Анализ источника данных с помощью вскрытия

Опубликовано: 18 Декабря, 2021

Sleuth Kit - это библиотека и набор инструментов командной строки, используемых для исследования образов дисков. Autopsy - это программа с графическим интерфейсом для TSK. Здесь отображаются результаты криминалистического поиска, проведенного по изображениям. Эти результаты помогают исследователю находить соответствующие разделы данных в своем расследовании. Он используется правоохранительными, военными и корпоративными экспертами для расследования действий, совершенных на компьютере с доказательствами, однако его также можно использовать для восстановления удаленных данных с цифровых устройств.

Autopsy выполняет операции с образами дисков, которые могут быть созданы с помощью таких инструментов, как FTK Imager. Здесь используется уже созданное изображение. Вы можете скачать Autopsy отсюда, а образ диска, использованный в этой статье, отсюда.

1. Начало работы

Откройте вскрытие и создайте новое дело.

После выполнения обоих шагов нажмите « Готово».

2. Добавьте источник данных.

Выберите соответствующий тип источника данных.

  • Образ диска или файл виртуальной машины: включает образы, которые являются точной копией жесткого диска или карты памяти, или образа виртуальной машины.
  • Локальный диск: включает жесткий диск, флешку, карту памяти и т. Д.
  • Логические файлы. : Включает локальные папки или файлы.
  • Файл образа нераспределенного пространства : включает файлы, которые не содержат файловую систему, но должны быть загружены.

В качестве источника данных здесь используется образ диска. Добавьте место назначения источника данных.

Настроить модули приема.

Модули приема определяют факторы, для которых необходимо проанализировать данные в источнике данных. Вот краткий обзор каждого из них.

  • Недавние действия : обнаружение последних операций, выполненных с диском, например, файлов, которые просматривались в последний раз.
  • Поиск по хешу: идентификация файлов по хеш-значениям.
  • Идентификация типа файла: идентифицируйте файлы на основе их внутренних подписей, а не только файлов .extensions.
  • Детектор несоответствия расширений: определяет файлы, расширения которых подделаны / изменены, чтобы скрыть доказательства.
  • Встроенный экстрактор файлов: он извлекает встроенные файлы, такие как .zip, .rar и т. Д., И использует производный файл для анализа. Другим примером может быть изображение PNG, сохраненное в документе, чтобы оно отображалось как документ и, таким образом, скрыло важную информацию.
  • Синтаксический анализатор EXIF (Exchangeable Image File Format): он используется для получения метаданных о файлах, например, даты создания, геолокации и т. Д.
  • Поиск по ключевым словам: поиск определенного ключевого слова / шаблона в источнике данных.
  • Парсер электронной почты: если на диске содержится какая-либо база данных электронной почты, например, pst / ost-файлы Outlook, то информация из этих файлов может быть извлечена с помощью анализатора электронной почты.
  • Обнаружение шифрования: обнаруживает и идентифицирует зашифрованные / защищенные паролем файлы.
  • Интересный идентификатор файла: давайте установим собственные правила фильтрации данных. Экзаменатор уведомляется, когда обнаруживаются результаты, относящиеся к этим правилам.
  • Механизм корреляции: позволяет сохранять свойства в центральном репозитории, а затем извлекать их из него. Это помогает отображать коррелированные свойства.
  • PhotoRec Carver: Восстановление файлов, фотографий и т. Д. С нераспределенного пространства.
  • Средство извлечения виртуальных машин: извлекает и анализирует любую виртуальную машину, обнаруженную в источнике данных.
  • Целостность источника данных: вычисляет хеш-значения и сохраняет их в базе данных, если их еще нет. В противном случае он проверит хеш-значения, связанные с базой данных.
  • Plaso: извлекает временную метку для различных типов файлов.
  • Android Analyzer: анализируйте SQLite и другие файлы, полученные с устройства Android.

Выберите все, что будет служить целям вашего расследования, и нажмите «Далее». После добавления источника данных нажмите Готово. Для извлечения и анализа данных потребуется некоторое время буфера, в зависимости от размера источника данных.

3. Изучение источника данных:

Информация об источнике данных: Здесь показаны основные метаданные. Подробный анализ отображается в нижнем разделе. Эти данные могут быть извлечены в виде шестнадцатеричных значений, результатов, метаданных файла и т. Д.

Затем образ диска разбивается на разделы его тома.

Каждый том можно просмотреть на предмет его содержания, результаты которого отображаются в разделе внизу. Например, содержимое, показанное ниже, принадлежит Источникам данных -> Mantooth.E01 -> MSOCache-> [Родительская папка].

Просмотры (определяет фактор классификации файлов)

  • Тип файла : здесь файлы классифицируются в зависимости от их типа. Классификация может быть сделана на основе файла .extension или MIME-типа. Хотя оба из них дают подсказку о том, как работать с файлом, расширения файлов обычно используются ОС, чтобы решить, какая программа должна использоваться для открытия файла, а типы MIME используются браузером, чтобы решить, как представить данные. (или сервером о том, как интерпретировать полученные данные). Отображаемые здесь файлы также включают удаленные файлы.

  • Удаленные файлы: здесь можно найти информацию о специально удаленных файлах. Эти удаленные файлы также можно восстановить: щелкните правой кнопкой мыши файл, который нужно восстановить -> щелкните «Извлечь файл (ы)». -> Сохраните файл в соответствующем месте назначения.

