Phenquestions
Stvorite kopiju slike USB pogona
Prvo što ćemo napraviti je napraviti kopiju USB pogona. U tom slučaju redovite sigurnosne kopije neće raditi. Ovo je vrlo presudan korak, a ako se učini pogrešno, sav će posao propasti. Upotrijebite sljedeću naredbu za popis svih pogona priključenih na sustav:
[e-pošta zaštićena]: ~ $ sudo fdisk -lU Linuxu se nazivi pogona razlikuju od sustava Windows. U Linux sustavu, hda i hdb su korišteni (sda, sdb, sdc, itd.) za SCSI, za razliku od Windows OS-a.
Sad kad imamo naziv pogona, možemo ga stvoriti .dd slika malo po malo sa dd uslužni program unošenjem sljedeće naredbe:
[e-pošta zaštićena]: ~ $ sudo dd if = / dev / sdc1 od = usb.dd bs = 512 broj = 1ako= mjesto USB pogona
od= odredište na kojem će se pohraniti kopirana slika (može biti lokalni put u vašem sustavu, npr.g. / home / user / usb.dd)
bs= broj bajtova koji će se istodobno kopirati
Da bismo osigurali dokaz da imamo izvornu kopiju slike pogona, koristit ćemo ga raspršivanje kako bi se održala cjelovitost slike. Hashing će osigurati hash za USB pogon. Ako se promijeni jedan bit podataka, raspršivač će se u potpunosti promijeniti, a netko će znati je li kopija lažna ili originalna. Generirat ćemo md5 hash pogona tako da, u usporedbi s izvornim hashom pogona, nitko ne može dovesti u pitanje integritet kopije.
[e-pošta zaštićena]: ~ $ md5sum usb.ddTo će osigurati md5 hash slike. Sada možemo započeti našu forenzičku analizu na ovoj novostvorenoj slici USB pogona, zajedno s hashom.
Izgled sektora za pokretanje
Pokretanjem naredbe datoteka vratit će datotečni sustav, kao i geometriju pogona:
[zaštićena e-poštom]: ~ $ datoteka usb.ddu redu.dd: DOS / MBR boot sektor, pomak koda 0x58 + 2, OEM-ID "MSDOS5.0 ",
sektori / klaster 8, rezervirani sektori 4392, deskriptor medija 0xf8,
sektori / staza 63, glave 255, skriveni sektori 32, sektori 1953760 (sveza> 32 MB),
FAT (32 bit), sektori / FAT 1900, rezervirano 0x1, serijski broj 0x6efa4158, neoznačeno
Sada možemo koristiti minfo alat za dobivanje izgleda NTFS sustava za pokretanje i podataka o sektoru za podizanje putem sljedeće naredbe:
[e-pošta zaštićena]: ~ $ minfo -i usb.ddinformacije o uređaju:
===================
filename = "ok.dd"
sektori po stazi: 63
glava: 255
cilindri: 122
mformat naredbeni redak: mformat -T 1953760 -i ok.dd -h 255-i 63 -H 32 ::
informacije o boot sektoru
======================
natpis: "MSDOS5.0 "
veličina sektora: 512 bajtova
veličina klastera: 8 sektora
rezervirani (boot) sektori: 4392
masti: 2
maks. dostupnih mjesta za korijenski direktorij: 0
mala veličina: 0 sektora
bajt deskriptora medija: 0xf8
sektori po masti: 0
sektori po stazi: 63
glava: 255
skriveni sektori: 32
velika veličina: 1953760 sektora
ID fizičkog pogona: 0x80
rezervirano = 0x1
dos4 = 0x29
serijski broj: 6EFA4158
oznaka diska = "NO NAME"
vrsta diska = "FAT32"
Veliki tov = 1900
Proširene zastave = 0x0000
FS verzija = 0x0000
rootCluster = 2
mjesto infoSektora = 1
sigurnosni sektor za podizanje sustava = 6
Infosektor:
potpis = 0x41615252
slobodni klasteri = 243159
zadnji dodijeljeni klaster = 15
Druga naredba, fstat naredba, može se koristiti za dobivanje općepoznatih informacija, kao što su strukture dodjele, izgled i blokovi pokretanja, o slici uređaja. Za to ćemo upotrijebiti sljedeću naredbu:
[e-pošta zaštićena]: ~ $ fstat usb.dd--------------------------------------------
Tip datotečnog sustava: FAT32
OEM naziv: MSDOS5.0
ID sveska: 0x6efa4158
Oznaka volumena (sektor za pokretanje): NO NAME
