Phenquestions
Hozzon létre másolatot az USB-meghajtóról
Az első dolog, amit megcsinálunk, az USB meghajtó másolata. Ebben az esetben a rendszeres biztonsági mentés nem fog működni. Ez nagyon fontos lépés, és ha rosszul teszik, akkor az összes munka kárba veszik. A következő paranccsal felsorolhatja a rendszerhez csatolt összes meghajtót:
[e-mail védett]: ~ $ sudo fdisk -lLinux alatt a meghajtók neve eltér a Windows-tól. Linux rendszerben, hda és hdb használt (sda, sdb, SDK, stb.) az SCSI számára, ellentétben a Windows operációs rendszerrel.
Most, hogy megvan a meghajtó neve, létrehozhatjuk .dd kép apránként a dd a következő parancs megadásával:
[e-mail védett]: ~ $ sudo dd if = / dev / sdc1 of = usb.dd bs = 512 szám = 1ha= az USB-meghajtó helye
nak,-nek= az a rendeltetési hely, ahol a másolt kép tárolásra kerül (lehet helyi elérési út a rendszeren, pl.g. / home / user / usb.dd)
bs= az egyszerre másolni kívánt bájtok száma
A meghajtó eredeti képmásolatának igazolásához felhasználjuk hash a kép integritásának megőrzése érdekében. A hashelés kivonatot biztosít az USB-meghajtó számára. Ha egyetlen adatfájl megváltozik, a kivonat teljesen megváltozik, és tudni fogja, hogy a másolat hamis vagy eredeti-e. Generálunk egy md5 kivonatot a meghajtóról, így a meghajtó eredeti kivonatához képest senki sem kérdőjelezheti meg a másolat integritását.
[e-mail védett]: ~ $ md5sum usb.ddEz megadja a kép md5 kivonatát. Most megkezdhetjük a kriminalisztikai elemzésünket az USB-meghajtó ezen újonnan létrehozott képén, a kivonattal együtt.
Rendszerindító szektor elrendezése
A fájl parancs futtatásával visszaadja a fájlrendszert, valamint a meghajtó geometriáját:
[e-mail védett]: ~ $ fájl usb.ddrendben.dd: DOS / MBR rendszerindítási szektor, 0x58 + 2 kódeltolás, OEM-azonosító "MSDOS5".0 ",
szektorok / 8. klaszter, fenntartott szektorok 4392, médialeíró 0xf8,
szektorok / 63. sáv, 255-es fejek, rejtett szektorok 32, szektorok 1953760 (kötetek> 32 MB),
FAT (32 bites), szektorok / FAT 1900, fenntartva 0x1, sorozatszám 0x6efa4158, címkézetlen
Most használhatjuk a minfo eszköz az NTFS rendszerindítási szektor elrendezésének és a rendszerindítási szektor információinak megszerzéséhez a következő paranccsal:
[e-mail védett]: ~ $ minfo -i usb.ddeszköz adatai:
===================
fájlnév = "ok.dd "
szektor pályánként: 63
fejek: 255
hengerek: 122
mformat parancssor: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
boot szektor információk
======================
szalaghirdetés: "MSDOS5.0 "
szektor mérete: 512 bájt
klaszter mérete: 8 szektor
fenntartott (csomagtartó) szektorok: 4392
zsírok: 2
maximálisan elérhető gyökérkönyvtár-helyek: 0
kis méret: 0 szektor
médialeíró bájt: 0xf8
szektor zsíronként: 0
szektor pályánként: 63
fejek: 255
rejtett szektorok: 32
nagy méret: 1953760 szektor
fizikai meghajtó azonosítója: 0x80
fenntartva = 0x1
dos4 = 0x29
sorozatszám: 6EFA4158
lemezcímke = "NO NAME"
lemez típus = "FAT32"
Nagy fatlen = 1900
Kiterjesztett jelzők = 0x0000
FS verzió = 0x0000
rootCluster = 2
infoSektor helye = 1
backup boot szektor = 6
Infosector:
aláírás = 0x41615252
szabad fürtök = 243159
utolsó kiosztott klaszter = 15
Egy másik parancs, az fstat parancs segítségével általános ismert információk, például kiosztási struktúrák, elrendezés és rendszerindító blokkok szerezhetők be az eszköz képéről. Ehhez a következő parancsot fogjuk használni:
[email protected]: ~ $ fstat usb.dd--------------------------------------------
Fájlrendszer típusa: FAT32
OEM név: MSDOS5.0
