Cyfrowa kryminalistyka obejmuje odzyskiwanie i pozyskiwanie wszelkiego rodzaju dowodów z urządzeń takich jak dyski twarde, komputery, telefony komórkowe, które mogą przechowywać dowolny rodzaj danych. Autopsja to narzędzie wykorzystywane przez wojsko, organy ścigania i różne agencje, gdy istnieje potrzeba kryminalistyczna. Sekcja zwłok jest w zasadzie interfejsem graficznym dla bardzo znanych Zestaw Sleuth używane do pobierania dowodów z dysku fizycznego i wielu innych narzędzi. Sleuth Kit przyjmuje tylko instrukcje wiersza polecenia. Z drugiej strony autopsja sprawia, że ten sam proces jest łatwy i przyjazny dla użytkownika. Sekcja zwłok zapewnia różne funkcje, które pomagają w pozyskiwaniu i analizie danych krytycznych, a także wykorzystuje różne narzędzia do zadań, takich jak Analiza osi czasu, Filtrowanie skrótów, rzeźbienie danych, Dane EXIF,Pozyskiwanie artefaktów internetowych, wyszukiwanie słów kluczowych, itp. Sekcja zwłok używa wielu rdzeni i uruchamia procesy tła równolegle i mówi, jak tylko pojawi się coś, co się pojawi, co czyni go niezwykle szybkim i niezawodnym narzędziem do cyfrowej kryminalistyki.
Instalacja:
Przede wszystkim uruchom następujące polecenie w systemie Linux, aby zaktualizować repozytoria pakietów:
Ubuntu@ubuntu: ~ $ sudo apt-get aktualizacja
Teraz uruchom następujące polecenie, aby zainstalować pakiet autopsji:
Ubuntu@ubuntu: ~ $ sudo apt Zainstaluj autopsję
To zainstaluje Sleuth Kit Autopsy w systemie Linux.
W przypadku systemów opartych na systemie Windows po prostu pobierz Autopsja z oficjalnej strony internetowej https: // www.Sleuthkit.org/autopsy/.
Stosowanie:
Wpalajmy autopsję, wpisując $ autopsja w terminalu. Zabierze nas na ekran z informacjami o lokalizacji szafki dowodowej, czasu rozpoczęcia, portu lokalnego i wersji autopsji, której używamy.
Możemy zobaczyć link, który może nas zabrać Sekcja zwłok. Po nawigacji do http: // localhost: 9999/autopsja W dowolnej przeglądarce internetowej zostaniemy mile widziani przez stronę główną i możemy teraz zacząć używać Autopsja.
Tworzenie sprawy:
Pierwszą rzeczą, którą musimy zrobić, to stworzyć nową sprawę. Możemy to zrobić, klikając jedną z trzech opcji (otwarty przypadek, nowa sprawa, pomoc) na stronie głównej autopsji. Po kliknięciu go zobaczymy taki ekran:
Wprowadź szczegóły, jak wspomniano, i.mi., Nazwa sprawy, nazwiska badacza i opis sprawy w celu zorganizowania naszych informacji i dowodów wykorzystujących do tego dochodzenia. Przez większość czasu istnieje więcej niż jeden badacz przeprowadzający cyfrową analizę kryminalistyki; Dlatego istnieje kilka pól do wypełnienia. Po zakończeniu możesz kliknąć Nowa sprawa przycisk.
To utworzy obudowę z podanymi informacjami i pokazuje lokalizację, w której tworzenie jest katalogu spraw i.mi./var/lab/autopsy/ oraz lokalizacja pliku konfiguracyjnego. Teraz kliknij Dodaj hosta, I pojawi się taki ekran:
Tutaj nie musimy wypełniać wszystkich danych pola. Musimy tylko wypełnić pole nazwy hosta, w którym wprowadzana jest nazwa badanego systemu. Inne opcje są opcjonalne, takie jak określenie ścieżek, w których złe skróty będą przechowywane lub te, w których inni pójdą lub ustawią wybraną strefę czasową. Po zakończeniu tego kliknij Dodaj hosta przycisk, aby zobaczyć określone szczegóły.
