Phenquestions
Направите копију слике УСБ погона
Прво што ћемо урадити је да направимо копију УСБ погона. У овом случају, редовне резервне копије неће радити. Ово је врло пресудан корак, а ако се уради погрешно, сав посао ће пропасти. Користите следећу команду да бисте пописали све дискове прикључене на систем:
[заштићена е-поштом]: ~ $ судо фдиск -лУ Линуку се називи дискова разликују од Виндовс-а. У Линук систему, хда и хдб се користе (сда, сдб, сдц, итд.) за СЦСИ, за разлику од Виндовс ОС-а.
Сада када имамо назив погона, можемо да га креирамо .дд слика мало по мало са дд услужни програм уношењем следеће наредбе:
[заштићен е-поштом]: ~ $ судо дд иф = / дев / сдц1 оф = усб.дд бс = 512 бројање = 1ако= локација УСБ погона
од= одредиште на којем ће се чувати копирана слика (може бити локална путања на вашем систему, нпр.г. / хоме / усер / усб.дд)
бс= број бајтова који ће се истовремено копирати
Да бисмо осигурали доказ да поседујемо оригиналну копију слике уређаја, користићемо га хеширање да би се одржао интегритет слике. Хасхинг ће обезбедити хеш за УСБ погон. Ако се промени један бит података, хеш ће се променити у потпуности и знаће се да ли је копија лажна или оригинална. Генерираћемо мд5 хеш диска тако да, у поређењу са оригиналним хешом диска, нико не може довести у питање интегритет копије.
[емаил заштићен]: ~ $ мд5сум усб.ддОво ће обезбедити мд5 хеш слике. Сада можемо започети нашу форензичку анализу на овој новоствореној слици УСБ диска, заједно са хешом.
Изглед покретачког сектора
Покретањем наредбе филе вратиће систем датотека, као и геометрију уређаја:
[заштићен е-поштом]: ~ $ датотека усб.ддУ реду.дд: ДОС / МБР боот сектор, помак кода 0к58 + 2, ОЕМ-ИД "МСДОС5.0 ",
сектори / кластер 8, резервисани сектори 4392, дескриптор медија 0кф8,
сектори / стаза 63, главе 255, скривени сектори 32, сектори 1953760 (запремине> 32 МБ),
ФАТ (32 бит), сектори / ФАТ 1900, резервисан 0к1, серијски број 0к6ефа4158, необележен
Сада можемо користити минфо алат за добијање изгледа НТФС система за покретање и информација о сектору за покретање путем следеће наредбе:
[емаил заштићен]: ~ $ минфо -и усб.ддинформације о уређају:
===================
филенаме = "ок.дд "
сектори по колосеку: 63
грла: 255
цилиндри: 122
мформат командна линија: мформат -Т 1953760 -и ок.дд -х 255 -с 63 -Х 32 ::
информације о боот систему
======================
натпис: „МСДОС5.0 "
величина сектора: 512 бајтова
величина кластера: 8 сектора
резервисани (боот) сектори: 4392
масти: 2
максимално доступних места за основни директоријум: 0
мала величина: 0 сектора
бајт дескриптора медија: 0кф8
сектори по масти: 0
сектори по колосеку: 63
грла: 255
скривени сектори: 32
велика величина: 1953760 сектора
ИД физичког погона: 0к80
резервисано = 0к1
дос4 = 0к29
серијски број: 6ЕФА4158
ознака диска = "НО НАМЕ"
тип диска = "ФАТ32"
Велики тов = 1900
Проширене заставе = 0к0000
Верзија ФС = 0к0000
роотЦлустер = 2
локација инфоСектора = 1
резервни сектор за покретање = 6
Инфосектор:
потпис = 0к41615252
слободни кластери = 243159
последњи додељени кластер = 15
Друга команда, фстат наредба, може се користити за добијање општепознатих информација, као што су структуре алокације, изглед и блокови покретања, о слици уређаја. За то ћемо користити следећу команду:
[заштићен е-поштом]: ~ $ фстат усб.дд--------------------------------------------
Тип система датотека: ФАТ32
ОЕМ име: МСДОС5.0
ИД свеске: 0к6ефа4158
Ознака волумена (сектор за покретање): НО НАМЕ
Ознака волумена (основни директоријум): КИНГСТОН
Ознака типа датотечног система: ФАТ32
Следећи слободни сектор (информације о ФС): 8296
Бројање слободног сектора (ФС информације): 1945272
Сектори пре система датотека: 32
Изглед система датотека (у секторима)
Укупан опсег: 0 - 1953759
* Резервисано: 0 - 4391
** Покретачки сектор: 0
** Информативни сектор ФС: 1
** Резервни покретачки сектор: 6
* ФАТ 0: 4392 - 6291
* ФАТ 1: 6292 - 8191
* Подручје података: 8192 - 1953759
** Подручје кластера: 8192 - 1953759
*** Коренски директоријум: 8192 - 8199
ИНФОРМАЦИЈЕ О МЕТАДАТИМА
--------------------------------------------
Домет: 2 - 31129094
Коренски директоријум: 2
САДРЖАЈ ИНФОРМАЦИЈЕ
--------------------------------------------
Величина сектора: 512
Величина кластера: 4096
Укупан опсег кластера: 2 - 243197
САДРЖАЈ МАСТИ (у секторима)
--------------------------------------------
8192-8199 (8) -> ЕОФ
8200-8207 (8) -> ЕОФ
8208-8215 (8) -> ЕОФ
8216-8223 (8) -> ЕОФ
8224-8295 (72) -> ЕОФ
8392-8471 (80) -> ЕОФ
8584-8695 (112) -> ЕОФ
Избрисане датотеке
Тхе Слеутх Кит пружа флс алат, који пружа све датотеке (посебно недавно избрисане датотеке) у свакој путањи или у датој датотеци слике. Све информације о избрисаним датотекама можете пронаћи помоћу флс корисност. Унесите следећу наредбу да бисте користили алатку флс:
[заштићен е-поштом]: ~ $ флс -рп -ф фат32 усб.ддр / р 3: КИНГСТОН (унос ознаке за количину)
д / д 6: Информације о запремини система
р / р 135: Информације о количини система / ВПС поставке.дат
р / р 138: Информације о обиму система / ИндекерВолумеГуид
р / р * 14: Гаме оф Тхронес 1 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв
р / р * 22: Гаме оф Тхронес 2 (Претцакалп) 720 к264 ДДП 5.1 ЕСуб - кРГ.мкв
р / р * 30: Гаме оф Тхронес 3 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв
р / р * 38: Гаме оф Тхронес 4 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв
д / д * 41: Океани дванаест (2004)
р / р 45: МИНУТИ ПЦ-И ОДРЖАНИ 23.01.2020.доцк
р / р * 49: МИНУТИ ЛЕЦА ОДРЖАНИ 10.02.2020.доцк
р / р * 50: вјетровина.еке
р / р * 51: _ВРЛ0024.тмп
р / р 55: МИНУТИ ЛЕЦА ОДРЖАНИ 10.02.2020.доцк
д / д * 57: Нова фасцикла
д / д * 63: обавештење о тендеру за опрему мрежне инфраструктуре
р / р * 67: ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк
р / р * 68: _ВРД2343.тмп
р / р * 69: _ВРЛ2519.тмп
р / р 73: ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк
в / в 31129091: $ МБР
в / в 31129092: $ ФАТ1
в / в 31129093: $ ФАТ2
д / д 31129094: $ ОрпханФилес
-/ р * 22930439: $ бад_цонтент1
-/ р * 22930444: $ бад_цонтент2
-/ р * 22930449: $ бад_цонтент3
Овде смо добили све релевантне датотеке. Следећи оператери су коришћени са командом флс:
-стр = користи се за приказ пуне путање сваке опорављене датотеке
-р = користи се за рекурзивни приказ путања и фасцикли
-ф = врста система датотека који се користи (ФАТ16, ФАТ32, итд.)