  • Файлы размера МБ: здесь файлы классифицируются в зависимости от их размера. Диапазон начинается от 50МБ. Это позволяет исследователю определять исключительно большие файлы.

Примечание: обычно рекомендуется не сканировать и не извлекать какие-либо подозрительные файлы / диски, такие как файлы полезной нагрузки и т. Д. В основной системе, а сканировать их в безопасных средах, таких как виртуальная машина, а затем извлекать данные, поскольку они содержат возможность быть коррумпированной и может заразить систему экзаменатора вирусами.

Полученные результаты:

Все извлеченные данные просматриваются в Views / Data Source . В результатах мы получаем информацию об этих данных.

  • Извлеченный контент: каждый извлеченный контент, показанный ниже, может быть дополнительно исследован. Ниже кратко объясняется каждый из них.

  • Метаданные EXIF: он содержит все изображения .jpg, с которыми связаны метаданные EXIF, эти метаданные могут быть проанализированы дополнительно.
  • Обнаружение шифрования: обнаруживает файлы, защищенные / зашифрованные паролем.
  • Обнаружение несоответствия расширений: как объяснялось выше, это Определяет файлы, расширения которых не соответствуют их типам MIME, и поэтому они могут быть подозрительными.
  • Установленные программы: содержит подробную информацию о программном обеспечении, используемом пользователем. Эта информация извлекается с помощью куста реестра программного обеспечения.
  • Информация об операционной системе: предоставляет информацию об ОС с помощью куста реестра Windows и реестра программного обеспечения.
  • Учетная запись пользователя операционной системы: содержит информацию обо всех учетных записях пользователей, например, учетные записи, принадлежащие устройству, извлекаются из Software Hive, а учетные записи, связанные с Internet Explorer, с помощью файлов index.dat.
  • Недавние документы: список всех документов, к которым был получен доступ во время создания образа диска.
  • Корзина: здесь отображаются файлы, которые временно хранятся в системе перед окончательным удалением.
  • Удаленный диск: показывает информацию обо всех удаленных дисках, к которым осуществляется доступ с помощью системы.
  • Пакеты с оболочкой: Сумка с оболочкой - это набор ключей реестра, в которых хранятся сведения о просматриваемой папке, такие как ее положение, значок и размер. Все сумки Shell из системы можно посмотреть здесь.
  • USB-устройство подключено: здесь отображается вся информация о внешних устройствах, подключенных к системе. Эти данные извлекаются из реестра Windows, который на самом деле является поддерживаемой базой данных обо всех действиях, происходящих в системе.
  • Веб-файлы cookie: файлы cookie сохраняют информацию о пользователях с сайтов и, таким образом, предоставляют большой объем информации о действиях пользователя в Интернете.
  • История веб-поиска: здесь отображается вся подробная информация об истории браузера.
  • Поиск в Интернете: здесь отображаются сведения о выполненном поиске в Интернете.
  • Попадания по ключевым словам: Здесь можно искать определенные ключевые слова в образе диска. Для поиска можно выбрать несколько источников данных. Поиск может быть ограничен точным соответствием, соответствием подстроки и регулярным выражением, например, электронными письмами / IP-адресами и т. Д.

  • HashSet Hits: здесь поиск может быть выполнен с использованием хеш-значений.
  • Электронные сообщения: здесь можно просмотреть все файлы outlook.pst.

  • Интересные элементы: как обсуждалось ранее, это результаты файла, основанные на пользовательских правилах, установленных экзаменатором.
  • Учетные записи: Здесь отображаются все сведения об учетных записях, имеющихся на диске. На этом диске есть следующие учетные записи EMAIL.

  • Отчеты: отчеты обо всем анализе источника данных могут быть созданы и экспортированы во многих форматах.

Дополнительные возможности:

  • Добавить источник данных: каждый случай может содержать несколько источников данных.
  • Изображения / видео: изображения / видео в источнике данных можно просматривать в режиме галереи. Информация здесь отображается в виде пар атрибут-значение.

  • Коммуникации: здесь отображаются все коммуникации, сделанные с использованием исходного устройства. Это устройство имело связь только в виде электронных писем.

  • Геолокация: в этом окне отображаются артефакты с атрибутами долготы и широты в качестве путевых точек на карте. Здесь источник данных не имеет путевых точек.
  • Временная шкала: можно найти информацию о том, когда использовался компьютер или какие события произошли до или после данного события, это очень помогает в расследовании событий, близких к определенному времени.

В этой статье обсуждались почти все основные функции и то, как на самом деле работает вскрытие. Тем не менее, всегда рекомендуется просматривать различные источники выборочных данных, чтобы изучить их еще больше.

TechTips Как сделать

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Как рассчитать двухрядную корреляцию в Excel?
24 Февраля, 2023
Как создать лесной участок в Excel?
24 Февраля, 2023
Как выполнить Т-тесты в MS Excel?
24 Февраля, 2023
Как создать квартет Анскомба в Excel?
24 Февраля, 2023
Как установить VLC Media Player на Kali Linux с помощью терминала?
23 Февраля, 2023
Как установить MongoDB Bi Connector на RedHat Linux?
23 Февраля, 2023
Как установить MongoDB Bi Connector на Debian Linux?
23 Февраля, 2023
Как установить SQLite3 для Ruby в Linux?
23 Февраля, 2023