Teraz host jest dodawany i mamy lokalizację wszystkich ważnych katalogów, możemy dodać obraz, który zostanie przeanalizowany. Kliknij Dodaj obraz Aby dodać plik obrazu i taki ekran, pojawi się:
W sytuacji, w której musisz uchwycić obraz dowolnej partycji lub napędu tego konkretnego systemu komputerowego, obraz dysku można uzyskać za pomocą dcfldd pożytek. Aby uzyskać obraz, możesz użyć następującego polecenia,
Ubuntu@ubuntu: ~ $ dcfldd if = = z BS = 512 Liczba = 1 skrót =
Jeśli =miejsce docelowego napędu, którego chcesz mieć obraz
o =miejsce docelowe, w którym skopiowany obraz będzie przechowywany (może być wszystkim, e.G., dysk twardy, USB itp.)
BS = Rozmiar bloku (liczba bajtów do kopiowania na raz)
Możemy również użyć Dd narzędzie do przechwytywania obrazu napędu lub partycji za pomocą
Ubuntu@ubuntu: ~ $ dd if = = o = BS = 512 Count = 1 skrót =
Są przypadki, w których mamy cenne dane Baran W celu zbadania kryminalistycznego, więc musimy uchwycić fizyczny pamięć RAM do analizy pamięci. Zrobimy to za pomocą następującego polecenia:
ubuntu@ubuntu: ~ $ dd if =/dev/fmem of = BS = 512 Liczba = 1 Hash =
Możemy dalej na to przyjrzeć się Dd Użyteczności różne inne ważne opcje przechwytywania obrazu partycji lub fizycznego pamięci RAM za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ dd - -help DD Opcje pomocy BS = bajty odczytują i zapisz do bajtów bajtów jednocześnie (domyślnie: 512); zastępuje IBS i OBS CBS = bajty konwertują bajty na raz conv = Convs Conwert pliku zgodnie z listą symboli oddzieloną przecinkami count = n tylko kopia n bloków wejściowych IBS = bajty odczytane do bajtów bajtów jednocześnie (domyślnie: 512) if = plik odczytu z pliku zamiast stdin iflag = flagi odczytane zgodnie z listą symboli oddzieloną przecinkami Obs = bajty piszą bajty na raz (domyślnie: 512) Of = plik zapisz do pliku zamiast stdout OFLAG = flagi pisz zgodnie z listą symboli oddzieloną przecinkami szukaj = n pomiń n obserwacyjne bloki na początku wyjścia SKIP = N Pomiń N Bloki wielkości IBS na początku wejścia Status = Wyrównaj poziom informacji do wydrukowania do Stderr; „Brak” tłumi wszystko oprócz komunikatów o błędach, „Noxfer” tłumi ostateczne statystyki transferu, „Progress” pokazuje okresowe statystyki transferu Po n i bajtów mogą następujące sufiksów multiplikatywnych: c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000*1000, m = 1024*1024, xm = m = m, GB = 1000*1000*1000, g = 1024*1024*1024 i tak dalej dla t, p, e, z, y. Każdy symbol przekonania może być: ASCII od ebcdic do ASCII ebcdic z ASCII do ebcdic IBM od ASCII do alternatywnego ebcdic Block Pad nowatorskie rekordy z przestrzeniami do wielkości CBS Unblock Wymień przestrzenie wlewowe w rekordach wielkości CBS nowym line LCLE Zmień górną skrzynkę na dolną obudowę UCACE Zmień dolną obudowę na górną skrzynkę rzadkie staraj się szukać zamiast pisać wyjście dla bloków wejściowych NUL wymień wymaz każdą parę bajtów wejściowych SYNC PAD Każdy blok wejściowy z NULS do IBS-size; gdy używane z blokiem lub odblokowaniem, podkładka z przestrzeniami, a nie NULS Wyłącz niepowodzenie, jeśli plik wyjściowy już istnieje nocreat nie tworz plik wyjściowego notRunc nie obcinaj pliku wyjściowego Noerror kontynuuj po odczytaniu błędów FDATASYNC Fizycznie zapisz dane plików wyjściowych przed zakończeniem fsync również, ale także pisz metadane Każdy symbol flagi może być: dołącz Tryb dołączania (ma sens tylko dla wyjściowego; conv = notrunc sugerowany) bezpośrednio użycie bezpośredniego we/wy dla danych Directory nie kończy się, chyba że katalog DSYNC Użyj zsynchronizowanych we/wy dla danych zsynchronizowanie również, ale także w przypadku metadanych Fullblock gromadzi pełne bloki wejściowe (tylko IFLAG) nie blokują się bez blokujących we/wy Noatime nie aktualizuj czasu dostępu Żądanie Nocache, aby upuścić pamięć podręczną.
