Phenquestions
Lag kopibilde av USB-stasjon
Det første vi skal gjøre er å lage en kopi av USB-stasjonen. I dette tilfellet vil vanlige sikkerhetskopier ikke fungere. Dette er et veldig avgjørende trinn, og hvis det gjøres galt, vil alt arbeidet gå til spille. Bruk følgende kommando for å liste opp alle stasjonene som er koblet til systemet:
[e-postbeskyttet]: ~ $ sudo fdisk -lI Linux er stasjonsnavnene forskjellige fra Windows. I et Linux-system, hda og hdb er brukt (sda, sdb, sdc, etc.) for SCSI, i motsetning til i Windows OS.
Nå som vi har stasjonsnavnet, kan vi opprette det .dd bilde bit-for-bit med dd verktøy ved å skrive inn følgende kommando:
[e-postbeskyttet]: ~ $ sudo dd if = / dev / sdc1 of = usb.dd bs = 512 antall = 1hvis= plasseringen av USB-stasjonen
av= destinasjonen der det kopierte bildet skal lagres (kan være en lokal bane på systemet ditt, f.eks.g. / hjem / bruker / usb.dd)
bs= antall byte som skal kopieres om gangen
For å sikre bevis på at vi har den originale bildekopien av stasjonen, vil vi bruke den hashing for å opprettholde bildets integritet. Hashing vil gi en hash for USB-stasjonen. Hvis en enkelt bit data endres, vil hasjen endres fullstendig, og man vil vite om kopien er falsk eller original. Vi vil generere en md5-hash av stasjonen, slik at ingen kan stille spørsmål ved integriteten til kopien sammenlignet med stasjonens originale hash.
[e-postbeskyttet]: ~ $ md5sum usb.ddDette gir en md5-hash av bildet. Nå kan vi starte vår rettsmedisinske analyse på dette nyopprettede bildet av USB-stasjonen, sammen med hasjen.
Boot Sector Layout
Å kjøre filkommandoen vil gi tilbake filsystemet, samt stasjonens geometri:
[e-postbeskyttet]: ~ $ fil-usb.ddok.dd: DOS / MBR oppstartssektor, kodeforskyvning 0x58 + 2, OEM-ID "MSDOS5.0 ",
sektorer / klynge 8, reserverte sektorer 4392, Mediebeskrivelse 0xf8,
sektorer / spor 63, hoder 255, skjulte sektorer 32, sektorer 1953760 (volumer> 32 MB),
FAT (32 bit), sektorer / FAT 1900, reservert 0x1, serienummer 0x6efa4158, umerket
Nå kan vi bruke minfo verktøy for å få NTFS oppstartssektoroppsett og oppstartssektorinformasjon via følgende kommando:
[e-postbeskyttet]: ~ $ minfo -i usb.ddenhetsinformasjon:
=====================
filnavn = "ok.dd "
sektorer per spor: 63
hoder: 255
sylindere: 122
mformat kommandolinje: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
boot sektorinformasjon
=======================
banner: "MSDOS5.0 "
sektorstørrelse: 512 byte
klyngestørrelse: 8 sektorer
reserverte (oppstarts) sektorer: 4392
fett: 2
maksimalt tilgjengelige rotkatalogspor: 0
liten størrelse: 0 sektorer
mediebeskrivelsesbyte: 0xf8
sektorer per fett: 0
sektorer per spor: 63
hoder: 255
skjulte sektorer: 32
stor størrelse: 1953760 sektorer
fysisk stasjons-id: 0x80
reservert = 0x1
dos4 = 0x29
serienummer: 6EFA4158
disk label = "NO NAME"
disk type = "FAT32"
Stor fatlen = 1900
Utvidede flagg = 0x0000
FS-versjon = 0x0000
rootCluster = 2
infoSektorplassering = 1
backup boot sektor = 6
Infosektor:
signatur = 0x41615252
gratis klynger = 243159
sist tildelte klynge = 15
