Kohtuekspertiisid

USB kohtuekspertiis

USB kohtuekspertiis
Kasutamine USB Isikuandmete ja teabe salvestamiseks mõeldud seadmed suurenevad iga päevaga nende seadmete teisaldatavuse ja pistikprogrammi laadimise tõttu. A USB (universaalne jadasiin) seade pakub mälumahtu vahemikus 2 GB kuni 128 GB või rohkem. Nende seadmete varjatud olemuse tõttu saab USB-draive kasutada pahatahtlike ja ohtlike programmide ja failide, näiteks pakett-nuusutajate, klahvilogerite, pahatahtlike failide jms salvestamiseks. häkkerite ja skriptipoiste pahatahtlike ülesannete täitmiseks. Kui USB-seadmest kustutatakse süüdistatav teave, näiteks väljapressimine, tuleb kustutatud teabe hankimiseks mängu USB-kohtuekspertiis. Kustutatud andmete otsimine või taastamine USB-draividest on see, mida me nimetame USB-kohtuekspertiisiks. Selles artiklis heidetakse pilk USB-seadmel kohtuekspertiisi analüüsi teostamise professionaalsele protseduurile.

Looge USB-draivi koopia pilt

Esimese asjana teeme USB-draivist koopia. Sellisel juhul tavalised varukoopiad ei tööta. See on väga oluline samm ja kui see tehakse valesti, läheb kogu töö raisku. Kõigi süsteemiga ühendatud draivide loetlemiseks kasutage järgmist käsku:

[meiliga kaitstud]: ~ $ sudo fdisk -l

Linuxis erinevad draivide nimed Windowsist. Linuxi süsteemis, hda ja hdb kasutatakse (sda, sdb, SDK, jne.) erinevalt Windows OS-ist.

Nüüd, kui meil on draivi nimi, saame selle luua .dd pilt bitipidi koos dd utiliidi, sisestades järgmise käsu:

[meiliga kaitstud]: ~ $ sudo dd if = / dev / sdc1 / usb-st.dd bs = 512 loend = 1

kui= USB-draivi asukoht
kohta= sihtkoht, kuhu kopeeritud pilt salvestatakse (võib olla teie süsteemi kohalik tee, nt.g. / home / user / usb.dd)
bs= korraga kopeeritavate baitide arv

Et kindlustada tõendit selle kohta, et meil on draivi originaalpilt, kasutame seda räsimine pildi terviklikkuse säilitamiseks. Räsimine annab USB-draivile räsi. Kui muudetakse ühte andmebitti, muudetakse räsi täielikult ja saab teada, kas koopia on võlts või originaal. Genereerime draivi md5 räsi, nii et draivi algse räsiga võrreldes ei saaks keegi kahtluse alla seada koopia terviklikkust.

[meiliga kaitstud]: ~ $ md5sum usb.dd

See annab pildi md5 räsi. Nüüd saame selle äsja loodud USB-draivi pildi ja räsi abil alustada kohtuekspertiisi analüüsi.

Buutsektori paigutus

Faili käsu käivitamine annab tagasi failisüsteemi ja draivi geomeetria:

[meiliga kaitstud]: ~ $ fail usb.dd
Okei.dd: DOS / MBR alglaadimissektor, koodi nihe 0x58 + 2, OEM-ID "MSDOS5.0 ",
sektorid / klaster 8, reserveeritud sektorid 4392, meediakirjeldus 0xf8,
sektorid / rada 63, pead 255, peidetud sektorid 32, sektorid 1953760 (mahud> 32 MB),
FAT (32-bitine), sektorid / FAT 1900, reserveeritud 0x1, seerianumber 0x6efa4158, sildita

Nüüd saame kasutada minfo tööriist NTFS-i käivitussektori paigutuse ja alglaadimissektori teabe saamiseks järgmise käsu kaudu:

[meiliga kaitstud]: ~ $ minfo -i usb.dd
seadme teave:
===================
failinimi = "ok.dd "
sektorid pala kohta: 63
pead: 255
silindrid: 122
mformati käsurida: mformat -T 1953760 -i ok.dd-h 255 -s 63 -H 32 ::
alglaadimissektori teave
======================
bänner: "MSDOS5.0 "
sektori suurus: 512 baiti
klastri suurus: 8 sektorit
reserveeritud (boot) sektorid: 4392
rasvad: 2
max saadaolevad juurkataloogi pesad: 0
väike suurus: 0 sektorit
meediumikirjeldaja bait: 0xf8
sektorid rasva kohta: 0
sektorid pala kohta: 63
pead: 255
varjatud sektorid: 32
suur suurus: 1953760 sektorit
füüsilise draivi ID: 0x80
reserveeritud = 0x1
dos4 = 0x29
seerianumber: 6EFA4158
kettasilt = "NO NAME"
ketta tüüp = "FAT32"
Suur tüsedus = 1900
Laiendatud lipud = 0x0000
FS versioon = 0x0000
juurklaster = 2
infoSektori asukoht = 1
varukastisektor = 6
Infosektor:
allkiri = 0x41615252
vabad klastrid = 243159
viimane eraldatud klaster = 15

Teine käsk, fstat käsku, saab kasutada seadme pildi kohta üldtuntud teabe, näiteks eraldusstruktuuride, paigutuse ja alglaadimisplokkide hankimiseks. Selleks kasutame järgmist käsku:

[meiliga kaitstud]: ~ $ fstat usb.dd
--------------------------------------------
Failisüsteemi tüüp: FAT32
OEM-nimi: MSDOS5.0
Köite ID: 0x6efa4158
Köitesilt (alglaadimissektor): NIMI puudub
Köitesilt (juurkataloog): KINGSTON
Failisüsteemi tüübi silt: FAT32
Järgmine tasuta sektor (FS-i teave): 8296
Vaba sektorite arv (FS info): 1945272
Sektorid enne failisüsteemi: 32
Failisüsteemi paigutus (sektorites)
Kogu vahemik: 0 - 1953759
* Reserveeritud: 0 - 4391
** Buutsektor: 0
** FS infosektor: 1
** Varundamissektor: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Andmepiirkond: 8192 - 1953759
** Klastri piirkond: 8192 - 1953759
*** Juurekataloog: 8192 - 8199
METAANDMETE TEAVE
--------------------------------------------
Vahemik: 2 - 31129094
Juurekataloog: 2
SISUKORD
--------------------------------------------
Sektori suurus: 512
Klastri suurus: 4096
Klastri kogu vahemik: 2 - 243197
RASVA SISU (sektorites)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF

Kustutatud failid

The Sleuth Kit annab fls tööriist, mis pakub kõiki faile (eriti hiljuti kustutatud faile) igal teel või määratud pildifailis. Mis tahes teavet kustutatud failide kohta leiate menüüst fls utiliit. Tööriista fls kasutamiseks sisestage järgmine käsk:

[meiliga kaitstud]: ~ $ fls -rp -f fat32 usb.dd
r / r 3: KINGSTON (köitesilt)
d / d 6: süsteemimahu teave
r / r 135: süsteemimahu teave / WPS-seaded.dat
r / r 138: süsteemimahu teave / IndexerVolumeGuid
r / r * 14: Troonide mäng 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Troonide mäng 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Troonide mäng 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Troonide mäng 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Ookeanid kaksteist (2004)
r / r 45: PC-I PROTOKOLL JUHTUS 23.01.2020.docx
r / r * 49: LEC-i MINUTID LÕPPENUD 10.02.2020.docx
r / r * 50: tuuletõke.exe
r / r * 51: _WRL0024.tmp
r / r 55: LEC-i PROTOKOLL KELL 10.02.2020.docx
d / d * 57: uus kaust
d / d * 63: hanketeade võrgu infrastruktuuri seadmete kohta
r / r * 67: PAKKUMISE TEADE (Mega PC-I) II etapp.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: PAKKUMISE TEADE (Mega PC-I) II etapp.docx
v / v 31129091: MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ halb_sisu3

Siit oleme hankinud kõik asjakohased failid. Fls käsuga kasutati järgmisi operaatoreid:

-lk = kasutatakse iga taastatud faili täieliku tee kuvamiseks
-r = kasutatakse teede ja kaustade rekursiivseks kuvamiseks
-f = kasutatud failisüsteemi tüüp (FAT16, FAT32 jne.)