Będziemy używać obrazu o nazwie 8-JPEG-Search-Dd Zapisaliśmy w naszym systemie. Ten obraz został utworzony dla przypadków testowych przez Briana Carriera, aby używać go z autopsją i jest dostępny w Internecie w przypadku testów. Przed dodaniem obrazu powinniśmy teraz sprawdzić skrót MD5 tego obrazu i porównać go później po uzyskaniu go do szafki dowodowej, i oba powinny się dopasować. Możemy wygenerować sumę naszego obrazu MD5, wpisując następujące polecenie w naszym terminalu:
Ubuntu@ubuntu: ~ $ md5sum 8-jpeg-search-dd
To załatwi sprawę. Lokalizacja, w której zapisany jest plik obrazu /Ubuntu/Desktop/8-JPEG-Search-DD.
Ważne jest to, że musimy wejść na całą ścieżkę, na której znajduje się obraz.R /Ubuntu/Desktop/8-JPEG-Search-DD w tym przypadku. SymLink jest wybrane, co sprawia, że plik obrazu nie jest w stanie wolić się do problemów związanych z kopiowaniem plików. Czasami otrzymasz błąd „nieprawidłowy obraz”, sprawdź ścieżkę do pliku obrazu i upewnij się, że naprzód ”/" jest tu. Kliknij Następny pokaże nam nasze szczegóły obrazu zawierające System plików typ, Zamontować napęd, i MD5 wartość naszego pliku obrazu. Kliknij Dodać Aby umieścić plik obrazu w szafce dowodowej i kliknij OK. Pojawi się taki ekran:
Tutaj z powodzeniem dostajemy obraz i wyjeżdżamy do naszego Analizować część w celu analizy i pobierania cennych danych w sensie cyfrowej kryminalistyki. Przed przejściem do części „Analizuj”, możemy sprawdzić szczegóły obrazu, klikając opcję szczegółów.
To poda szczegóły pliku obrazu, takie jak używany system plików (NTFS W takim przypadku) partycja Mount, nazwa obrazu i umożliwia szybsze wyszukiwanie słów kluczowych i odzyskiwanie danych poprzez wyodrębnienie ciągów całych tomów, a także nie do zorganizowanych przestrzeni. Po przejrzeniu wszystkich opcji kliknij przycisk Wstecz. Teraz, zanim przeanalizujemy nasz plik obrazu, musimy sprawdzić integralność obrazu, klikając przycisk integralności obrazu i generując skrót MD5 naszego obrazu.
Ważne jest, aby zauważyć, że ten skrót będzie pasował do tego, który wygenerowaliśmy poprzez sumę MD5 na początku procedury. Po zakończeniu kliknij Zamknąć.
Analiza:
Teraz, gdy stworzyliśmy naszą sprawę, podaliśmy jej nazwę hosta, dodałem opis, czyli kontrolę integralności, możemy przetworzyć opcję analizy, klikając Analizować przycisk.
Możemy zobaczyć różne tryby analizy, i.mi., Analiza pliku, wyszukiwanie słów kluczowych, typ pliku, szczegóły obrazu, jednostka danych. Przede wszystkim klikamy szczegóły obrazu, aby uzyskać informacje o pliku.