Горњи излаз показује да УСБ погон садржи много датотека. Опорављене избрисане датотеке бележе се са „*”Знак. Можете видети да са именованим датотекама нешто није нормално $бад_цонтент1, $бад_цонтент2, $бад_цонтент3, и виндумп.еке. Виндумп је алат за хватање мрежног промета. Помоћу алата виндумп могу се ухватити подаци који нису намењени истом рачунару. Намера се показује у чињеници да софтверска вјетробрана има посебну сврху да ухвати мрежни промет и да је намерно коришћена за добијање приступа личним комуникацијама легитимног корисника.
Анализа временског следа
Сада када имамо слику система датотека, можемо извршити МАЦ временску анализу слике како бисмо генерисали временску линију и ставили садржај са датумом и временом у систематски, читљив формат. Оба флс и илс наредбе се могу користити за изградњу временске анализе система датотека. За команду флс морамо да одредимо да ће излаз бити у МАЦ временском формату излазне линије. Да бисмо то урадили, покренућемо флс команда са -м заставицу и преусмери излаз у датотеку. Такође ћемо користити -м застава са илс команда.
[емаил заштићен]: ~ $ флс -м / -рп -ф фат32 ок.дд> усб.флс[емаил заштићен]: ~ $ мачка усб.флс
0 | / КИНГСТОН (Унос ознаке волумена) | 3 | р / ррвкрвкрвк | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Информације о количини система | 6 | д / др-кр-кр-к | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Информације о количини система / ВПСеттингс.дат | 135 | р / ррвкрвкрвк | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Информације о системском волумену / ИндекерВолумеГуид | 138 | р / ррвкрвкрвк | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Гаме оф Тхронес 1 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв (избрисано) | 14 | р / ррвкрвкрвк | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Гаме оф Тхронес 2 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв (избрисано) | 22 | р / ррвкрвкрвк | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Гаме оф Тхронес 3 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв (избрисано) | 30 | р / ррвкрвкрвк | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Гаме оф Тхронес 4 720п к264 ДДП 5.1 ЕСуб - кРГ.мкв (избрисано) | 38 | р / ррвкрвкрвк | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Оцеанс Твелве (2004) (избрисано) | 41 | д / дрвкрвкрвк | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / МИНУТИ ПЦ-И ОДРЖАНИ 23.01.2020.доцк | 45 | р / ррвкрвкрвк | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / МИНУТИ ЛЕЦ ОДРЖАНИ 10.02.2020.доцк (избрисано) | 49 | р / ррвкрвкрвк | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _ВРД3886.тмп (избрисано) | 50 | р / ррвкрвкрвк | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _ВРЛ0024.тмп (избрисано) | 51 | р / рр-кр-кр-к | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / МИНУТИ ЛЕЦА ОДРЖАНИ 10.02.2020.доцк | 55 | р / ррвкрвкрвк | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(избрисано) | 67 | р / ррвкрвкрвк | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _ВРД2343.