Kötet azonosítója: 0x6efa4158
Kötetcímke (rendszerindító szektor): NINCS
Kötetcímke (gyökérkönyvtár): KINGSTON
Fájlrendszer típusú címke: FAT32
Következő ingyenes szektor (FS Info): 8296
Ingyenes szektorszám (FS Info): 1945272
Szektorok a fájlrendszer előtt: 32
Fájlrendszer elrendezése (szektorokban)
Teljes tartomány: 0 - 1953759
* Fenntartva: 0 - 4391
** Boot szektor: 0
** FS információs szektor: 1
** Biztonsági indító szektor: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Adat terület: 8192 - 1953759
** Klaszter területe: 8192 - 1953759
*** Gyökérkönyvtár: 8192 - 8199
METADATA INFORMÁCIÓK
--------------------------------------------
Tartomány: 2 - 31129094
Gyökérkönyvtár: 2
TARTALOMJEGYZÉK
--------------------------------------------
Ágazat mérete: 512
Klaszter mérete: 4096
Teljes klasztertartomány: 2 - 243197
ZSÍRTARTALOM (ágazatokban)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Törölt fájlok
A Sleuth Kit biztosítja a fls eszköz, amely az összes elérési utat, vagy a megadott képfájlt tartalmazza az összes fájl (különösen a nemrégiben törölt fájlok) számára. A törölt fájlokról bármilyen információ megtalálható a fls hasznosság. Írja be a következő parancsot az fls eszköz használatához:
[e-mail védett]: ~ $ fls -rp -f fat32 usb.ddr / r 3: KINGSTON (kötetcímke bejegyzés)
d / d 6: Információ a rendszer mennyiségéről
r / r 135: Rendszer mennyiségi információ / WPS beállítások.dat
r / r 138: Rendszer mennyiségi információ / IndexerVolumeGuid
r / r * 14: Trónok játéka 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Óceánok tizenkettő (2004)
r / r 45: A PC-I JEGYZŐKÖNYVE 23-ÁN.01.2020.docx
r / r * 49: LEC. PERCEK 10-ÉN.02.2020.docx
r / r * 50: windump.alkalmazás
r / r * 51: _WRL0024.tmp
r / r 55: LEC. PERCEK 10-ÉN.02.2020.docx
d / d * 57: Új mappa
d / d * 63: pályázati felhívás a hálózati infrastruktúra-berendezésekre
r / r * 67: Pályázati felhívás (Mega PC-I) II. szakasz.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: Pályázati felhívás (Mega PC-I) II. szakasz.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Itt megszereztük az összes vonatkozó fájlt. A következő operátorokat használtuk az fls paranccsal:
-o = minden helyreállított fájl teljes elérési útjának megjelenítésére szolgál
-r = az utak és mappák rekurzív megjelenítésére szolgál
-f = a használt fájlrendszer típusa (FAT16, FAT32 stb.)
A fenti kimenet azt mutatja, hogy az USB-meghajtó sok fájlt tartalmaz. A helyreállított törölt fájlok jelölése*”Jel. Láthatja, hogy valami nem normális a megnevezett fájlokkal $rossz_tartalom1, $rossz_tartalom2, $rossz_tartalom3, és windump.alkalmazás. A Windump egy hálózati forgalom-rögzítő eszköz. A windump eszköz segítségével olyan adatokat lehet rögzíteni, amelyeket nem ugyanazon számítógép számára szántak. A szándék abban mutatkozik meg, hogy a szoftver windumpnak konkrét célja a hálózati forgalom rögzítése, és szándékosan arra használták, hogy hozzáférést kapjon egy törvényes felhasználó személyes kommunikációjához.
Idősor elemzése
Most, hogy van egy képünk a fájlrendszerről, elvégezhetjük a kép MAC idővonal-elemzését egy idővonal előállításához, valamint a dátum és idő tartalmának szisztematikus, olvasható formátumban történő elhelyezéséhez. Mind a fls és ILS parancsokkal fel lehet építeni a fájlrendszer idővonal-elemzését. Az fls parancshoz meg kell adnunk, hogy a kimenet MAC idővonal kimeneti formátumban lesz. Ehhez futtatjuk a fls parancsot a -m jelölje meg és irányítsa át a kimenetet egy fájlba. A -m zászló a ILS parancs.