Możemy zobaczyć ważne informacje o naszych obrazach, takie jak typ systemu plików, nazwa systemu operacyjnego i najważniejsza rzecz, numer seryjny. Numer seryjny tomu jest ważny w sądzie, ponieważ pokazuje, że analizowany obraz jest taki sam lub kopia.
Rzućmy okiem na Analiza pliku opcja.
Możemy znaleźć kilka katalogów i plików obecnych na obrazie. Są wymienione w kolejności domyślnej i możemy nawigować w trybie przeglądania plików. Po lewej stronie widzimy obecny katalog i na dole, możemy zobaczyć obszar, w którym można przeszukać określone słowa kluczowe.
Przed nazwą pliku są 4 pola wymienione napisane, dostępne, zmienione, utworzone. Pisemny oznacza datę i godzinę, w której plik został ostatnio napisany, Dostęp Oznacza, że uzyskano dostęp do pliku ostatniego (w tym przypadku jedyna data jest wiarygodna), Zmienione oznacza, że ostatnie dane opisowe pliku zostały zmodyfikowane, Utworzony oznacza datę i moment, kiedy plik został utworzony, i Metadane Pokazuje informacje o pliku inne niż ogólne informacje.
Na górze zobaczymy opcję Generowanie skrótów MD5 plików. I znowu zapewni to integralność wszystkich plików, generując skróty MD5 wszystkich plików w bieżącym katalogu.
Lewa strona Analiza pliku Karta zawiera cztery główne opcje, i.mi., Directory SEARD, wyszukiwanie nazwy pliku, wszystkie usunięte pliki, rozwinąć katalogi. Directory szuka umożliwia użytkownikom wyszukiwanie katalogów. Wyszukiwanie nazwy pliku umożliwia wyszukiwanie określonych plików w danym katalogu,
Wszystkie usunięte pliki zawierają usunięte pliki z obrazu o tym samym formacie, i.mi., Napisane, dostępne, utworzone, metadane i zmienione opcje i są pokazane na czerwono, jak podano poniżej:
Widzimy, że pierwszy plik to JPEG plik, ale drugi plik ma rozszerzenie "Hmm". Spójrzmy na metadane tego pliku, klikając metadane po większości praw.
Odkryliśmy, że metadane zawierają Jfif Wpis, co oznacza Format wymiany pliku JPEG, Dlatego rozumiemy, że jest to tylko plik obrazu z rozszerzeniem „Hmm". Rozwiń katalogi Rozszerza wszystkie katalogi i pozwala na obejście większego obszaru z katalogami i plikami w danych katalogach.
Sortowanie plików:
Analiza metadanych wszystkich plików nie jest możliwa, więc musimy je sortować i przeanalizować, sortując istniejące, usunięte i nie do zorganizowane pliki za pomocą plików Typ pliku patka.'
Aby sortować kategorie plików, aby z łatwością mogli sprawdzić te z tą samą kategorią. Typ pliku ma opcję sortowania tego samego typu plików na jedną kategorię, i.mi., Archiwa, audio, wideo, obrazy, metadane, pliki exec, pliki tekstowe, dokumenty, kompresowane pliki, itp.
Ważną rzeczą w przeglądaniu sortowanych plików jest to, że autopsja nie pozwala na przeglądanie plików tutaj; Zamiast tego musimy przejść do miejsca, w którym są one przechowywane i wyświetlić je tam. Aby wiedzieć, gdzie są przechowywane, kliknij Wyświetl sortowane pliki Opcja po lewej stronie ekranu. Lokalizacja, którą nam da, będzie taka sama jak ta, którą określiliśmy podczas tworzenia sprawy w pierwszym kroku I.mi./var/lib/autopsy/.
Aby ponownie otworzyć sprawę, wystarczy otwórz autopsję i kliknij jedną z opcji „Otwarta sprawa."