тмп (избрисано) | 68 | р / ррвкрвкрвк | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _ВРЛ2519.тмп (избрисано) | 69 | р / рр-кр-кр-к | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк | 73 | р / ррвкрвкрвк | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ МБР | 31129091 | в / в --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ ФАТ1 | 31129092 | в / в --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ ФАТ2 | 31129093 | в / в --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Нова фасцикла (избрисано) | 57 | д / дрвкрвкрвк | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Виндумп.еке (избрисано) | 63 | д / дрвкрвкрвк | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк (избрисано) | 67 | р / ррвкрвкрвк | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _ВРД2343.тмп (избрисано) | 68 | р / ррвкрвкрвк | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _ВРЛ2519.тмп (избрисано) | 69 | р / рр-кр-кр-к | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк | 73 | р / ррвкрвкрвк | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ МБР | 31129091 | в / в --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ ФАТ1 | 31129092 | в / в --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ ФАТ2 | 31129093 | в / в --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ ОрпханФилес | 31129094 | д / д --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ бад_цонтент 1 (избрисано) | 22930439 | - / ррвкрвкрвк | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ бад_цонтент 2 (избрисано) | 22930444 | - / ррвкрвкрвк | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ бад_цонтент 3 (избрисано) | 22930449 | - / ррвкрвкрвк | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Покренути мактиме алат за добијање анализе временске линије помоћу следеће наредбе:
[емаил заштићен]: ~ $ мачка усб.флс> усб.мацДа бисте претворили овај мактиме излаз у читљив облик, унесите следећу наредбу:
[емаил заштићен]: ~ $ мацтиме -б усб.мац> усб.мактиме[емаил заштићен]: ~ $ мачка усб.мацтиме Тху Јул 26 2018 22:57:02 0 м… д / дрвкрвкрвк 0 0 41 / Оцеанс Твелве (2004) (избрисано)
Тху Јул 26 2018 22:57:26 59 м… - / ррвкрвкрвк 0 0 22930439 / Гаме оф Тхронес 4 720п к264 ДДП 5.1 ЕСуб - (избрисано)
47 м… - / ррвкрвкрвк 0 0 22930444 / Гаме оф Тхронес 4 720п к264 ДДП 5.1 ЕСуб - (избрисано)
353 м… - / ррвкрвкрвк 0 0 22930449 // Гаме оф Тхронес 4 720п к264 ДДП 5.1 ЕСуб - (избрисано)
Фри Јул 27 2018 00:00:00 12 .а… р / ррвкрвкрвк 0 0 135 / Информације о количини система / ВПСпоставке.дат
76 .а… р / ррвкрвкрвк 0 0 138 / Информације о системском волумену / ИндекерВолумеГуид
59 .а… - / ррвкрвкрвк 0 0 22930439 / Гаме оф Тхронес 3 720п к264 ДДП 5.1 ЕСуб 3 (избрисано)
47 .а… - / ррвкрвкрвк 0 0 22930444 $ / Гаме оф Тхронес 3 720п к264 ДДП 5.1 ЕСуб 3 (избрисано)
353 .а… - / ррвкрвкрвк 0 0 22930449 / Гаме оф Тхронес 3 720п к264 ДДП 5.1 ЕСуб 3 (избрисано)
Пет 31. јануара 2020 00:00:00 33180 .а… р / ррвкрвкрвк 0 0 45 / МИНУТИ ПЦ-И ОДРЖАНИ 23.01.2020.доцк