Ülaltoodud väljund näitab, et USB-draiv sisaldab palju faile. Taastatud kustutatud failid tähistatakse tähisega*”Märk. Näete, et nimega failidega pole midagi normaalset  $halb_sisu1, $halb_sisu2, $halb_sisu3, ja  tuuletõke.exe. Windump on võrguliikluse püüdmise tööriist.  Windumpi tööriista abil saab hõivata andmeid, mis pole mõeldud sama arvuti jaoks. Kavatsus ilmneb asjaolust, et tarkvara windump konkreetne eesmärk on võrguliikluse hõivamine ja seda kasutati tahtlikult juurdepääsu saamiseks seadusliku kasutaja isiklikule suhtlusele.

Ajaskaala analüüs

Nüüd, kui meil on failisüsteemi pilt, saame teha pildi MAC-i ajaskaala analüüsi, et luua ajaskaala ning paigutada sisu koos kuupäeva ja kellaajaga süsteemsesse, loetavasse vormingusse. Mõlemad fls ja nt käske saab kasutada failisüsteemi ajaskaala analüüsi koostamiseks. Fls-käsu jaoks peame täpsustama, et väljund on MAC-ajaskaala väljundvormingus. Selleks käivitame fls käsk -m märkige ja suunake väljund faili. Kasutame ka -m lipuga nt käsk.

[meiliga kaitstud]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls
[meiliga kaitstud]: ~ $ kass usb.fls
0 | / KINGSTON (köitesilt) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Süsteemi maht | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Süsteemi maht / WPSetted.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Süsteemi maht / indeks
0 | Troonide mäng 1 720p x264 DDP 5.1 ESub - xRG.mkv (välja jäetud) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Troonide mäng 2 720p x264 DDP 5.1 ESub - xRG.mkv (välja jäetud) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Troonide mäng 3 720p x264 DDP 5.1 ESub - xRG.mkv (välja jäetud) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Troonide mäng 4 720p x264 DDP 5.1 ESub - xRG.mkv (välja jäetud) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (välja jäetud) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / PC-I PROTOKOLL JUBA 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / LEC-i MINUTIT LÕPPENUD 10.02.2020.docx (kustutatud) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (välja jäetud) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (kustutatud) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / LEC-i MINUTIT LÕPPENUD 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(välja jäetud) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (välja jäetud) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (kustutatud) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / PAKKUMISE TEADE (Mega PC-I) II etapp.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Uus kaust (kustutatud) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (välja jäetud) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / PAKKUMISE TEADE (Mega PC-I) II etapp.docx (kustutatud) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (välja jäetud) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (kustutatud) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / PAKKUMISE TEADE (Mega PC-I) II etapp.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ Orbfailid | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ halb_sisu 1 (kustutatud) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ halb_sisu 2 (kustutatud) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ halb_sisu 3 (kustutatud) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821

Käivitage mactime tööriist ajaskaala analüüsi saamiseks järgmise käsuga:

[meiliga kaitstud]: ~ $ kass usb.fls> usb.mac

Selleactime väljundi teisendamiseks inimesele loetavaks vormiks sisestage järgmine käsk:

[meiliga kaitstud]: ~ $ mactime -b usb.mac> usb.mactime
[meiliga kaitstud]: ~ $ kass usb.mactime Neljapäev, 26. juuli 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (välja jäetud)
N 26. juuli 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Troonide mäng 4 720p x264 DDP 5.1 ESub - (välja jäetud)
47 m… - / rrwxrwxrwx 0 0 22930444 / Troonide mäng 4 720p x264 DDP 5.1 ESub - (välja jäetud)
353 m… - / rrwxrwxrwx 0 0 22930449 // Troonide mäng 4 720p x264 DDP 5.1 ESub - (välja jäetud)
R 27. juuli 2018 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / Teave süsteemi mahu kohta / WPSetted.dat
76 .a… r / rrwxrwxrwx 0 0 138 / süsteemimahu teave / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Troonide mäng 3 720p x264 DDP 5.1 ESub 3 (välja jäetud)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Troonide mäng 3 720p x264 DDP 5.1 ESub 3 (välja jäetud)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Troonide mäng 3 720p x264 DDP 5.1 ESub 3 (välja jäetud)
R 31. jaanuar 2020 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / PC-I MINUTID JUHTUSID 23. PÄEVAL.01.2020.docx
Reede, 31. jaanuar 2020, 12:20:38 33180 m.01.2020.docx
Reede 31. jaanuar 2020 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / PC-I MINUTID TOIMUSID 23. PÄEVAL.01.2020.docx
E 17. veebruar 2020 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49 / LEC-i MINUTID TOIMUNUD.02.2020.docx (kustutatud)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (kustutatud)
Teisipäev, 18. veebruar 2020 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Troonide mäng 2 720p x264 DDP 5.1 ESub - (välja jäetud)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (kustutatud)
Teisipäev, 18. veebruar 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Troonide mäng 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (kustutatud)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (kustutatud)
38208… b r / rrwxrwxrwx 0 0 55 / LEC-i MINUTID LÄBI.02.2020.docx
Teisipäev, 18. veebruar 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (kustutatud)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (kustutatud)
38208 .a… r / rrwxrwxrwx 0 0 55 / LEC-i MINUTID LÕPPASID 10.02.2020.docx
Teisipäev, 18. veebruar 2020, 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Troonide mäng 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (kustutatud)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (kustutatud)
38208… b r / rrwxrwxrwx 0 0 55 / LEC-i MINUTID LÄBI.02.2020.docx
Teisipäev, 18. veebruar 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (kustutatud)
38208 m… r / rrwxrwxrwx 0 0 55 / Troonide mäng 3 720p x264 DDP 5.1 ESub -
R 15. mai 2020 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Uus kaust (kustutatud)
4096 .a… d / drwxrwxrwx 0 0 63 / IIUI võrguinfrastruktuuriseadmete hanketeade (välja jäetud)
56775 .a… r / rrwxrwxrwx 0 0 67 / PAKKUMISE TEADE (Mega PC-I) II etapp.docx (kustutatud)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (kustutatud)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (kustutatud)
56783 .a… r / rrwxrwxrwx 0 0 73 / PAKKUMISE TEADE (Mega PC-I) II etapp.docx
R 15. mai 2020 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Uus kaust (kustutatud)
4096… b d / drwxrwxrwx 0 0 63 / IIUI võrguinfrastruktuuriseadmete hanketeade (välja jäetud)
R 15. mai 2020 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (kustutatud)
4096 m… d / drwxrwxrwx 0 0 63 / IIUI võrguinfrastruktuuriseadmete hanketeade (välja jäetud)
R 15. mai 2020 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (kustutatud)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (kustutatud)
R 15. mai 2020 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (kustutatud)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (kustutatud)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (kustutatud)
56783… b r / rrwxrwxrwx 0 0 73 / PAKKUMISE TEADE (Mega PC-I) II etapp.docx
Reede 15. mai 2020 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 windump.exe (kustutatud)
56783 m… r / rrwxrwxrwx 0 0 73 / PAKKUMISE TEADE (Mega PC-I) II etapp.docx

Kõik failid tuleks taastada koos ajatempliga inimloetavas vormingus failis „usb.mactime.”

Tööriistad USB kohtuekspertiisi analüüsiks

USB-draivil kohtuekspertiisi analüüsi tegemiseks saab kasutada erinevaid tööriistu, näiteks Sleuth Kit lahkamine, FTK pildistaja, Eeskätt, jne. Kõigepealt vaatame lahangu tööriista.

Lahkamine

Lahkamine kasutatakse andmete eraldamiseks ja analüüsimiseks erinevat tüüpi piltidest, näiteks AFF (Advance Forensic Format) piltidest, .dd pildid, toored pildid jne. See programm on võimas tööriist, mida kasutavad kriminalistid ja erinevad õiguskaitseorganid. Lahkamine koosneb paljudest tööriistadest, mis võivad aidata uurijatel tööd tõhusalt ja sujuvalt teha. Lahkamise tööriist on tasuta saadaval nii Windowsi kui ka UNIX-i platvormidele.