En annen kommando, den fstat kommandoen, kan brukes til å skaffe generell kjent info, som tildelingsstrukturer, layout og oppstartsblokker, om enhetsbildet. Vi bruker følgende kommando for å gjøre det:
[e-postbeskyttet]: ~ $ fstat usb.dd--------------------------------------------
Filsystemtype: FAT32
OEM-navn: MSDOS5.0
Volum-ID: 0x6efa4158
Volumetikett (oppstartssektor): INGEN NAVN
Volumetikett (rotkatalog): KINGSTON
Etikett for filsystemtype: FAT32
Neste gratis sektor (FS Info): 8296
Gratis sektorantal (FS Info): 1945272
Sektorer før filsystem: 32
File System Layout (i sektorer)
Total rekkevidde: 0 - 1953759
* Reservert: 0 - 4391
** Oppstartssektor: 0
** FS-informasjonssektor: 1
** Sikkerhetskopieringssektor: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Dataområde: 8192 - 1953759
** Klyngeareal: 8192 - 1953759
*** Rotkatalog: 8192 - 8199
METADATA INFORMASJON
--------------------------------------------
Rekkevidde: 2 - 31129094
Rotkatalog: 2
INNHOLDSINFORMASJON
--------------------------------------------
Sektorstørrelse: 512
Klyngestørrelse: 4096
Totalt klyngeområde: 2 - 243197
FETT INNHOLD (i sektorer)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Slettede filer
De Sleuth Kit gir den fls verktøyet, som gir alle filene (spesielt nylig slettede filer) i hver bane, eller i den spesifiserte bildefilen. All informasjon om slettede filer finner du ved hjelp av fls nytte. Skriv inn følgende kommando for å bruke fls-verktøyet:
[e-postbeskyttet]: ~ $ fls -rp -f fat32 usb.ddr / r 3: KINGSTON (volumetikettinnføring)
d / d 6: System Volume Information
r / r 135: Informasjon om systemvolum / WPSettings.dat
r / r 138: Informasjon om systemvolum / IndexerVolumeGuid
r / r * 14: Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Oceans Twelve (2004)
r / r 45: MINUTTER AV PC-I HALDE 23.01.2020.docx
r / r * 49: MINUTTER AV LEC HELDT PÅ 10.02.2020.docx
r / r * 50: vindpumpe.exe
r / r * 51: _WRL0024.tmp
r / r 55: MINUTTER AV LEC HÅLDT 10.02.2020.docx
d / d * 57: Ny mappe
d / d * 63: anbudsmelding for nettinfrastrukturutstyr
r / r * 67: ANMELDELSESMELDING (Mega PC-I) fase II.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: ANMELDELSESMELDING (Mega PC-I) fase II.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Her har vi fått alle relevante filer. Følgende operatører ble brukt med fls-kommandoen:
-s = brukes til å vise hele banen til alle gjenopprettede filer
-r = brukes til å vise banene og mappene rekursivt
-f = typen filsystem som brukes (FAT16, FAT32, osv.)
Ovennevnte utgang viser at USB-stasjonen inneholder mange filer. De gjenopprettede slettede filene er merket med et “*”Tegn. Du kan se at noe ikke er normalt med filene som heter $dårlig_innhold1, $dårlig_innhold2, $dårlig_innhold3, og vindpumpe.exe. Windump er et fangstverktøy for nettverkstrafikk. Ved hjelp av windump-verktøyet kan man fange opp data som ikke er ment for samme datamaskin. Hensikten vises i det faktum at programvaren windump har det spesifikke formålet å fange nettverkstrafikk og ble med vilje brukt til å få tilgang til personlig kommunikasjon til en legitim bruker.