Фри Јан 31 2020 12:20:38 33180 м… р / ррвкрвкрвк 0 0 45 / МИНУТИ ПЦ-И ОДРЖАНИ 23.01.2020.доцк
Фри Јан 31 2020 12:21:03 33180… б р / ррвкрвкрвк 0 0 45 / МИНУТИ ПЦ-И ОДРЖАНИ 23.01.2020.доцк
Мон Феб 17 2020 14:36:44 46659 м… р / ррвкрвкрвк 0 0 49 / МИНУТЕ ЛЕЦА ОДРЖАНОГ 10.02.2020.доцк (избрисан)
46659 м… р / рр-кр-кр-к 0 0 51 / _ВРЛ0024.тмп (избрисано)
Уторак, 18. фебруар 2020. 00:00:00 46659 .а… р / ррвкрвкрвк 0 0 49 / Гаме оф Тхронес 2 720п к264 ДДП 5.1 ЕСуб - (избрисано)
38208 .а… р / ррвкрвкрвк 0 0 50 / _ВРД3886.тмп (избрисано)
Уторак, 18. фебруара 2020. 10:43:52 46659… б р / ррвкрвкрвк 0 0 49 / Гаме оф Тхронес 1 720п к264 ДДП 5.1 ЕСуб -
38208… б р / ррвкрвкрвк 0 0 50 / _ВРД3886.тмп (избрисано)
46659… б р / рр-кр-кр-к 0 0 51 / _ВРЛ0024.тмп (избрисано)
38208… б р / ррвкрвкрвк 0 0 55 / МИНУТИ ЛЕЦА ОДРЖАНИ 10.02.2020.доцк
Туе Феб 18 2020 11:13:16 38208 м… р / ррвкрвкрвк 0 0 50 / _ВРД3886.тмп (избрисано)
46659 .а… р / рр-кр-кр-к 0 0 51 / _ВРЛ0024.тмп (избрисано)
38208 .а… р / ррвкрвкрвк 0 0 55 / МИНУТИ ЛЕЦА ОДРЖАНИ 10.02.2020.доцк
Уторак, 18. фебруара 2020. 10:43:52 46659… б р / ррвкрвкрвк 0 0 49 / Гаме оф Тхронес 1 720п к264 ДДП 5.1 ЕСуб -
38208… б р / ррвкрвкрвк 0 0 50 / _ВРД3886.тмп (избрисано)
46659… б р / рр-кр-кр-к 0 0 51 / _ВРЛ0024.тмп (избрисано)
38208… б р / ррвкрвкрвк 0 0 55 / МИНУТИ ЛЕЦА ОДРЖАНИ 10.02.2020.доцк
Туе Феб 18 2020 11:13:16 38208 м… р / ррвкрвкрвк 0 0 50 / _ВРД3886.тмп (избрисано)
38208 м… р / ррвкрвкрвк 0 0 55 / Гаме оф Тхронес 3 720п к264 ДДП 5.1 ЕСуб -
Пет 15. маја 2020 00:00:00 4096 .а… д / дрвкрвкрвк 0 0 57 / Нова фасцикла (избрисана)
4096 .а… д / дрвкрвкрвк 0 0 63 / обавештење о тендеру за опрему мрежне инфраструктуре за ИИУИ (избрисано)
56775 .а… р / ррвкрвкрвк 0 0 67 / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк (избрисан)
56783 .а… р / ррвкрвкрвк 0 0 68 / _ВРД2343.тмп (избрисано)
56775 .а… р / рр-кр-кр-к 0 0 69 / _ВРЛ2519.тмп (избрисано)
56783 .а… р / ррвкрвкрвк 0 0 73 / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк
Фри Маи 15 2020 12:39:42 4096… б д / дрвкрвкрвк 0 0 57 / Нова фасцикла (избрисано)
4096… б д / дрвкрвкрвк 0 0 63 / обавештење о тендеру за опрему мрежне инфраструктуре за ИИУИ (избрисано)
Пет мај 15 2020 12:39:44 4096 м… д / дрвкрвкрвк 0 0 57 $$ бад_цонтент 3 (избрисано)
4096 м… д / дрвкрвкрвк 0 0 63 / обавештење о тендеру за опрему мрежне инфраструктуре за ИИУИ (избрисано)
Фри Маи 15 2020 12:43:18 56775 м… р / ррвкрвкрвк 0 0 67 $$ бад_цонтент 1 (избрисано)
56775 м… р / рр-кр-кр-к 0 0 69 / _ВРЛ2519.тмп (избрисано)
Фри Маи 15 2020 12:45:01 56775… б р / ррвкрвкрвк 0 0 67 $$ бад_цонтент 2 (избрисано)
56783… б р / ррвкрвкрвк 0 0 68 / _ВРД2343.тмп (избрисано)
56775… б р / рр-кр-кр-к 0 0 69 / _ВРЛ2519.тмп (избрисано)
56783… б р / ррвкрвкрвк 0 0 73 / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк
Фри Маи 15 2020 12:45:36 56783 м… р / ррвкрвкрвк 0 0 68 виндумп.еке (избрисано)
56783 м… р / ррвкрвкрвк 0 0 73 / ОБАВЕШТЕЊЕ О ПОНУДИ (Мега ПЦ-И) Фаза ИИ.доцк
Све датотеке треба опоравити са временском ознаком на њој у формату читљивом за читање у датотеци “УСБ.мактиме.”
