USB Forensics
Utwórz kopię obrazu dysku USB
Pierwszą rzeczą, którą zrobimy, jest wykonanie kopii dysku USB. W takim przypadku regularne kopie zapasowe nie będą działać. To bardzo kluczowy krok, a jeśli zostanie to zrobione źle, cała praca pójdzie na marnowanie. Użyj następującego polecenia, aby wymienić wszystkie dyski dołączone do systemu:
Ubuntu@ubuntu: ~ $ sudo fdisk -l
W Linux nazwy napędów różnią się od systemu Windows. W systemie Linux, HDA I HDB są używane (SDA, SDB, SDC, itp.) dla SCSI, w przeciwieństwie do systemu systemu Windows.
Teraz, gdy mamy nazwę dysku, możemy ją stworzyć .Dd obraz bit-bit z Dd użyteczność, wprowadzając następujące polecenie:
Ubuntu@ubuntu: ~ $ sudo dd if =/dev/sdc1 of = USB.DD BS = 512 Liczba = 1
Jeśli= Lokalizacja napędu USB
z= miejsce docelowe, w którym skopiowany obraz będzie przechowywany (może być lokalną ścieżką w twoim systemie, e.G. /dom/użytkownik/USB.DD)
BS= liczba bajtów, które zostaną skopiowane na raz
Aby zabezpieczyć dowód, że mamy oryginalną kopię obrazu dysku, użyjemy mieszanie Aby zachować integralność obrazu. Hashing zapewni skrót dla USB Drive. Jeśli zmieni się pojedynczy bit danych, skrót zostanie całkowicie zmieniony, a można dowiedzieć się, czy kopia jest fałszywa czy oryginalna. Wygenerujemy skrót MD5 na dysku, aby w porównaniu z oryginalnym skrótem dysku, nikt nie może zakwestionować integralności kopii.
Ubuntu@ubuntu: ~ $ md5sum USB.Dd
To zapewni skrót MD5 obrazu. Teraz możemy rozpocząć analizę kryminalistyki tego nowo utworzonego obrazu napędu USB wraz z skrótem.
Układ sektora rozruchowego
Uruchomienie polecenia pliku oddzieli system plików, a także geometrię dysku:
Ubuntu@ubuntu: ~ $ plik USB.Dd
OK.DD: Sektor rozruchowy DOS/MBR, przesunięcie kodu 0x58+2, OEM-ID „MSDOS5.0 ",
Sektory/klaster 8, Sektory zastrzeżone 4392, deskryptor mediów 0xf8,
Sektory/tor 63, głowy 255, ukryte sektory 32, Sektory 1953760 (objętości> 32 MB),
Tłuszcz (32 -bitowy), sektory/tłuszcz 1900, zarezerwowany 0x1, numer seryjny 0x6EFA4158, nieznakowany
Teraz możemy użyć Minfo narzędzie do uzyskania układu sektora rozruchowego NTFS i informacji o sektorze rozruchu za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ minfo -i USB.Dd
Informacje o urządzeniu:
====================
filename = "ok.DD "
Sektory na tor: 63
Głowy: 255
Cylindry: 122
Wiersz poleceń Mformat: Mformat -t 1953760 -i OK.dd -h 255 -s 63 -H 32 ::
Informacje o sektorze rozruchowym
=======================
Banner: „MSDOS5.0 "
Rozmiar sektora: 512 bajtów
Rozmiar klastra: 8 sektorów
Sektory zastrzeżone (rozruch): 4392
Tłuszcze: 2
MAX Dostępne miejsca w katalogu głównym: 0
Mały rozmiar: 0 sektorów
Bajt deskryptora mediów: 0xf8
Sektory na tłuszcz: 0
Sektory na tor: 63
Głowy: 255
Ukryte sektory: 32
Wielki rozmiar: 1953760 SECTORY
Identyfikator napędu fizycznego: 0x80
Zarezerwowany = 0x1
DOS4 = 0x29
Numer seryjny: 6EFA4158
Dysk etykieta = „Brak nazwy”
Dysk typu = „fat32”
Big Fatlen = 1900
Rozszerzone flagi = 0x0000
Wersja FS = 0x0000
rootcluster = 2
Lokalizacja infostor = 1
Backup Boot Sector = 6
Infosector:
podpis = 0x41615252