Oznaka volumena (korijenski direktorij): KINGSTON
Oznaka tipa datotečnog sustava: FAT32
Sljedeći slobodni sektor (FS informacije): 8296
Brojanje slobodnog sektora (FS informacije): 1945272
Sektori prije datotečnog sustava: 32
Izgled datotečnog sustava (u sektorima)
Ukupni domet: 0 - 1953759
* Rezervirano: 0 - 4391
** Sektor za pokretanje: 0
** Informativni sektor FS: 1
** Sektor za podizanje sigurnosne kopije: 6
* FAT 0: 4392 - 6291
* MASTI 1: 6292 - 8191
* Područje podataka: 8192 - 1953759
** Područje klastera: 8192 - 1953759
*** Korijenski imenik: 8192 - 8199
INFORMACIJE O METADATIMA
--------------------------------------------
Raspon: 2 - 31129094
Korijenski direktorij: 2
SADRŽAJ INFORMACIJE
--------------------------------------------
Veličina sektora: 512
Veličina klastera: 4096
Ukupni raspon klastera: 2 - 243197
SADRŽAJ MASTI (u sektorima)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Izbrisane datoteke
The Sleuth Kit pruža fls alat koji pruža sve datoteke (posebno nedavno izbrisane datoteke) u svakoj stazi ili u navedenoj slikovnoj datoteci. Sve podatke o izbrisanim datotekama možete pronaći pomoću fls korisnost. Unesite sljedeću naredbu da biste koristili alat fls:
[zaštićena e-poštom]: ~ $ fls -rp -f fat32 usb.ddr / r 3: KINGSTON (unos oznake volumena)
d / d 6: Informacije o glasnoći sustava
r / r 135: Informacije o glasnoći sustava / WPSpostavke.dat
r / r 138: Informacije o glasnoći sustava / IndexerVolumeGuid
r / r * 14: Igra prijestolja 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Igra prijestolja 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Igra prijestolja 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Igra prijestolja 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Oceani dvanaest (2004.)
r / r 45: MINUTE PC-I ODRŽANOG 23.01.2020.docx
r / r * 49: MINUTE LECA ODRŽANOG 10.02.2020.docx
r / r * 50: vjetar.exe
r / r * 51: _WRL0024.tmp
r / r 55: MINUTE LEKA ODRŽANOG 10.02.2020.docx
d / d * 57: Nova mapa
d / d * 63: obavijest o natječaju za opremu mrežne infrastrukture
r / r * 67: OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Ovdje smo dobili sve relevantne datoteke. S naredbom fls korišteni su sljedeći operatori:
-str = koristi se za prikaz pune staze svake oporavljene datoteke
-r = koristi se za rekurzivni prikaz staza i mapa
-f = vrsta korištenog datotečnog sustava (FAT16, FAT32, itd.)
Gornji izlaz pokazuje da USB pogon sadrži mnogo datoteka. Oporavljene izbrisane datoteke bilježe se s "*”Znak. Možete vidjeti da s imenovanim datotekama nešto nije normalno $bad_content1, $loše_sadržaj2, $bad_content3, i vjetrobran.exe. Windump je alat za hvatanje mrežnog prometa. Pomoću alata windump mogu se uhvatiti podaci koji nisu namijenjeni istom računalu. Namjera se pokazuje u činjenici da softverska vjetrokaz ima posebnu svrhu za hvatanje mrežnog prometa te je namjerno korišten za dobivanje pristupa osobnim komunikacijama legitimnog korisnika.
Analiza vremenske trake
Sad kad imamo sliku datotečnog sustava, možemo izvršiti MAC vremensku analizu slike kako bismo generirali vremensku traku i smjestili sadržaj s datumom i vremenom u sustavni, čitljivi format. Oboje fls i ils naredbe se mogu koristiti za izgradnju vremenske analize datotečnog sustava. Za naredbu fls moramo navesti da će izlaz biti u formatu MAC vremenske trake. Da bismo to učinili, mi ćemo pokrenuti fls naredba s -m zastavicu i preusmjerite izlaz u datoteku. Također ćemo koristiti -m zastava s ils naredba.