USB-pildi analüüsimiseks lahangu abil peate kõigepealt looma juhtumi, sealhulgas kirjutama uurijate nimed, salvestama juhtumi nime ja muud informatiivsed ülesanded. Järgmine samm on protsessi alguses saadud USB-draivi lähtepildi importimine dd utiliit. Seejärel laseme lahkamistööriistal teha seda, mida see kõige paremini teeb.

Pakutava teabe hulk Lahkamine on tohutu. Lahkamine annab algsed failinimed ja võimaldab teil uurida ka katalooge ja teid koos kogu asjakohaste failide teabega, näiteks juurde pääsenud, muudetud, muutunud, kuupäev, ja aeg. Samuti leitakse metaandmete teave ja kogu info sorteeritakse professionaalselt. Failide otsimise hõlbustamiseks pakub lahang a Võtmesõna otsing suvand, mis võimaldab kasutajal allalaaditud sisu hulgast stringi või numbrit kiiresti ja tõhusalt otsida.

Alamkategooria vasakpoolsel paneelil Failitüübid, näete kategooriat nimegaKustutatud failid”Sisaldab soovitud draivipildilt kustutatud faile koos kogu metaandmete ja ajaskaala analüüsi teabega.

Lahkamine on käsurea tööriista graafiline kasutajaliides (GUI) Sleuth Kit ning on kohtuekspertiisi maailmas tipptasemel tänu oma terviklikkusele, mitmekülgsusele, hõlpsasti kasutatavale olemusele ja võimele anda kiireid tulemusi. USB-seadme kohtuekspertiisi saab teha nii lihtsalt Lahkamine nagu mis tahes muu tasulise tööriista puhul.

FTK pildistaja

FTK Imager on veel üks suurepärane tööriist, mida kasutatakse erinevat tüüpi piltide andmete otsimiseks ja hankimiseks. FTK Imageril on ka võimalus teha bitipidi pildi koopia, nii et ükski teine ​​tööriist ei meeldi dd või dcfldd on selleks vajalik. See draivi koopia sisaldab kõiki faile ja kaustu, eraldamata ja vaba ruumi ning kustutatud faile, mis on jäänud tühja ruumi või jaotamata ruumi. USB-draividel kohtuekspertiisi tegemisel on siin põhieesmärk rünnaku stsenaariumi rekonstrueerimine või uuesti loomine.

Nüüd vaatame USB-pildil USB-kohtuekspertiisi analüüsi, kasutades tööriista FTK Imager.

Esmalt lisage pildifail FTK pildistaja klikkides Fail >> Lisa tõend üksus.

Nüüd valige failitüüp, mille soovite importida. Sel juhul on see USB-draivi pildifail.

Nüüd sisestage pildifaili täielik asukoht. Pidage meeles, et peate selle sammu jaoks esitama täieliku tee. Klõpsake nuppu Lõpetama alustada andmete hankimist ja lasta FTK pildistaja töö ära tegema. Mõne aja pärast annab tööriist soovitud tulemused.

Siinkohal tuleb kõigepealt kontrollida Pildi terviklikkus paremklõpsates pildi nimel ja valides Kontrollige pilti. Tööriist kontrollib, kas pilditeabega on kaasas md5 või SHA1 räsi, ning ütleb teile ka, kas pilti on enne selle importimist muudetud FTK pildistaja tööriist.

Nüüd, Eksport antud tulemused valitud teele paremklõpsates pildi nimel ja valides Eksport võimalus seda analüüsida. The FTK pildistaja loob kohtuekspertiisi protsessi täieliku andmelogi ja paigutab need logid pildifailiga samasse kausta.

Analüüs

Taastatud andmed võivad olla mis tahes vormingus, nagu tõrv, zip (tihendatud failide korral), png, jpeg, JPG (pildifailide jaoks), mp4, avi-vorming (videofailide jaoks), vöötkoodid, pdf-failid ja muud failivormingud. Peaksite analüüsima antud failide metaandmeid ja kontrollima vöötkoodide olemasolu a kujul QR kood. See võib olla png-failis ja selle saab alla laadida ZBAR tööriist. Enamasti kasutatakse statistiliste andmete peitmiseks docx- ja pdf-faile, mistõttu need peavad olema tihendamata. Kdbx faile saab avada läbi Keepass; parool võib olla salvestatud teistesse taastatud failidesse või võime bruteforce'i teha igal ajal.