darmowe klastry = 243159
Ostatni przydzielony klaster = 15
Kolejne polecenie, fstat Polecenie może być używane do uzyskania ogólnych znanych informacji, takich jak struktury alokacji, układ i bloki rozruchowe, o obrazie urządzenia. Do tego użyjemy następującego polecenia:
Ubuntu@ubuntu: ~ $ fstat USB.Dd
--------------------------------------------
Typ systemu plików: fat32
Nazwa OEM: MSDOS5.0
Identyfikator głośności: 0x6Efa4158
Etykieta woluminów (sektor rozruchowy): bez nazwy
Etykieta tom (główna katalog): Kingston
Etykieta typu systemu plików: FAT32
Następny bezpłatny sektor (informacje FS): 8296
Free Sector Count (FS Info): 1945272
Sektory przed systemem plików: 32
Układ systemu plików (w sektorach)
Całkowity zakres: 0 - 1953759
* Zarezerwowany: 0 - 4391
** Sektor rozruchu: 0
** Sektor informacyjny FS: 1
** Sektor zapasowy rozruchu: 6
* Tłuszcz 0: 4392 - 6291
* Tłuszcz 1: 6292 - 8191
* Obszar danych: 8192 - 1953759
** Obszar klastra: 8192 - 1953759
*** Katalog główny: 8192 - 8199
Informacje o metadanych
--------------------------------------------
Zakres: 2 - 31129094
Katalog główny: 2
Informacje o treści
--------------------------------------------
Rozmiar sektora: 512
Rozmiar klastra: 4096
Całkowity zakres klastrów: 2 - 243197
Zawartość tłuszczu (w sektorach)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Usunięte pliki
Zestaw Sleuth zapewnia fls narzędzie, które zapewnia wszystkie pliki (szczególnie niedawno usunięte pliki) na każdej ścieżce lub w określonym pliku obrazu. Wszelkie informacje o usuniętych plikach można znaleźć za pomocą fls pożytek. Wprowadź następujące polecenie, aby użyć narzędzia FLS:
Ubuntu@ubuntu: ~ $ fls -rp -f fat32 USB.Dd
R/R 3: Kingston (wpis etykiety tomowej)
D/D 6: Informacje o objętości systemu
R/R 135: Informacje o objętości systemu/WPSettings.Dat
R/R 138: Informacje o objętości systemu/indekservolulumeGuid
R/R * 14: Gra o tron 1 720p x264 DDP 5.1 esub - xrg.MKV
R/R * 22: Game of Thrones 2 (pretcakalp) 720 x264 DDP 5.1 esub - xrg.MKV
R/R * 30: Game of Thrones 3 720p x264 DDP 5.1 esub - xrg.MKV
R/R * 38: Game of Thrones 4 720p x264 DDP 5.1 esub - xrg.MKV
D/D * 41: Oceans Twelve (2004)
R/R 45: Minuty PC-I odbyło się 23.01.2020.Docx
R/R * 49: Minuty LEC odbyło się na 10.02.2020.Docx
R/R * 50: Windump.exe
R/R * 51: _WRL0024.TMP
R/R 55: Minuty LEC odbyło się na 10.02.2020.Docx
D/D * 57: Nowy folder
D/D * 63: Oferta przetargu dla sprzętu infrastruktury sieciowej
R/R * 67: Oferta przetargowa (Mega PC-I) faza II.Docx
R/R * 68: _WRD2343.TMP
R/R * 69: _WRL2519.TMP
R/R 73: Faza II informacyjna (Mega PC-I).Docx
V/V 31129091: $ MBR
V/V 31129092: $ FAT1
v/v 31129093: $ fat2
D/D 31129094: $ Orphanfiles
-/r * 22930439: $ BAD_CONTENT1
-/r * 22930444: $ BAD_CONTENT2
-/r * 22930449: $ BAD_CONTENT3
Tutaj uzyskaliśmy wszystkie odpowiednie pliki. Z komendzie FLS użyto następujących operatorów:
-P = używany do wyświetlania pełnej ścieżki każdego odzyskanego pliku
-R = używany do wyświetlania ścieżek i folderów rekurencyjnie
-F = Typ zastosowanego systemu plików (FAT16, FAT32 itp.)