[e-mail védett]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls[e-mail védett]: ~ $ cat usb.fls
0 | / KINGSTON (kötetcímke bejegyzés) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Rendszer mennyiségi információ | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Rendszerkötetinformáció / WPSbeállítások.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Rendszer mennyiségi információ / Indexer VolumGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Trónok harca 1 720p x264 DDP 5.1 ESub - xRG.mkv (törölve) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Trónok harca 2 720p x264 DDP 5.1 ESub - xRG.mkv (törölve) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Trónok harca 3 720p x264 DDP 5.1 ESub - xRG.mkv (törölve) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Trónok harca 4 720p x264 DDP 5.1 ESub - xRG.mkv (törölve) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (törölve) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / PC-I JEGYZŐKÖNYVE 23-ÁN.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / 10 perc LEC-PERC.02.2020.docx (törölve) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (törölve) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (törölve) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / 10 perc LEC-PERC.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(törölve) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (törölve) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (törölve) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / Pályázati Értesítés (Mega PC-I) II. Szakasz.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Új mappa (törölve) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (törölve) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / Pályázati felhívás (Mega PC-I) II. Szakasz.docx (törölve) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (törölve) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (törölve) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / Pályázati Értesítés (Mega PC-I) II. Szakasz.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ bad_content 1 (törölve) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (törölve) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ rossz_tartalom 3 (törölve) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Futtassa a mactime eszköz az idővonal elemzéséhez a következő paranccsal:
[e-mail védett]: ~ $ cat usb.fls> usb.macA tényleges kimenet ember által olvasható formába konvertálásához írja be a következő parancsot:
[e-mail védett]: ~ $ mactime -b usb.mac> usb.mactime[e-mail védett]: ~ $ cat usb.mactime 2018. július 26., csütörtök, 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (törölve)
2018. július 26., kedd, 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Trónok harca 4 720p x264 DDP 5.1 ESub - (törölve)
47 m… - / rrwxrwxrwx 0 0 22930444 / Trónok harca 4 720p x264 DDP 5.1 ESub - (törölve)
353 m… - / rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESub - (törölve)
2018. július 27., péntek, 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / Rendszerkötet-információk / WPSbeállítások.dat
76 .a… r / rrwxrwxrwx 0 0 138 / Rendszer mennyiségi információ / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (törölve)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (törölve)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Trónok harca 3 720p x264 DDP 5.1 ESub 3 (törölve)
2020. január 31., péntek 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / PC-I PERCE 23-ÁN.01.2020.docx
2020. január 31., péntek, 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / PC-I PERCE 23-ÁN.01.2020.docx
2020. január 31., péntek, 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / A PC-I PERCE.01.2020.docx
2020. február 17., 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49/10 perc LEC-PERC.02.2020.docx (törölve)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (törölve)
2020. február 18., 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Trónok harca 2 720p x264 DDP 5.1 ESub - (törölve)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (törölve)
2020. február 18., kedd, 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Trónok játéka 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (törölve)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (törölve)
38208… b r / rrwxrwxrwx 0 0 55/10 perc LEC-PERC.02.2020.docx
2020. február 18., kedd, 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (törölve)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (törölve)
38208 .a… r / rrwxrwxrwx 0 0 55/10 perc LEC.02.2020.docx
2020. február 18., kedd, 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Trónok játéka 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (törölve)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (törölve)
38208… b r / rrwxrwxrwx 0 0 55/10 perc LEC-PERC.02.2020.docx
2020. február 18., kedd, 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (törölve)
38208 m… r / rrwxrwxrwx 0 0 55 / Trónok harca 3 720p x264 DDP 5.1 ESub -
2020. május 15., péntek 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Új mappa (törölve)
4096 .a… d / drwxrwxrwx 0 0 63 / pályázati felhívás a IIUI hálózati infrastrukturális berendezéseire (törölve)
56775 .a… r / rrwxrwxrwx 0 0 67 / Pályázati felhívás (Mega PC-I) II. szakasz.docx (törölve)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (törölve)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (törölve)
56783 .a… r / rrwxrwxrwx 0 0 73 / Pályázati közlemény (Mega PC-I) II. szakasz.docx
2020. május 15., péntek, 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Új mappa (törölve)
4096… b d / drwxrwxrwx 0 0 63 / pályázati felhívás IIUI hálózati infrastruktúra-berendezésekre (törölve)
2020. május 15., péntek, 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (törölve)
4096 m… d / drwxrwxrwx 0 0 63 / pályázati felhívás a IIUI hálózati infrastrukturális berendezéseire (törölve)
2020. május 15., péntek, 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (törölve)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (törölve)
2020. május 15., péntek, 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (törölve)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (törölve)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (törölve)
56783… b r / rrwxrwxrwx 0 0 73 / Pályázati felhívás (Mega PC-I) II. Szakasz.docx
2020. május 15., péntek, 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 windump.exe (törölve)
56783 m… r / rrwxrwxrwx 0 0 73 / Pályázati felhívás (Mega PC-I) II. Szakasz.docx
Az összes fájlt helyre kell állítani egy időbélyegzővel, ember által olvasható formátumban a fájlbanusb.mactime.”