[zaštićena e-poštom]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls[zaštićena e-poštom]: ~ $ mačka usb.fls
0 | / KINGSTON (unos oznake volumena) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Podaci o volumenu sustava | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Informacije o glasnoći sustava / WPSPostavke.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Informacije o volumenu sustava / IndexerVolumeGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Igra prijestolja 1 720p x264 DDP 5.1 ESub - xRG.mkv (izbrisano) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv (izbrisano) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv (izbrisano) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv (izbrisano) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceani dvanaest (2004.) (izbrisano) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / MINUTE PC-I ODRŽANE 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / MINUTE LECA ODRŽANE 10.02.2020.docx (izbrisano) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (izbrisano) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (izbrisano) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / MINUTE LECA ODRŽANE 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(izbrisano) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (izbrisano) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (izbrisano) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Nova mapa (izbrisana) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (izbrisano) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx (izbrisano) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (izbrisano) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (izbrisano) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ bad_content 1 (izbrisano) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (izbrisano) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 3 (izbrisano) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Pokrenite maktime alat za dobivanje analize vremenske trake sa sljedećom naredbom:
[zaštićena e-poštom]: ~ $ mačka usb.fls> usb.macZa pretvorbu ovog maktime izlaza u oblik čitljiv čovjeku, unesite sljedeću naredbu:
[zaštićena e-poštom]: ~ $ mactime -b usb.mac> usb.maktime[zaštićena e-poštom]: ~ $ mačka usb.mactime Thu July 26 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (izbrisano)
Thu Jul 26 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (izbrisano)
47 m… - / rrwxrwxrwx 0 0 22930444 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (izbrisano)
353 m… - / rrwxrwxrwx 0 0 22930449 // Igra prijestolja 4 720p x264 DDP 5.1 ESub - (izbrisano)
Pet srp 27, 2018 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / Informacije o glasnoći sustava / WPSpostavke.dat
76 .a… r / rrwxrwxrwx 0 0 138 / Informacije o glasnoći sustava / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (izbrisano)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (izbrisano)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (izbrisano)
Pet 31. siječnja 2020 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / MINUTE PC-I ODRŽANI 23.01.2020.docx
Fri Jan 31 2020 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / MINUTE PC-A ODRŽANO 23.01.2020.docx
Fri Jan 31 2020 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / MINUTE PC-A ODRŽANO 23.01.2020.docx
Ponedjeljak 17. veljače 2020. 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49 / MINUTE LECA ODRŽANOG 10.02.2020.docx (izbrisan)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izbrisano)
Utorak 18. veljače 2020. 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Game of Thrones 2 720p x264 DDP 5.1 ESub - (izbrisano)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izbrisano)
Utorak, 18. veljače 2020. 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izbrisano)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izbrisano)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTE LECA ODRŽANOG 10.02.2020.docx
Utorak, 18. veljače 2020. 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izbrisano)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izbrisano)
38208 .a… r / rrwxrwxrwx 0 0 55 / MINUTE LECA ODRŽANOG 10.02.2020.docx
Utorak, 18. veljače 2020. 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izbrisano)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (izbrisano)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTE LECA ODRŽANOG 10.02.2020.docx
Utorak, 18. veljače 2020. 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (izbrisano)
38208 m… r / rrwxrwxrwx 0 0 55 / Game of Thrones 3 720p x264 DDP 5.1 ESub -
Pet 15. svibnja 2020. 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Nova mapa (izbrisana)
4096 .a… d / drwxrwxrwx 0 0 63 / obavijest o natječaju za opremu mrežne infrastrukture za IIUI (obrisano)
56775 .a… r / rrwxrwxrwx 0 0 67 / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx (izbrisan)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (izbrisano)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (izbrisano)
56783 .a… r / rrwxrwxrwx 0 0 73 / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx
Pet 15. svibnja 2020. 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Nova mapa (izbrisana)
4096… b d / drwxrwxrwx 0 0 63 / obavijest o natječaju za opremu mrežne infrastrukture za IIUI (obrisano)
Pet 15. svibnja 2020. 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (izbrisano)
4096 m… d / drwxrwxrwx 0 0 63 / obavijest o natječaju za opremu mrežne infrastrukture za IIUI (izbrisano)
Pet 15. svibnja 2020. 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (izbrisano)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (izbrisano)
Pet 15. svibnja 2020. 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (izbrisano)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (izbrisano)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (izbrisano)
56783… b r / rrwxrwxrwx 0 0 73 / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx
Pet svibanj 2020 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 vjetrobran.exe (izbrisano)
56783 m… r / rrwxrwxrwx 0 0 73 / OBAVIJEST O PONUDI (Mega PC-I) Faza II.docx
Sve datoteke trebaju se oporaviti s vremenskom oznakom na njoj u formatu čitljivom za čitanje u datoteci “usb.maktime."