Powyższe dane wyjściowe pokazuje, że dysk USB zawiera wiele plików. Odzyskane usunięte pliki są odnotowane za pomocą „*" podpisać. Możesz zobaczyć, że coś nie jest normalne z nazwanymi plikami $BAD_CONTENT1, $BAD_CONTENT2, $BAD_CONTENT3, I Windump.exe. Windump to narzędzie do przechwytywania ruchu sieciowego. Korzystając z narzędzia Windump, można przechwytywać dane, które nie są przeznaczone dla tego samego komputera. Intencję pokazuje, że oprogramowanie Windump ma szczególny cel przechwytywania ruchu sieciowego i był celowo wykorzystywany do uzyskania dostępu do osobistej komunikacji legalnego użytkownika.
Analiza osi czasu
Teraz, gdy mamy obraz systemu plików, możemy przeprowadzić analizę harmonogramu MAC obrazu w celu wygenerowania harmonogramu i umieszczać zawartość datą i godziną w systematycznym, czytelnym formacie. Oboje fls I ILS Polecenia można użyć do zbudowania analizy osi czasu systemu plików. W przypadku polecenia FLS musimy określić, że wyjście będzie w formacie wyjściowym macu mac. Aby to zrobić, uruchomimy fls polecenie z -M Flag i przekieruj wyjście do pliku. Będziemy również używać -M flaga z ILS Komenda.
Ubuntu@ubuntu: ~ $ fls -m / -rp -f fat32 ok.DD> USB.fls
Ubuntu@ubuntu: ~ $ cat USB.fls
0 |/Kingston (Wpis etykiety) | 3 | r/rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 |/Informacje o objętości systemu | 6 | D/DR-XR-XR-X | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 153115906
0 |/Informacje o objętości systemu/WPSettings.DAT | 135 | R/RRWXRWXRWX | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 |/Informacje o objętości systemu/indexervolumeGuid | 138 | r/rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Gra o tron 1 720p x264 DDP 5.1 esub - xrg.MKV (usunięte) | 14 | r/rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Gra o tron 2 720p x264 DDP 5.1 esub - xrg.MKV (usunięte) | 22 | r/rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 |/Game of Thrones 3 720p x264 DDP 5.1 esub - xrg.MKV (usunięte) | 30 | r/rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 |/Game of Thrones 4 720p x264 DDP 5.1 esub - xrg.MKV (usunięte) | 38 | r/rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 |/Oceans Dwanaście (2004) (usunięte) | 41 | D/DrwxRwxRwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 |/minuty PC-I odbyło się 23.01.2020.Docx | 45 | r/rrwxRwxRwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 |/minuty LEC utrzymywane na 10.02.2020.Docx (usunięty) | 49 | r/rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/_WRD3886.TMP (usunięte) | 50 | r/rrwxRwxRwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 |/_WRL0024.TMP (usunięte) | 51 | R/RR-XR-XR-X | 0 | 0 | 46659 | 15819666000 | 1581932204 | 0 | 15820046332