Алати за УСБ форензичку анализу
Постоје разни алати који се могу користити за обављање форензичке анализе на УСБ диску, као што је Аутопсија Слеутх Кит, ФТК Имагер, Најпре, итд. Прво ћемо погледати алат за обдукцију.
Обдукција
Обдукција користи се за издвајање и анализу података из различитих врста слика, као што су АФФ (Адванце Форенсиц Формат) слике, .дд слике, сирове слике итд. Овај програм је моћно средство које користе форензички истражитељи и различите агенције за спровођење закона. Обдукција се састоји од многих алата који истражитељима могу помоћи да посао заврше ефикасно и глатко. Алат за обдукцију доступан је бесплатно и за Виндовс и за УНИКС платформе.
Да бисте анализирали УСБ слику помоћу обдукције, прво морате створити случај, укључујући писање имена истражитеља, снимање назива случаја и друге информативне задатке. Следећи корак је увоз изворне слике УСБ погона добијене на почетку процеса помоћу дд корисност. Тада ћемо дозволити да алат за обдукцију ради оно што најбоље ради.
Количина информација које пружа Обдукција је огроман. Обдукција даје оригинална имена датотека, а такође вам омогућава да прегледате директоријуме и путање са свим информацијама о релевантним датотекама, као што су приступљено, измењен, промењено, датум, и време. Подаци о метаподацима се такође преузимају и све информације се сортирају на професионалан начин. Да би се олакшало претраживање датотека, Аутопсија пружа а Претрага кључних речи опција која омогућава кориснику да брзо и ефикасно претражује низ или број између преузетог садржаја.
У левом окну поткатегорије Типови фајлова, видећете категорију под називом „Избрисане датотеке”Који садржи избрисане датотеке са жељене слике погона са свим подацима о метаподацима и анализи временске оси.
Обдукција је Графички кориснички интерфејс (ГУИ) за алат за командну линију Слеутх Кит и налази се на највишем нивоу у форензичком свету због свог интегритета, свестраности, природе која се лако користи и могућности давања брзих резултата. Форензика УСБ уређаја може се обавити на лакши начин Обдукција као и на било ком другом плаћеном алату.
ФТК Имагер
ФТК Имагер је још један сјајан алат који се користи за проналажење и прикупљање података са различитих врста пружених слика. ФТК Имагер такође има могућност копирања слике по бит, тако да ниједан други алат не одговара дд или дцфлдд је потребно у ову сврху. Ова копија погона укључује све датотеке и фасцикле, нераспоређени и слободни простор и избрисане датотеке које су остале у празном или нераспоређеном простору. Основни циљ овде приликом извођења форензичке анализе на УСБ погонима је реконструкција или поновно стварање сценарија напада.
Сада ћемо погледати извођење УСБ форензичке анализе на УСБ слици помоћу алата ФТК Имагер.
Прво додајте датотеку слике у ФТК Имагер кликом Датотека >> Додај ставку доказа.
Сада изаберите тип датотеке коју желите да увезете. У овом случају то је сликовна датотека УСБ диска.
Сада унесите пуну локацију датотеке слике. Запамтите, морате пружити потпуну путању за овај корак. Кликните Заврши да започне са прикупљањем података и пусти ФТК Имагер обави посао. Након неког времена, алат ће пружити жељене резултате.