Alati za USB forenzičku analizu
Postoje razni alati koji se mogu koristiti za obavljanje forenzičke analize na USB pogonu, poput Autopsija Sleuth Kit, FTK Imager, Najvažnije, itd. Prvo ćemo pogledati alat za obdukciju.
Obdukcija
Obdukcija koristi se za izdvajanje i analizu podataka s različitih vrsta slika, poput AFF (Advance Forensic Format) slika, .dd slike, sirove slike itd. Ovaj je program moćan alat koji koriste forenzični istražitelji i različite agencije za provođenje zakona. Obdukcija se sastoji od mnogih alata koji mogu pomoći istražiteljima da posao obave učinkovito i glatko. Alat za obdukciju dostupan je besplatno i za Windows i za UNIX platforme.
Da biste analizirali USB sliku pomoću obdukcije, prvo morate stvoriti slučaj, uključujući pisanje imena istražitelja, snimanje naziva slučaja i druge informativne zadatke. Sljedeći je korak uvoz izvorne slike USB pogona dobivene na početku postupka pomoću dd korisnost. Zatim ćemo pustiti alat za obdukciju da radi ono što najbolje radi.
Količina informacija koje pruža Obdukcija je ogroman. Obdukcija daje izvorna imena datoteka, a također vam omogućuje da pregledate direktorije i staze sa svim informacijama o relevantnim datotekama, kao što su pristupljeno, preinačena, promijenio, datum, i vrijeme. Podaci o metapodacima također se preuzimaju i sve se informacije sortiraju na profesionalni način. Da bi se olakšalo pretraživanje datoteka, Autopsija nudi Pretraživanje po ključnim riječima opcija koja korisniku omogućuje brzo i učinkovito pretraživanje niza ili broja među dohvaćenim sadržajem.
Na lijevoj ploči potkategorije Vrste datoteka, vidjet ćete kategoriju pod nazivom "Izbrisane datoteke”Koji sadrži izbrisane datoteke sa željene slike pogona sa svim podacima o metapodacima i vremenskoj traci.
Obdukcija je Grafičko korisničko sučelje (GUI) za alat naredbenog retka Sleuth Kit i nalazi se na najvišoj razini u forenzičkom svijetu zbog svoje cjelovitosti, svestranosti, jednostavnosti korištenja i mogućnosti brzih rezultata. Forenzika za USB uređaje može se izvršiti na jednostavan način Obdukcija kao i na bilo kojem drugom plaćenom alatu.
FTK Imager
FTK Imager još je jedan izvrstan alat koji se koristi za pronalaženje i prikupljanje podataka s različitih vrsta pruženih slika. FTK Imager također ima mogućnost kopiranja slike po bit, tako da nijedan drugi alat poput dd ili dcfldd je potreban u tu svrhu. Ova kopija pogona uključuje sve datoteke i mape, neraspoređeni i slobodni prostor te izbrisane datoteke koje su ostale u praznom ili nedodijeljenom prostoru. Ovdje je osnovni cilj prilikom izvođenja forenzičke analize na USB pogonima rekonstrukcija ili ponovno stvaranje scenarija napada.
Sada ćemo pogledati izvođenje USB forenzičke analize na USB slici pomoću alata FTK Imager.
Prvo dodajte datoteku slike u FTK Imager klikom Datoteka >> Dodaj stavku dokaza.
Sada odaberite vrstu datoteke koju želite uvesti. U ovom je slučaju riječ o slikovnoj datoteci USB pogona.
Sada unesite cijelo mjesto slikovne datoteke. Zapamtite, za ovaj korak morate pružiti puni put. Klik Završi da započne prikupljanje podataka i pusti FTK Imager obavi posao. Nakon nekog vremena alat će pružiti željene rezultate.
Ovdje je prvo što treba učiniti provjeriti Integritet slike desnim klikom na naziv slike i odabirom Potvrdi sliku. Alat će provjeriti odgovaraju li md5 ili SHA1 hashevi koji sadrže informacije o slici, a također će vam reći je li slika neovlašteno promijenjena prije uvoza u FTK Imager alat.