0 |/minuty LEC utrzymywane na 10.02.2020.Docx | 55 | r/rrwxRwxRwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(usunięte) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_WRD2343.TMP (usunięte) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_WRL2519.TMP (usunięty) | 69 | R/RR-XR-XR-X | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Tender Notation (Mega PC-I) faza II.Docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ MBR | 31129091 | V/V ---------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/Nowy folder (usunięty) | 57 | D/DrwxRwxRwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (usunięte) | 63 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 |/Tender Notation (Mega PC-I) faza II.Docx (usunięty) | 67 | r/rrwxRwxRwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_WRD2343.TMP (usunięte) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_WRL2519.TMP (usunięty) | 69 | R/RR-XR-XR-X | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Tender Notation (Mega PC-I) faza II.Docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ MBR | 31129091 | V/V ---------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ Orphanfiles | 31129094 | D/D --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 |/$$ BAD_CONTENT 1 (usunięty) | 22930439 |-/rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 2 (usunięte) | 22930444 |-/rrwxRwxRwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 3 (usunięty) | 22930449 |-/rrwxRwxRwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Uruchom Mactime Narzędzie do uzyskania analizy osi czasu za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ cat USB.FLS> USB.prochowiec
Aby przekonwertować ten wyjście mactime na formę czytelną człowieka, wprowadź następujące polecenie:
Ubuntu@ubuntu: ~ $ mactime -b USB.Mac> USB.MactimeCzw 26 lipca 2018 22:57:02 0 M… D /DRWXRWXRWX 0 0 41 /Oceans Dwelve (2004) (usunięty)
Ubuntu@ubuntu: ~ $ cat USB.Mactime
Czw 26 lipca 2018 22:57:26 59 M… - /RRWXRWXRWX 0 0 22930439 /Game of Thrones 4 720p x264 DDP 5.1 ESUB -(usunięty)
47 m… - /rrwxRwxRwx 0 0 22930444 /Game of Thrones 4 720p x264 DDP 5.1 ESUB - (usunięty)
353 M… -/rRWXRWXRWX 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESUB - (usunięty)
Pt 27 lipca 2018 00:00:00 12 .A… r/rRWXRWXRWX 0 0 135/Informacje o objętości systemu/WPSettings.Dat
76 .A… R/rRWXRWXRWX 0 0 138/SYSTEM INFORMACJA/INDEXERVOLUMEGUID
59 .A… - /rRWXRWXRWX 0 0 22930439 /Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (usunięty)
47 .A… -/rRWXRWXRWX 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (usunięty)
353 .A… - /rRWXRWXRWX 0 0 229304449 /Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (usunięty)
Pt 31 stycznia 2020 00:00:00 33180 .A… r /rrwxRwxRwx 0 0 45 /minuty PC-I odbył się 23.01.2020.Docx
Pt 31 stycznia 2020 12:20:38 33180 M… R /RRWXRWXRWX 0 0 45 /minuty PC-I odbyło się 23.01.2020.Docx
Pt. 31 stycznia 2020 12:21:03 33180… b r /rrwxrwxrwx 0 0 45 /minuty PC-i odbyło się 23.01.2020.Docx
Pon, 17 lutego 2020 14:36:44 46659 M… R /RRWXRWXRWX 0 0 49 /minuty LEC odbył się na 10.02.2020.DOCX (usunięty)
46659 M… R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (usunięty)
Wt 18 lutego 2020 00:00:00 46659 .A… r /rRWXRWXRWX 0 0 49 /Game of Thrones 2 720p x264 DDP 5.1 ESUB -(usunięty)
38208 .A… r /rRWXRWXRWX 0 0 50 /_WRD3886.TMP (usunięty)
Wt 18 lutego 2020 10:43:52 46659… B R /RRWXRWXRWX 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 esub -
38208… B R /rRWXRWXRWX 0 0 50 /_WRD3886.TMP (usunięty)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (usunięty)