Овде је прва ствар коју треба урадити је верификација Интегритет слике десним кликом на име слике и одабиром Верификујте слику. Алат ће проверити да ли одговарају мд5 или СХА1 хешовима који садрже информације о слици, а такође ће вам рећи да ли је слика неовлашћено неовлашћено пре увоза у ФТК Имагер оруђе.
Сада, Извоз дате резултате до пута по вашем избору тако што ћете десним тастером миша кликнути на име слике и изабрати Извоз могућност његове анализе. Тхе ФТК Имагер створиће потпун евиденцију података форензичког процеса и поставиће те евиденције у исти директоријум као и датотека слике.
Анализа
Опорављени подаци могу бити у било којем формату, као што су тар, зип (за компримоване датотеке), пнг, јпег, јпг (за датотеке слика), мп4, ави формат (за видео датотеке), баркодови, пдфс и други формати датотека. Требали бисте да анализирате метаподатке датог фајла и проверите да ли постоје бар кодови у облику а КР код. Ово може бити у пнг датотеци и може се преузети помоћу ЗБАР оруђе. У већини случајева датотеке доцк и пдф користе се за сакривање статистичких података, па морају бити некомпримоване. Кдбк датотеке се могу отворити путем Кеепасс; лозинка је можда била ускладиштена у другим опорављеним датотекама или у било ком тренутку можемо извршити брутефорце.
Најпре
Форемост је алат који се користи за опоравак избрисаних датотека и директоријума са слике погона помоћу заглавља и подножја. Завирићемо на Форемост-ову ман страницу како бисмо истражили неке моћне команде садржане у овом алату:
[заштићена е-поштом]: ~ $ ман форемост-а Омогућава писање свих заглавља, не извршава откривање грешака у терминима
оштећених датотека.
-б број
Омогућава вам да одредите величину блока која се највише користи. Ово је
релевантно за именовање датотека и брзе претраге. Подразумевано је
512. тј. најистакнутији -б 1024 слика.дд
-к (брзи режим):
Омогућава брзи режим. У брзом режиму, само почетак сваког сектора
тражи се одговарајућа заглавља. Односно, заглавље је
претраживао се само до дужине најдужег заглавља. Остатак
сектора, обично око 500 бајтова, занемарује се. Овај режим
чини трчање у првом реду знатно бржим, али то може довести до тога
пропустите датотеке које су уграђене у друге датотеке. На пример, користећи
брзи режим нећете моћи да пронађете ЈПЕГ слике уграђене у
Мицрософт Ворд документи.
Брзи режим се не сме користити при испитивању система датотека НТФС.
Зато што ће НТФС чувати мале датотеке унутар главне датотеке датотеке
бле, ове датотеке ће недостајати у брзом режиму.
-а Омогућава писање свих заглавља, не извршава откривање грешака у терминима
оштећених датотека.
-и (улазна) датотека:
Датотека која се користи са опцијом и користи се као улазна датотека.
У случају да није наведена ниједна улазна датотека, стдин се користи за ц.
Датотека која се користи са опцијом и користи се као улазна датотека.
У случају да није наведена ниједна улазна датотека, стдин се користи за ц.
Да бисмо обавили посао, користићемо следећу команду:
[заштићен е-поштом]: ~ $ форемост усб.ддПо завршетку поступка, датотека ће бити у / оутпут фасцикла именована текст који садрже резултате.
Закључак
Форензика УСБ погона добра је вештина да морате доћи до доказа и опоравити избрисане датотеке са УСБ уређаја, као и да идентификујете и испитате који су рачунарски програми можда коришћени у нападу. Затим можете саставити кораке које је нападач могао предузети да докаже или оповргне тврдње легитимног корисника или жртве. Да би се осигурало да се нико не избори са сајбер криминалом који укључује УСБ податке, УСБ форензика је основно средство. УСБ уређаји садрже кључне доказе у већини случајева форензике, а понекад форензички подаци добијени са УСБ уређаја могу помоћи у опоравку важних и вредних личних података.