Tidslinjeanalyse
Nå som vi har et bilde av filsystemet, kan vi utføre MAC tidslinjeanalyse av bildet for å generere en tidslinje og for å plassere innholdet med dato og tid i et systematisk, lesbart format. Begge fls og ils kommandoer kan brukes til å lage en tidslinjeanalyse av filsystemet. For fls-kommandoen må vi spesifisere at utgangen vil være i MAC-tidslinjeutdataformat. For å gjøre det, vil vi kjøre fls kommando med -m flagg og omdiriger utdataene til en fil. Vi vil også bruke -m flagg med ils kommando.
[e-postbeskyttet]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls[e-postbeskyttet]: ~ $ cat usb.fls
0 | / KINGSTON (volumetikettinnføring) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Systemvoluminformasjon | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / System Volume Information / WPSettings.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / System Volume Information / IndexerVolumeGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv (slettet) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv (slettet) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv (slettet) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv (slettet) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (slettet) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / MINUTTER AV PC-I HALDT 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / MINUTTER AV LEC HALDT 10.02.2020.docx (slettet) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (slettet) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (slettet) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / MINUTTER AV LEC HOLDE 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(slettet) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (slettet) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (slettet) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / ANMELDELSESMELDING (Mega PC-I) fase II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Ny mappe (slettet) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (slettet) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / ANMELDELSESMELDING (Mega PC-I) fase II.docx (slettet) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (slettet) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (slettet) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / ANMELDELSESMELDING (Mega PC-I) fase II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ dårlig_innhold 1 (slettet) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ dårlig_innhold 2 (slettet) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ dårlig_innhold 3 (slettet) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Kjør maktime verktøy for å få tidslinjeanalyse med følgende kommando:
[e-postbeskyttet]: ~ $ cat usb.fls> usb.macFor å konvertere denne mactime-utgangen til menneskelig lesbar form, skriv inn følgende kommando:
[e-postbeskyttet]: ~ $ mactime -b usb.mac> usb.maktime[e-postbeskyttet]: ~ $ cat usb.mactime Thu Jul 26 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (slettet)
Tor 26. juli 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 4720p x264 DDP 5.1 ESub - (slettet)
47 m… - / rrwxrwxrwx 0 0 22930444 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (slettet)
353 m… - / rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESub - (slettet)
Fre 27. juli 2018 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / System Volume Information / WPSettings.dat
76 .a… r / rrwxrwxrwx 0 0 138 / System Volume Information / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (slettet)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (slettet)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (slettet)
Fre 31. jan 2020 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / MINUTTER AV PC-I HELDT PÅ 23.01.2020.docx
Fre 31 jan 2020 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / MINUTTER AV PC-I HALDT 23.01.2020.docx
Fre 31. jan 2020 12:21:03 33180 ... b r / rrwxrwxrwx 0 0 45 / MINUTTER AV PC-I HELDES 23.01.2020.docx
Man Feb 17 2020 14:36:44 46659 m ... r / rrwxrwxrwx 0 0 49 / MINUTTER OF LEC HELD ON 10.02.2020.docx (slettet)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (slettet)
Tirsdag 18 feb 2020 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Game of Thrones 2 720p x264 DDP 5.1 ESub - (slettet)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (slettet)