38208… B R /rRWXRWXRWX 0 0 55 /minuty LEC utrzymywane na 10.02.2020.Docx
Wt 18 lutego 2020 11:13:16 38208 M… R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (usunięty)
46659 .A… R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (usunięty)
38208 .a… r /rrwxrwxrwx 0 0 55 /minuty LEC odbywa się na 10.02.2020.Docx
Wt 18 lutego 2020 10:43:52 46659… B R /RRWXRWXRWX 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 esub -
38208… B R /rRWXRWXRWX 0 0 50 /_WRD3886.TMP (usunięty)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (usunięty)
38208… B R /rRWXRWXRWX 0 0 55 /minuty LEC utrzymywane na 10.02.2020.Docx
Wt 18 lutego 2020 11:13:16 38208 M… R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (usunięty)
38208 M… R /RRWXRWXRWX 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 esub -
Pt 15 maja 2020 00:00:00 4096 .A… D /DRWXRWXRWX 0 0 57 /Nowy folder (usunięty)
4096 .A… D /DRWXRWXRWX 0 0 63 /Oferty Otrzymanie sprzętu do infrastruktury sieciowej dla IIUI (usunięte)
56775 .A… r /rRWXRWXRWX 0 0 67 /TELM POWOD (Mega PC-I) faza II.DOCX (usunięty)
56783 .A… r /rRWXRWXRWX 0 0 68 /_WRD2343.TMP (usunięty)
56775 .A… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (usunięty)
56783 .A… r /rRWXRWXRWX 0 0 73 /TELM POWOD (Mega PC-I) faza II.Docx
Pt 15 maja 2020 12:39:42 4096… B D /DRWXRWXRWX 0 0 57 /Nowy folder (usunięty)
4096… B D /DRWXRWXRWX 0 0 63 /Oferta ofertowa sprzętu do infrastruktury sieciowej dla IIUI (usunięte)
Pt 15 maja 2020 12:39:44 4096 M… D/DRWXRWXRWX 0 0 57 $$ BAD_CONTENT 3 (Usunięte)
4096 M… D /DRWXRWXRWX 0 0 63 /Oferta ofertowa sprzętu do infrastruktury sieciowej dla IIUI (usunięte)
Pt, 15 maja 2020 12:43:18 56775 M… R/RRWXRWXRWX 0 0 67 $$ BAD_CONTENT 1 (usunięty)
56775 M… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (usunięty)
Pt 15 maja 2020 12:45:01 56775… B R/RRWXRWXRWX 0 0 67 $$ BAD_CONTENT 2 (usunięty)
56783… B R /rRWXRWXRWX 0 0 68 /_WRD2343.TMP (usunięty)
56775… B R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (usunięty)
56783… B R /rRWXRWXRWX 0 0 73 /Zawiadomienie (Mega PC-I) Phase-II.Docx
Pt 15 maja 2020 12:45:36 56783 M… R/RRWXRWXRWX 0 0 68 WINDUMP.exe (usunięty)
56783 M… R /RRWXRWXRWX 0 0 73 /TELM POWOD (Mega PC-I) Phase-II.Docx
Wszystkie pliki powinny zostać odzyskane za pomocą znacznika czasu w formacie odczytującego człowieka w pliku „USB.Mactime."
Narzędzia do analizy kryminalistycznej USB
Istnieją różne narzędzia, które można użyć do przeprowadzania analizy kryminalistycznej na dysku USB, takich jak Sleuth Kit Autopsy, FTK Imager, Główny, itp. Najpierw przyjrzymy się narzędzia do sekcji zwłok.
Autopsja
Autopsja Służy do wyodrębnienia i analizy danych z różnych rodzajów obrazów, takich jak AFF (Advance Format Format), .obrazy DD, surowe obrazy itp. Ten program jest potężnym narzędziem używanym przez śledczych kryminalistycznych i różnych organów ścigania. Sekcja zwłok składa się z wielu narzędzi, które mogą pomóc badaczom w wykonywaniu zadania wydajnego i płynnego. Narzędzie do sekcji zwłok jest dostępne zarówno dla platform Windows, jak i UNIX bezpłatnie.
