kann auch eine Bit-by-Bit-Bildkopie erstellen, damit kein anderes Werkzeug wie dd oder dcfldd wird für diesen Zweck benötigt. Diese Kopie des Laufwerks enthält alle Dateien und Ordner, den nicht zugewiesenen und freien Speicherplatz sowie die gelöschten Dateien,. Das grundlegende Ziel hier bei der Durchführung einer forensischen Analyse zu USB -Laufwerken ist es, das Angriffsszenario zu rekonstruieren oder neu zu erstellen.

Wir werden nun einen Blick darauf werfen, die USB -Forensikanalyse auf einem USB -Bild mit dem FTK -Imagator -Tool durchzuführen.

Fügen Sie zunächst die Bilddatei hinzu zu FTK -Imager Beim Klicken Datei >> Evidenzelement hinzufügen.

Wählen Sie nun die Art der Datei aus, die Sie importieren möchten. In diesem Fall handelt es sich um eine Bilddatei eines USB -Laufwerks.

Geben Sie nun den vollständigen Speicherort der Bilddatei ein. Denken Sie daran, Sie müssen einen vollständigen Weg für diesen Schritt bieten. Klicken Beenden Datenerfassung zu beginnen und das zu lassen FTK -Imager mach den Job. Nach einiger Zeit liefert das Tool die gewünschten Ergebnisse.

Hier ist das erste, was Sie tun können, zu überprüfen Bildintegrität Durch Klicken Sie mit der rechten Maustaste auf den Bildnamen und auswählen Bild überprüfen. Das Tool prüft, ob die Bildinformationen mit den MD5- oder SHA1 -Hashes übereinstimmen, und zeigt Ihnen auch, ob das Bild vor dem Importieren in das importiert wurde FTK -Imager Werkzeug.

Jetzt, Export Die angegebenen Ergebnisse zum Pfad Ihrer Wahl, indem Sie mit der rechten Maustaste auf den Bildnamen klicken und die auswählen Export Option, es zu analysieren. Der FTK -Imager Erstellt ein vollständiges Datenprotokoll des Forensikprozesses und platziert diese Protokolle in denselben Ordner wie die Bilddatei.

Analyse

Die wiederhergestellten Daten können in jedem Format wie TAR, ZIP (für komprimierte Dateien), PNG, JPEG, JPG (für Bilddateien), MP4, AVI -Format (für Videodateien), Barcodes, PDFs und andere Dateiformate erfolgen. Sie sollten die Metadaten der angegebenen Dateien analysieren und nach Barcodes in Form von a überprüfen QR-Code. Dies kann in einer PNG -Datei erfolgen und mit dem abgerufen werden Zbar Werkzeug. In den meisten Fällen werden DOCX- und PDF -Dateien verwendet, um statistische Daten zu verbergen, sodass sie unkomprimiert sein müssen. KDBX Dateien können durch geöffnet werden Halten; Das Passwort wurde möglicherweise in anderen wiederhergestellten Dateien gespeichert, oder wir können jederzeit Bruteforce ausführen.

In erster Linie

In erster Linie ist ein Tool, das verwendet wird, um gelöschte Dateien und Ordner aus einem Laufwerksbild mit Header und Fußzeilen wiederherzustellen. Wir werden einen Blick auf die Mannschaft von The Man ansehen, um einige leistungsstarke Befehle zu erkunden, die in diesem Tool enthalten sind:

Ubuntu@Ubuntu: ~ $ MAN WORMOSTEN
-A ermöglicht das Schreiben aller Header. Führen Sie in Begriffen keine Fehlererkennung durch
von beschädigten Dateien.
-B -Nummer
Ermöglicht Ihnen die Blockgröße an, die in erster Stelle verwendet wird. Das ist
Relevant für die Namensnamen und Schnellsuche. Der Standard ist
512. dh. vorderster -B 1024 Bild.dd
-Q (Schnellmodus):
Aktiviert den schnellen Modus. Im schnellen Modus nur der Beginn jedes Sektors
wird nach passenden Headern gesucht. Das heißt, der Kopfball ist
nur bis zur Länge des längsten Headers gesucht. Der Rest
des Sektors, normalerweise etwa 500 Bytes, wird ignoriert. Dieser Modus
läuft nach dem Wesentlichkeit erheblich schneller, aber es kann dazu führen, dass Sie dazu führen
Miss Dateien, die in andere Dateien eingebettet sind. Zum Beispiel verwenden
Schnellmodus können Sie nicht in der Lage sein, JPEG -Bilder eingebettet zu finden
Microsoft Word -Dokumente.
Der Schnellmodus sollte bei der Untersuchung von NTFS -Dateisystemen nicht verwendet werden.
Da NTFS kleine Dateien in der Master -Datei ta- speichert
Ble, diese Dateien werden im schnellen Modus übersehen.
-A ermöglicht das Schreiben aller Header. Führen Sie in Begriffen keine Fehlererkennung durch
von beschädigten Dateien.
-I (Eingabe) Datei:
Die mit der I -Option verwendete Datei wird als Eingabedatei verwendet.
In dem Fall, dass keine Eingabedatei angegeben ist, wird STDIN verwendet, um c.

Die mit der I -Option verwendete Datei wird als Eingabedatei verwendet.

In dem Fall, dass keine Eingabedatei angegeben ist, wird STDIN verwendet, um c.

Um den Job zu erledigen, verwenden wir den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ nachemost USB.dd

Nach Abschluss des Vorgangs gibt es eine Datei in der /Ausgang Ordner genannt Text die Ergebnisse enthalten.

Abschluss

USB Drive -Forensik ist eine gute Fähigkeit, um Beweise abzurufen und gelöschte Dateien von einem USB. Dann können Sie die Schritte ausführen, die der Angreifer möglicherweise unternommen hat, um die Ansprüche des legitimen Benutzer oder des Opfers zu beweisen oder zu widerlegen. Um sicherzustellen, dass niemand mit einem Cyber-Verbrechen mit USB-Daten davonkommt, ist USB-Forensik ein wesentliches Werkzeug. USB -Geräte enthalten wichtige Beweise in den meisten Forensik -Fällen, und manchmal können die Forensikdaten, die aus einem USB -Laufwerk erhalten wurden.

Git
So erzwingen Sie Git Checkout?
Um die Git-Checkout zu erzwingen, wechseln Sie zum GIT-Root-Repository> LS> Start> Git Add> GIT-Stat...
Prof. Dr. Julien Plank
Zwangsversteigerung
Salesforce Apex - Datumsformat
Praktisches Tutorial zum Erstellen des Datums aus String in Salesforce und konvertieren Sie das Datu...
Lars Daub
C -Programmierung
C Benutzerdefinierte Funktionen gegen Bibliotheksfunktionen
Die benutzerdefinierten Funktionen in C werden von Entwicklern und Bibliotheksfunktionen integriert....
Ansgar Radtke
Python
Python Math Exp
Christopher Lammert
Python
Python Count Charaktere in String
Jessica Schimmer
Docker
Was ist der Unterschied zwischen Docker und Podman?
Christopher Lammert
Php
So holen Sie die PHP -TimeZone -Liste
Jean Dengler
JavaScript
So verwenden Sie die MouseEvent ScreenX -Eigenschaft in JavaScript
Jessica Schimmer
Docker
So verwenden Sie den Befehl „Docker Copy“, um eine Datei von einem Docker -Container auf den Host -Computer zu übertragen?
Hussein Burkhard
Java
Was ist Import Java.io.*; in Java?
Ansgar Radtke
AWS
Was ist der Unterschied zwischen AWS Aurora und MySQL?
Frederik Rodehau
AWS
Warum sollte ich AWS -Organisationen verwenden??
Mohamed Flore
c scharf
So verwenden Sie ein langes Schlüsselwort in C#
Jean Dengler