Eszközök az USB Forensics elemzéséhez
Különböző eszközök használhatók a törvényszéki elemzések elvégzésére USB-meghajtón, mint pl Sleuth Kit boncolása, FTK Imager, Legelső, stb. Először megnézzük a Boncolás eszközt.
Boncolás
Boncolás különböző típusú képek, például az AFF (Advance Forensic Format) képek adatainak kinyerésére és elemzésére szolgál, .dd képek, nyers képek stb. Ez a program a törvényszéki nyomozók és a különböző bűnüldöző szervek által használt hatékony eszköz. A boncolás számos eszközből áll, amelyek segítségével a nyomozók hatékonyan és zökkenőmentesen végezhetik el a munkát. A Boncolás eszköz mind Windows, mind UNIX platformokhoz ingyenesen elérhető.
Az USB-kép boncolással történő elemzéséhez először létre kell hoznia egy esetet, beleértve a nyomozók nevének megírását, az eset nevének rögzítését és egyéb információs feladatokat. A következő lépés a folyamat kezdetén kapott USB-meghajtó forrásképének importálása a dd hasznosság. Ezután hagyjuk, hogy a Boncoló eszköz megtegye a legjobban.
A szolgáltatott információk mennyisége Boncolás óriási. A boncolás megadja az eredeti fájlneveket, és lehetővé teszi a könyvtárak és útvonalak megvizsgálását a vonatkozó fájlokkal kapcsolatos összes információval, például hozzáférhető, módosított, megváltozott, dátum, és idő. A metaadat-információk is lekérésre kerülnek, és az összes információt profi módon rendezik. A fájlkeresés megkönnyítése érdekében a Boncolás a Kulcsszavas keresés opció, amely lehetővé teszi a felhasználó számára, hogy gyorsan és hatékonyan keressen egy karakterláncot vagy számot a visszakeresett tartalmak közül.
A. Alkategória bal paneljén Fájl típusok, látni fogja a „Törölt fájlok”, Amely tartalmazza a kívánt meghajtókép törölt fájljait, a Metaadatok és az Idővonal elemzés összes információval együtt.
Boncolás a grafikus felhasználói felület (GUI) a parancssori eszközhöz Sleuth Kit és integritása, sokoldalúsága, könnyen használható jellege és gyors eredmények előállításának képessége miatt a legfelsőbb szinten található a törvényszéki világban. Az USB-eszközök kriminalisztikája ugyanolyan egyszerűen elvégezhető Boncolás mint bármely más fizetett eszköznél.
FTK Imager
Az FTK Imager egy másik nagyszerű eszköz, amelyet különböző típusú képek adatainak visszakeresésére és megszerzésére használnak. Az FTK Imager képes arra is, hogy bitről-képre másolatot készítsen, így egyetlen más eszköz sem dd vagy dcfldd szükséges erre a célra. A meghajtó ezen másolata tartalmazza az összes fájlt és mappát, a fel nem osztott és szabad területet, valamint a törölt fájlokat, amelyek kevés helyen maradnak. Az USB-meghajtókon végzett igazságügyi elemzés során az alapvető cél a támadási forgatókönyv rekonstruálása vagy újbóli létrehozása.
Most az FTK Imager eszköz segítségével megvizsgáljuk az USB kriminalisztikai elemzését egy USB-képen.
Először adja hozzá a képfájlt a FTK Imager kattintással Fájl >> Bizonyíték elem hozzáadása.
Most válassza ki az importálni kívánt fájl típusát. Ebben az esetben ez egy USB-meghajtó képfájlja.
Most írja be a képfájl teljes helyét. Ne feledje, hogy teljes lépést kell megadnia ehhez a lépéshez. Kattintson a gombra Befejez az adatgyűjtés megkezdéséhez, és hagyja FTK Imager végezze el a munkát. Egy idő után az eszköz biztosítja a kívánt eredményeket.