Tue 18 feb 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (slettet)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (slettet)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTTER AV LEC HELD PÅ 10.02.2020.docx
Tir Feb 18 2020 11:13:16 38208 m ... r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (slettet)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (slettet)
38208 .a… r / rrwxrwxrwx 0 0 55 / MINUTTER AV LEC HELDT PÅ 10.02.2020.docx
Tue 18 feb 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (slettet)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (slettet)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTTER AV LEC HELD PÅ 10.02.2020.docx
Tir Feb 18 2020 11:13:16 38208 m ... r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (slettet)
38208 m… r / rrwxrwxrwx 0 0 55 / Game of Thrones 3 720p x264 DDP 5.1 ESub -
Fre 15. mai 2020 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Ny mappe (slettet)
4096 .a… d / drwxrwxrwx 0 0 63 / anbudsmelding for nettverksinfrastrukturutstyr for IIUI (slettet)
56775 .a… r / rrwxrwxrwx 0 0 67 / TENDER NOTICE (Mega PC-I) Phase-II.docx (slettet)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (slettet)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (slettet)
56783 .a… r / rrwxrwxrwx 0 0 73 / TENDER NOTICE (Mega PC-I) Phase-II.docx
Fre 15. mai 2020 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Ny mappe (slettet)
4096… b d / drwxrwxrwx 0 0 63 / anbudsmelding for nettverksinfrastrukturutstyr for IIUI (slettet)
Fre 15. mai 2020 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (slettet)
4096 m… d / drwxrwxrwx 0 0 63 / anbudsmelding for nettverksinfrastrukturutstyr for IIUI (slettet)
Fre 15. mai 2020 12:43:18 56775 m ... r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (slettet)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (slettet)
Fre 15. mai 2020 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (slettet)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (slettet)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (slettet)
56783… b r / rrwxrwxrwx 0 0 73 / TENDER NOTICE (Mega PC-I) Phase-II.docx
Fre 15. mai 2020 12:45:36 56783 m ... r / rrwxrwxrwx 0 0 68 windump.exe (slettet)
56783 m… r / rrwxrwxrwx 0 0 73 / TENDER NOTICE (Mega PC-I) Phase-II.docx
Alle filene skal gjenopprettes med en tidsstempel på den i et lesbart format i filen “usb.maktime.”
Verktøy for USB-rettsmedisinsk analyse
Det er forskjellige verktøy som kan brukes til å utføre rettsmedisinsk analyse på en USB-stasjon, for eksempel Sleuth Kit obduksjon, FTK Imager, Fremst, etc. Først vil vi ta en titt på obduksjonsverktøyet.
Autopsi
Autopsi brukes til å trekke ut og analysere data fra forskjellige typer bilder, for eksempel AFF (Advance Forensic Format) bilder, .dd-bilder, rå bilder osv. Dette programmet er et kraftig verktøy som brukes av rettsmedisinske etterforskere og forskjellige politimyndigheter. Obduksjon består av mange verktøy som kan hjelpe etterforskere til å få jobben gjort effektivt og greit. Autopsieverktøyet er tilgjengelig for både Windows- og UNIX-plattformer uten kostnad.
For å analysere et USB-bilde ved hjelp av obduksjon, må du først opprette en sak, inkludert å skrive etterforskernes navn, registrere saksnavnet og andre informasjonsoppgaver. Det neste trinnet er å importere kildebildet til USB-stasjonen som ble oppnådd ved starten av prosessen ved hjelp av dd nytte. Deretter vil vi la obduksjonsverktøyet gjøre det det gjør best.
Mengden informasjon gitt av Autopsi er enorm. Obduksjon gir de originale filnavnene og lar deg også undersøke katalogene og banene med all informasjon om de aktuelle filene, for eksempel åpnet, endret, endret, Dato, og tid. Metadatainformasjonen blir også hentet, og all informasjonen blir sortert på en profesjonell måte. For å gjøre filsøket enklere, gir Autopsy en Stikkordsøk alternativet, som lar brukeren raskt og effektivt søke i en streng eller et tall blant det hentede innholdet.
I venstre panel i underkategorien av Filtyper, du vil se en kategori som heter “Slettede filer”Som inneholder de slettede filene fra ønsket stasjonsbilde med all informasjon om metadata og tidslinjeanalyse.
Autopsi er grafisk brukergrensesnitt (GUI) for kommandolinjeverktøyet Sleuth Kit og er på toppnivå i rettsmedisinsk verden på grunn av sin integritet, allsidighet, brukervennlige natur og evnen til å gi raske resultater. USB-rettsmedisin kan utføres like enkelt på Autopsi som på alle andre betalte verktøy.