Aby przeanalizować obraz USB za pomocą sekcji zwłok, musisz najpierw utworzyć przypadek, w tym pisanie nazw badaczy, nagrywanie nazwy sprawy i innych zadań informacyjnych. Następnym krokiem jest zaimportowanie obrazu źródłowego napędu USB uzyskanego na początku procesu za pomocą Dd pożytek. Następnie pozwolimy narzędziem z autopsji zrobić to, co robi najlepiej.
Ilość informacji dostarczonych przez Autopsja jest ogromny. Sekcja zwłok zapewnia oryginalne nazwy plików, a także pozwala zbadać katalogi i ścieżki ze wszystkimi informacjami o odpowiednich plikach, takich jak dostęp, zmodyfikowane, zmienione, data, I czas. Informacje o metadanych są również pobierane, a wszystkie informacje są sortowane w sposób profesjonalny. Aby ułatwić wyszukiwanie plików, autopsja zapewnia Szukanie słowa kluczowego opcja, która pozwala użytkownikowi szybko i wydajnie wyszukiwać ciąg lub liczby z odzyskanej zawartości.
W lewym panelu podkategorii Typy plików, zobaczysz kategorię o nazwie „Usunięte pliki„Zawierające usunięte pliki z pożądanego obrazu napędu ze wszystkimi informacjami o analizie metadanych i osi czasu.
Autopsja to graficzny interfejs użytkownika (GUI) dla narzędzia wiersza polecenia Zestaw Sleuth i jest na najwyższym poziomie w świecie kryminalistycznym ze względu na jego integralność, wszechstronność, łatwą w użyciu naturę i zdolność do uzyskania szybkich wyników. Forensics urządzenia USB można wykonywać tak łatwo Autopsja jak na każdym innym płatnym narzędziu.
FTK Imager
FTK Imager to kolejne świetne narzędzie używane do pobierania i pozyskiwania danych z różnych rodzajów dostarczonych obrazów. FTK Imager ma również możliwość wykonania kopii obrazu bit-bit, aby żadne inne narzędzie takie jak Dd Lub dcfldd jest potrzebny do tego celu. Ta kopia napędu zawiera wszystkie pliki i foldery, nie do zorganizowanej i wolnej przestrzeni oraz usunięte pliki pozostawione w Slack Space lub nie do zorganizowanej przestrzeni. Podstawowym celem tutaj podczas przeprowadzania analizy kryminalistycznej na dyskach USB jest odtworzenie lub odtworzenie scenariusza ataku.
Przyjrzymy się teraz przeprowadzeniu analizy kryminalistycznej USB na obrazie USB za pomocą narzędzia FTK Imager.
Najpierw dodaj plik obrazu do FTK Imager klikając Plik >> Dodaj dowody elementów.
Teraz wybierz typ pliku, który chcesz zaimportować. W takim przypadku jest to plik obrazu dysku USB.
Teraz wprowadź pełną lokalizację pliku obrazu. Pamiętaj, że musisz podać pełną ścieżkę tego kroku. Kliknij Skończyć rozpocząć pozyskiwanie danych i pozwolić FTK Imager Wykonaj pracę. Po pewnym czasie narzędzie zapewni pożądane wyniki.
Tutaj pierwszą rzeczą jest weryfikacja Integralność obrazu klikając prawym przyciskiem myszy nazwę obrazu i wybierając Sprawdź obraz. Narzędzie sprawdzi dopasowanie skrótów MD5 lub SHA1 dostarczonych z informacjami obrazu, a także powie, czy obraz został zmodyfikowany przed zaimportowaniem do FTK Imager narzędzie.
Teraz, Eksport podane wyniki dla wybranej ścieżki poprzez kliknięcie nazwy obrazu prawym przyciskiem myszy i wybór Eksport opcja go przeanalizować. FTK Imager utworzy pełny dziennik danych procesu kryminalistycznego i umieści te dzienniki w tym samym folderze co plik obrazu.