Itt az első dolog az ellenőrzés Kép integritása jobb gombbal kattintson a kép nevére, és válassza a lehetőséget Kép ellenőrzése. Az eszköz ellenőrzi, hogy a képinformációkhoz md5 vagy SHA1 illesztés illeszkedik-e, és azt is megmondja, hogy a képet manipulálták-e, mielőtt importálták volna a képbe FTK Imager eszköz.
Most, Export a megadott eredményeket a választott útvonalra úgy, hogy jobb gombbal kattint a kép nevére, és kiválasztja a Export elemzésének lehetősége. A FTK Imager létrehoz egy teljes adatnaplót a kriminalisztikai folyamatról, és ezeket a naplókat ugyanabba a mappába helyezi, mint a képfájlt.
Elemzés
A helyreállított adatok bármilyen formátumban lehetnek, például tar, zip (tömörített fájlokhoz), png, jpeg, jpg (képfájlokhoz), mp4, avi formátum (videofájlokhoz), vonalkódok, pdf-ek és más fájlformátumok. Elemeznie kell az adott fájlok metaadatait, és ellenőriznie kell a vonalkódokat a formájában QR-kód. Ez lehet egy png fájlban, és a ZBAR eszköz. A legtöbb esetben a docx és a pdf fájlokat használják a statisztikai adatok elrejtésére, ezért azokat tömöríteni kell. Kdbx fájlok nyithatók meg Keepass; lehet, hogy a jelszót más helyreállított fájlokban tárolták, vagy bármikor végrehajthatunk bruteforce-ot.
Legelső
A Foremost egy eszköz, amelyet a meghajtóképről törölt fájlok és mappák fejlécek és láblécek segítségével történő helyreállítására használnak. Megtekintjük a Foremost man oldalát, hogy felfedezhessünk néhány hatékony parancsot ebben az eszközben:
[e-mail védett]: ~ $ ember a legfontosabb-a Lehetővé teszi az összes fejléc írását, nem végez hibajelzést
sérült fájlokat.
-b szám
Lehetővé teszi a legelőször használt blokkméret megadását. Ez
releváns a fájlok elnevezése és a gyors keresések szempontjából. Az alapértelmezett
512. azaz. legelső -b 1024 kép.dd
-q (gyors mód):
Engedélyezi a gyors módot. Gyors módban csak az egyes szektorok kezdete
egyező fejléceket keres. Vagyis a fejléc
csak a leghosszabb fejléc hosszáig keresett. A maradék
az ágazat általában 500 bájtját figyelmen kívül hagyja. Ez a mód
a legfontosabbak futása lényegesen gyorsabb, de ez neked is késztetheti
hiányolja a más fájlokba ágyazott fájlokat. Például a
gyors módban nem talál beágyazott JPEG képeket
Microsoft Word dokumentumok.
A gyors mód nem használható az NTFS fájlrendszerek vizsgálatakor.
Mivel az NTFS kis fájlokat tárol a Master File Ta-ban
bl, ezek a fájlok hiányoznak a gyors módban.
-a Lehetővé teszi az összes fejléc írását, hibajelzés nélkül
sérült fájlokat.
-i (input) fájl:
Az i opcióval használt fájlt használjuk bemeneti fájlként.
Abban az esetben, ha nincs megadva bemeneti fájl, az stdin c.
Az i opcióval használt fájlt használjuk bemeneti fájlként.
Abban az esetben, ha nincs megadva bemeneti fájl, az stdin-t használják c-re.
A munka elvégzéséhez a következő parancsot fogjuk használni:
[e-mail védett]: ~ $ legelső usb.ddA folyamat befejezése után egy fájl lesz a /Kimenet nevű mappa szöveg az eredményeket tartalmazó.
Következtetés
Az USB-meghajtó kriminalisztika jó képesség, hogy bizonyítékokat kell lekérni és törölt fájlokat helyreállítani egy USB-eszközről, valamint azonosítani és megvizsgálni, hogy milyen számítógépes programokat használtak a támadásban. Ezután összeállíthatja azokat a lépéseket, amelyeket a támadó megtett a jogos felhasználó vagy áldozat állításainak bizonyítása vagy cáfolása érdekében. Annak biztosítása érdekében, hogy senki ne kerülje el az USB-adatokkal kapcsolatos számítógépes bűncselekményeket, az USB kriminalisztika elengedhetetlen eszköz. Az USB-eszközök kulcsfontosságú bizonyítékokat tartalmaznak a legtöbb törvényszéki esetben, és néha az USB-meghajtóról nyert törvényszéki adatok segíthetnek a fontos és értékes személyes adatok helyreállításában.