Przypadek: 2
Rzućmy okiem na analizę innego obrazu za pomocą autopsji w systemie operacyjnym Windows i dowiedzmy się, jakie ważne informacje możemy uzyskać z urządzenia pamięci masowej. Pierwszą rzeczą, którą musimy zrobić, to stworzyć nową sprawę. Możemy to zrobić, klikając jedną z trzech opcji (otwarty przypadek, nowa sprawa, najnowszy przypadek otwartego) na stronie głównej autopsji. Po kliknięciu go zobaczymy taki ekran:
Podaj nazwę przypadku i ścieżkę przechowywania plików, a następnie wprowadź szczegóły, jak wspomniano, i.mi., Nazwa sprawy, nazwiska egzaminatora i opis sprawy w celu zorganizowania naszych informacji i dowodów wykorzystujących do tego dochodzenia. W większości przypadków przeprowadza więcej niż jeden egzaminator.
Teraz podaj obraz, który chcesz zbadać. E01(Format świadków ekspertów), Aff(zaawansowany format kryminalistyki), format surowy (Dd), a obrazy kryminalistyczne pamięci są kompatybilne. Zapisaliśmy obraz naszego systemu. Ten obraz zostanie wykorzystany w tym dochodzeniu. Powinniśmy podać pełną ścieżkę do lokalizacji obrazu.
Poprosi o wybranie różnych opcji, takich jak analiza osi czasu, filtrowanie skrótów, dane rzeźbienia, dane EXIF, pozyskiwanie artefaktów internetowych, wyszukiwanie słów kluczowych, parser e -mail, ekstrakcja plików wbudowanych, najnowsza kontrola aktywności itp. Kliknij Wybierz wszystkie najlepsze wrażenia i kliknij przycisk Dalej.
Po zakończeniu kliknij zakończ i poczekaj, aż proces się zakończy.
Analiza:
Istnieją dwa rodzaje analiz, Martwa analiza, I Analiza na żywo:
Martwy egzamin zdarza się, gdy wykorzystane są zaangażowane ramy dochodzeniowe, aby spojrzeć na informacje z spekulowanych ram. W momencie, gdy tak się dzieje, Sleuth Zestaw autopsji może biegać w obszarze, w którym szansa na uszkodzenie jest wyeliminowana. Autopsja i zestaw Sleuth oferują pomoc w formatach surowych, ekspertów i AFF.
Dochodzenie na żywo dzieje się, gdy ramy przypuszczalne jest rozkładane podczas pracy. W tym przypadku, Sleuth Zestaw autopsji może działać w dowolnym obszarze (cokolwiek innego niż przestrzeń zamknięta). Jest to często wykorzystywane podczas reakcji występowania podczas potwierdzania odcinka.
Teraz, zanim przeanalizujemy nasz plik obrazu, musimy sprawdzić integralność obrazu, klikając przycisk integralności obrazu i generując skrót MD5 naszego obrazu. Ważne jest to, że ten skrót będzie pasował do tego, który mieliśmy na obrazie na początku procedury. Hash obrazu jest ważny, ponieważ mówi, czy dany obraz się zmienił, czy nie.
Tymczasem, Autopsja zakończyło swoją procedurę i mamy wszystkie potrzebne informacje.
Po pierwsze, zaczniemy od podstawowych informacji, takich jak użyty system operacyjny, ostatnim razem, gdy użytkownik zalogował się, i ostatnią osobą, która uzyskała dostęp do komputera w czasie nieszczęścia. W tym celu pójdziemy do Wyniki> Wyodrębniona treść> Informacje o systemie operacyjnym po lewej stronie okna.
Aby wyświetlić całkowitą liczbę kont i wszystkie powiązane konta, idziemy do Wyniki> Wyodrębniona treść> Konta użytkowników systemu operacyjnego. Zobaczymy taki ekran:
Informacje takie jak ostatnia osoba uzyskująca dostęp do systemu, a przed nazwą użytkownika, są kilka wymienionych pola dostępny, zmieniony, utworzony.Dostęp oznacza, że ostatni raz dostęp do konta (w tym przypadku jedyna data jest wiarygodna) i cponowne oznacza datę i godzinę utworzenia konta. Widzimy, że ostatni użytkownik, który dostęp do systemu został nazwany Pan. Zło.
Chodźmy do Pliki programów folder włączony C dysk znajdujący się po lewej stronie ekranu, aby odkryć fizyczny i internetowy adres systemu komputerowego.