Eeskätt

Foremost on tööriist, mida kasutatakse draivipildilt kustutatud failide ja kaustade taastamiseks päiste ja jaluste abil. Heidame pilgu Foremosti manulehele, et uurida selles tööriistas sisalduvaid võimsaid käske:

[meiliga kaitstud]: ennekõike ~ $ mees
-a Võimaldab kirjutada kõik päised, ilma veatuvastusteta
rikutud faile.
-b number
Võimaldab määrata eelkõige kasutatava ploki suuruse. See on
asjakohane failide nimetamise ja kiirete otsingute jaoks. Vaikimisi on
512. st. eesmine -b 1024 pilt.dd
-q (kiire režiim):
Lubab kiirrežiimi. Kiirrežiimis ainult iga sektori algus
otsitakse vastavaid päiseid. See tähendab, et päis on
otsis ainult kuni kõige pikema päise pikkuseni. Ülejäänud
sektorist, tavaliselt umbes 500 baiti, eiratakse. See režiim
paneb peamise jooksma tunduvalt kiiremini, kuid see võib põhjustada teid
jäta vahele failid, mis on manustatud teistesse failidesse. Näiteks kasutades
kiirrežiimis ei leia varjatud JPEG-pilte
Microsoft Wordi dokumendid.
NTFS-failisüsteemide uurimisel ei tohiks kiirrežiimi kasutada.
Kuna NTFS salvestab väikefailid põhifaili Ta
ble, need failid jäävad kiirrežiimis vahele.
-a Võimaldab kirjutada kõik päised, ilma veatuvastusteta
rikutud faile.
-i (sisend) fail:
Sisendfailina kasutatakse valikut i kasutatavat faili.
Kui sisendfaili pole määratud, kasutatakse stdinit c-ga.

Sisendfailina kasutatakse valikut i kasutatavat faili.

Kui sisendfaili pole määratud, kasutatakse stdinit c-ga.

Töö tegemiseks kasutame järgmist käsku:

[meiliga kaitstud]: ~ $ ennekõike usb.dd

Pärast protsessi lõppu on failis fail / väljund nimega kaust teksti mis sisaldab tulemusi.

Järeldus

USB-draivi kohtuekspertiis on hea oskus tõendite hankimiseks ja kustutatud failide taastamiseks USB-seadmest, samuti rünnakus kasutatud arvutiprogrammide tuvastamiseks ja uurimiseks. Seejärel võite kokku panna toimingud, mida ründaja võis seadusliku kasutaja või ohvri väidete tõestamiseks või ümber lükata. Et keegi ei saaks USB-andmetega seotud küberkuriteost lahti, on USB-kohtuekspertiis hädavajalik tööriist. USB-seadmed sisaldavad põhitõendeid enamikul kohtuekspertiisi juhtumitest ja mõnikord võivad USB-draivilt saadud kohtuekspertiisi andmed aidata oluliste ja väärtuslike isikuandmete taastamisel.

Mängud Kommertsmängumootorite avatud lähtekoodiga sadamad
Kommertsmängumootorite avatud lähtekoodiga sadamad
Tasuta, avatud lähtekoodiga ja platvormidevaheliste mängumootorite puhkusereise saab kasutada nii vanade kui ka mõnede üsna hiljutiste mängude pealkir...
Mängud Parimad Linuxi käsurea mängud
Parimad Linuxi käsurea mängud
Käsurida pole Linuxi kasutamisel lihtsalt teie suurim liitlane - see võib olla ka meelelahutusallikas, sest saate seda kasutada paljude lõbusate mängu...
Mängud Parimad Linuxi mängupuldi kaardistamise rakendused
Parimad Linuxi mängupuldi kaardistamise rakendused
Kui teile meeldib mängida Linuxis mänge tavalise klaviatuuri ja hiire sisestussüsteemi asemel mängupuldiga, on teie jaoks mõned kasulikud rakendused. ...