Analiza
Odzyskane dane mogą być w dowolnym formacie, takie jak TAR, ZIP (dla plików skompresowanych), PNG, JPEG, JPG (dla plików obrazu), MP4, format AVI (dla plików wideo), kody barkodowe, PDF i inne formaty plików. Powinieneś przeanalizować metadane podanych plików i sprawdzić kody kreskowe w postaci Kod QR. Może to być w pliku PNG i można go odzyskać za pomocą Zbar narzędzie. W większości przypadków pliki DOCX i PDF są używane do ukrywania danych statystycznych, więc muszą być nieskompresowane. KDBX pliki można otworzyć za pośrednictwem Keepass; Hasło mogło być przechowywane w innych odzyskanych plikach lub w dowolnym momencie możemy wykonać bruteforce.
Główny
Przede wszystkim to narzędzie używane do odzyskiwania usuniętych plików i folderów z obrazu napędu za pomocą nagłówków i stopek. Przyjrzymy się strony Man ForeMost, aby zbadać potężne polecenia zawarte w tym narzędziu:
Ubuntu@ubuntu: ~ $ man
-A umożliwia zapisz wszystkie nagłówki, nie wykonuj wykrywania błędów w kategoriach
uszkodzonych plików.
-liczba b
Umożliwia określenie wielkości bloku używanego w najważniejszym. To jest
istotne dla nazywania plików i szybkich wyszukiwania. Domyślnie jest
512. tj. przede wszystkim -b 1024 obraz.Dd
-Q (tryb szybki):
Włącza tryb szybki. W trybie szybkim, tylko początek każdego sektora
jest szukany pasujących nagłówków. To znaczy nagłówek jest
przeszukano tylko do długości najdłuższego nagłówka. Reszta
sektora, zwykle około 500 bajtów, jest ignorowany. Ten tryb
sprawia, że najważniejsze jest znacznie szybsze, ale może to spowodować
Miss Files, które są osadzone w innych plikach. Na przykład użycie
tryb szybki Nie będziesz mógł znaleźć wbudowanych obrazów JPEG
Dokumenty Microsoft Word.
Nie należy używać trybu szybkiego podczas badania systemów plików NTFS.
Ponieważ NTFS będzie przechowywać małe pliki w pliku głównym
ble, te pliki będą pominięte w trybie szybkim.
-A umożliwia zapisz wszystkie nagłówki, nie wykonuj wykrywania błędów w kategoriach
uszkodzonych plików.
-I (wejście) plik:
Plik używany z opcją I jest używany jako plik wejściowy.
W przypadku, gdy nie określono żadnego pliku wejściowego Stdin jest używany do C.
Plik używany z opcją I jest używany jako plik wejściowy.
W przypadku, gdy nie określono żadnego pliku wejściowego Stdin jest używany do C.
Aby wykonać zadanie, użyjemy następującego polecenia:
Ubuntu@ubuntu: ~ $ najważniejsze USB.Dd
Po zakończeniu procesu będzie plik w /wyjście Folder o nazwie tekst zawierające wyniki.
Wniosek
Kwinstryka z napędem USB to dobra umiejętność, aby odzyskać dowody i odzyskać usunięte pliki z urządzenia USB, a także zidentyfikować i zbadać, jakie programy komputerowe mogły zostać użyte w ataku. Następnie możesz zebrać kroki, które atakujący mógł podjąć, aby udowodnić lub obalić roszczenia uzasadnione przez legalnego użytkownika lub ofiarę. Aby upewnić się, że nikt nie ucieknie z cyberprzestępczością obejmującą dane USB, USB Forensics jest niezbędnym narzędziem. Urządzenia USB zawierają kluczowe dowody w większości przypadków kryminalistycznych, a czasem dane kryminalistyczne uzyskane z dysku USB mogą pomóc w odzyskaniu ważnych i cennych danych osobowych.