Możemy zobaczyć Ip (Protokół internetowy) adres i PROCHOWIEC adres wymienionego systemu komputerowego.
Chodźmy do Wyniki> Wyodrębniona treść> Zainstalowane programy, Widzimy tutaj następujące oprogramowanie używane do wykonywania złośliwych zadań związanych z atakiem.
Cain & Abel: potężne narzędzie do węgla i narzędzie do pękania haseł używane do wąchania pakietu.
Anonimizator: narzędzie używane do ukrywania utworów i działań, które wykonuje złośliwy użytkownik.
Eteryczne: narzędzie używane do monitorowania ruchu sieciowego i przechwytywania pakietów w sieci.
Śliczne FTP: oprogramowanie FTP.
Netstumbler: narzędzie używane do odkrycia bezprzewodowego punktu dostępu
WinPCAP: znane narzędzie używane do dostępu do sieci warstwy linków w systemach operacyjnych Windows. Zapewnia dostęp do sieci niskiego poziomu.
w /Windows/System32 Lokalizacja, możemy znaleźć adresy e -mail, których używał użytkownik. Możemy zobaczyć MSN e -mail, hotmail, adresy e -mail Outlook. Możemy też zobaczyć SMTP Adres e -mail tutaj.
Chodźmy do miejsca, w którym Autopsja przechowuje możliwe złośliwe pliki z systemu. Nawigować do Wyniki> Ciekawe przedmioty, i możemy zobaczyć prezent bomby zip o nazwie UNIX_HACK.TGZ.
Kiedy nawigowaliśmy do /Recycler Lokalizacja, znaleźliśmy 4 usunięte pliki wykonywalne o nazwie DC1.EXE, DC2.EXE, DC3.exe i DC4.exe.
Eteryczny, znany Wąchanie Odkryto również narzędzie, które można użyć do monitorowania i przechwytywania wszelkiego rodzaju przewodowego i bezprzewodowego ruchu sieciowego. Ponownie zmontowaliśmy przechwycone pakiety i katalog, w którym się zapisano /Dokumenty, Nazwa pliku w tym folderze to Przechwycenie.
W tym pliku widzimy dane, takie jak użyła ofiara przeglądarki i rodzaj komputera bezprzewodowego i odkryli, że był to Internet Explorer w systemie Windows CE. Strony internetowe, do których dostępna była ofiara WIEŚNIAK I MSN .com, i znaleziono to również w pliku przechwytywania.
O odkryciu treści Wyniki> Wyodrębniona treść> Historia sieci,
Widzimy, badając metadane podanych plików, historię użytkownika, witryny, które odwiedza.
Odzyskiwanie usuniętych plików:
We wcześniejszej części artykułu odkryliśmy, jak wyodrębnić ważne informacje z obrazu dowolnego urządzenia, które może przechowywać dane takie jak telefony komórkowe, dyski twarde, systemy komputerowe itp. Wśród najbardziej podstawowych niezbędnych talentów dla agenta kryminalistycznego, regeneracja wymazanych zapisów jest prawdopodobnie najważniejsza. Jak zapewne zdajesz sobie sprawę, dokumenty, które są „usunięte”, pozostają na urządzeniu do przechowywania, chyba że są zastąpione. Usunięcie tych rekordów w zasadzie sprawia, że urządzenie jest dostępne. Oznacza to, że jeśli podejrzany usunął zapisy dowodowe, dopóki nie zostaną zastąpione przez framework dokumentów, pozostają dla nas dostępni.
Teraz przyjrzymy się odzyskaniu usuniętych plików lub rekordów za pomocą Sleuth Zestaw autopsji. Postępuj zgodnie ze wszystkimi powyższymi krokami, a po importowaniu obrazu zobaczymy taki ekran:
Po lewej stronie okna, jeśli dalej rozszerzymy Typy plików Opcja zobaczymy mnóstwo wymienionych kategorii Archiwa, audio, wideo, obrazy, metadane, pliki exec, pliki tekstowe, dokumenty (html, pdf, słowo, .PPX itp.), skompresowane pliki. Jeśli klikniemy obrazy, pokaże wszystkie odzyskane obrazy.