Sada, Izvoz zadani rezultati do puta po vašem izboru desnim klikom na naziv slike i odabirom Izvoz mogućnost njegove analize. The FTK Imager stvorit će cjeloviti zapisnik podataka forenzičkog postupka i smjestit će te zapisnike u istu mapu kao i slikovna datoteka.
Analiza
Oporavljeni podaci mogu biti u bilo kojem formatu, poput tar, zip (za komprimirane datoteke), png, jpeg, jpg (za slikovne datoteke), mp4, avi format (za video datoteke), crtični kodovi, pdfs i drugi formati datoteka. Trebali biste analizirati metapodatke danih datoteka i provjeriti postoje li crtični kodovi u obliku QR kod. To može biti u png datoteci i može se preuzeti pomoću ZBAR alat. U većini slučajeva datoteke docx i pdf koriste se za skrivanje statističkih podataka, tako da moraju biti nekomprimirani. Kdbx datoteke se mogu otvoriti putem Keepass; lozinka je možda bila pohranjena u drugim oporavljenim datotekama ili u bilo kojem trenutku možemo izvršiti bruteforce.
Najvažnije
Foremost je alat koji se koristi za oporavak izbrisanih datoteka i mapa sa slike pogona pomoću zaglavlja i podnožja. Pogledat ćemo man-stranicu Foremost-a kako bismo istražili neke moćne naredbe sadržane u ovom alatu:
[zaštićena e-poštom]: ~ $ čovjek prije svega-a Omogućuje pisanje svih zaglavlja, ne izvršava otkrivanje pogrešaka u terminima
oštećenih datoteka.
-b broj
Omogućuje vam određivanje veličine bloka koja se najviše koristi. Ovo je
relevantno za imenovanje datoteka i brza pretraživanja. Zadana vrijednost je
512. tj. najistaknutija -b 1024 slika.dd
-q (brzi način rada):
Omogućuje brzi način. U brzom načinu rada, samo početak svakog sektora
traži se odgovarajuća zaglavlja. Odnosno, zaglavlje je
pretraživali samo do duljine najduljeg zaglavlja. Ostatak
sektora, obično oko 500 bajtova, zanemaruje se. Ovaj način
čini trčanje u prvom redu znatno bržim, ali može uzrokovati
propustiti datoteke koje su ugrađene u druge datoteke. Na primjer, pomoću
u brzom načinu rada nećete moći pronaći JPEG slike ugrađene u
Microsoft Word dokumenti.
Brzi način rada ne smije se koristiti prilikom ispitivanja NTFS datotečnih sustava.
Budući da će NTFS spremati male datoteke unutar glavne datoteke datoteke
ble, ove će datoteke nedostajati tijekom brzog načina rada.
-a Omogućuje pisanje svih zaglavlja, ne izvršava otkrivanje pogrešaka u terminima
oštećenih datoteka.
-i (ulazna) datoteka:
Datoteka koja se koristi s opcijom i koristi se kao ulazna datoteka.
U slučaju da nije navedena nijedna ulazna datoteka, stdin se koristi za c.
Datoteka koja se koristi s opcijom i koristi se kao ulazna datoteka.
U slučaju da nije navedena nijedna ulazna datoteka, stdin se koristi za c.
Da bismo obavili posao, upotrijebit ćemo sljedeću naredbu:
[zaštićen e-poštom]: ~ $ najistaknutiji usb.ddNakon završetka postupka, u datoteci /izlaz mapa imenovana tekst koji sadrže rezultate.
Zaključak
Forenzika USB pogona dobra je vještina za pronalaženje dokaza i oporavak izbrisanih datoteka s USB uređaja, kao i za utvrđivanje i ispitivanje računalnih programa koji su možda korišteni u napadu. Zatim možete sastaviti korake koje je napadač mogao poduzeti da dokaže ili opovrgne tvrdnje legitimnog korisnika ili žrtve. Kako bi se osiguralo da se nitko ne izvuče iz cyber kriminala koji uključuje USB podatke, USB forenzika je važan alat. USB uređaji sadrže ključne dokaze u većini forenzičkih slučajeva, a ponekad forenzički podaci dobiveni s USB pogona mogu pomoći u oporavku važnih i vrijednih osobnih podataka.