Nieco dalej, w podkategorii Typy plików, Zobaczymy nazwę opcji Usunięte pliki. Po kliknięciu to zobaczymy kilka innych opcji w formie oznaczonych kart do analizy w prawym dolnym oknie. Karty są nazwane Heks, wynik, tekst indeksowany, struny, I Metadane. Na zakładce metadanych zobaczymy cztery nazwiska napisane, dostępne, zmienione, utworzone. Pisemny oznacza datę i godzinę, w której plik został ostatnio napisany, Dostęp Oznacza, że uzyskano dostęp do pliku ostatniego (w tym przypadku jedyna data jest wiarygodna), Zmienione oznacza, że ostatnie dane opisowe pliku zostały zmodyfikowane, Utworzony oznacza datę i czas utworzenia pliku. Teraz, aby odzyskać usunięty plik, który chcemy, kliknij usunięty plik i wybierz Eksport. Zaproponuje lokalizację, w której plik będzie przechowywany, wybierz lokalizację i kliknij OK. Podejrzani często starają się pokryć swoje utwory, usuwając różne ważne pliki. Znamy jako osobę kryminalistyczną, że dopóki te dokumenty nie zostaną zastąpione przez system plików, można je odzyskać.
Wniosek:
Przeanalizowaliśmy procedurę wyodrębnienia przydatnych informacji z naszego docelowego obrazu za pomocą Sleuth Zestaw autopsji Zamiast poszczególnych narzędzi. Sekcja zwłok jest opcją dla każdego badacza kryminalistycznego i ze względu na jego szybkość i niezawodność. Sekcja zwłok wykorzystuje wiele podstawowych procesorów, które uruchamiają procesy tła równolegle, co zwiększa jego prędkość i daje nam wyniki w mniejszym czasie i wyświetla wyszukiwane słowa kluczowe, gdy tylko znajdują. W erze, w której narzędzia kryminalistyczne są koniecznością, autopsja zapewnia te same podstawowe funkcje bezpłatne, co inne płatne narzędzia kryminalistyczne.
Sekcja zwłok poprzedza reputację niektórych płatnych narzędzi, a także zapewnia dodatkowe funkcje, takie jak analiza rejestru i analiza artefaktów internetowych, których nie robią inne narzędzia. Sekcja zwłok znana jest z intuicyjnego użycia natury. Kliknięcie prawym przyciskiem myszy otwiera znaczący dokument. To implikuje obok Zero trwa, aby odkryć, czy na nasz obraz, telefon lub komputer, na który patrzy się na nasz obraz, telefon lub komputer. Użytkownicy mogą również cofać się, gdy głębokie zadania zamieniają się w ślepe zaułki, używając połowów historii pleców i do przodu, aby pomóc w śledzeniu ich środków. Film można również zobaczyć bez aplikacji zewnętrznych, przyspieszając użytkowanie.
Perspektywy miniatury, rekordy i typy dokumentów Umieszczenie filtrowania dobrych plików i flagowanie dla okropnego, za pomocą niestandardowego zestawu skrótów to tylko część różnych wyświetleń, które można znaleźć Sleuth Zestaw autopsji Wersja 3 Oferuje znaczące ulepszenia z wersji 2.Technologia podstawowa ogólnie subsydiowała prace nad wersją 3, w których Brian Carrier, który zapewnił znaczną część pracy nad wcześniejszymi interpretacjami Autopsja, jest CTO i szefem zaawansowanej kryminologii. Jest również postrzegany jako mistrz Linuksa i skomponował książki na temat mierzalnego wydobywania informacji i technologii podstawowej Zestaw Sleuth. Dlatego klienci mogą najprawdopodobniej czuć się naprawdę pewni, że otrzymują przyzwoity przedmiot, przedmiot, który nie zniknie w żadnym momencie w najbliższej przyszłości, i taki, który prawdopodobnie będzie dookoła podtrzymania tego, co ma nadejść.