FTK Imager
FTK Imager er et annet flott verktøy som brukes til å hente og skaffe data fra forskjellige typer bilder. FTK Imager har også muligheten til å lage en bit-for-bit bildekopi, slik at ingen andre verktøy som dd eller dcfldd er nødvendig for dette formålet. Denne kopien av stasjonen inkluderer alle filer og mapper, den ikke tildelte og ledige plassen, og de slettede filene som er igjen i slapp plass eller ikke tildelt plass. Det grunnleggende målet her når du utfører rettsmedisinsk analyse på USB-stasjoner er å rekonstruere eller gjenskape angrepsscenariet.
Vi vil nå se på å utføre USB-rettsmedisinsk analyse på et USB-bilde ved hjelp av FTK Imager-verktøyet.
Først legger du til bildefilen i FTK Imager ved å klikke Fil >> Legg til beviselement.
Velg nå filtypen du vil importere. I dette tilfellet er det en bildefil på en USB-stasjon.
Nå angir du fullstendig plassering av bildefilen. Husk at du må oppgi en fullstendig vei for dette trinnet. Klikk Bli ferdig å starte datainnsamling, og la FTK Imager gjør jobben. Etter en stund vil verktøyet gi de ønskede resultatene.
Her er den første tingen å gjøre å verifisere Image Integrity ved å høyreklikke på billednavnet og velge Bekreft bilde. Verktøyet vil se etter samsvarende md5- eller SHA1-hashes som følger med bildeinformasjonen, og vil også fortelle deg om bildet har blitt tuklet med før det ble importert til FTK Imager verktøy.
Nå, Eksport de gitte resultatene til banen du ønsker, ved å høyreklikke på billednavnet og velge Eksport mulighet til å analysere det. De FTK Imager vil opprette en full datalogg for rettsmedisinske prosesser og plassere disse loggene i samme mappe som bildefilen.
Analyse
De gjenopprettede dataene kan være i hvilket som helst format, for eksempel tjære, zip (for komprimerte filer), png, jpeg, jpg (for bildefiler), mp4, avi-format (for videofiler), strekkoder, pdfs og andre filformater. Du bør analysere metadataene til de gitte filene og se etter strekkoder i form av a QR kode. Dette kan være i en png-fil og kan hentes ved hjelp av ZBAR verktøy. I de fleste tilfeller brukes docx- og pdf-filer for å skjule statistiske data, så de må være komprimerte. Kdbx filer kan åpnes gjennom Keepass; passordet kan ha blitt lagret i andre gjenopprettede filer, eller vi kan utføre bruteforce når som helst.
Fremst
Fremst er et verktøy som brukes til å gjenopprette slettede filer og mapper fra et stasjonsbilde ved å bruke topp- og bunntekster. Vi tar en titt på Forests mannsside for å utforske noen kraftige kommandoer som finnes i dette verktøyet:
[e-postbeskyttet]: ~ $ man fremst-a Gjør det mulig å skrive alle overskrifter, utføre ingen feiloppdagelse i termer
av ødelagte filer.
-b-nummer
Lar deg spesifisere blokkstørrelsen som brukes først og fremst. Dette er
relevant for filnavn og raske søk. Standard er
512. dvs. fremst -b 1024 bilde.dd
-q (hurtigmodus):
Aktiverer hurtigmodus. I hurtigmodus, bare starten på hver sektor
søkes etter matchende overskrifter. Det vil si at overskriften er det
søkte bare opp til lengden på den lengste overskriften. Resten
av sektoren, vanligvis omtrent 500 byte, blir ignorert. Denne modusen
gjør fremste løp betydelig raskere, men det kan føre til at du gjør det
savner filer som er innebygd i andre filer. For eksempel ved å bruke
hurtigmodus vil du ikke kunne finne JPEG-bilder innebygd i
Microsoft Word-dokumenter.
Rask modus bør ikke brukes når du undersøker NTFS-filsystemer.
Fordi NTFS lagrer små filer inne i Master File Ta‐
ble disse filene savnet i hurtigmodus.
-a Gjør det mulig å skrive alle overskrifter, utføre ingen feiloppdagelse i termer
av ødelagte filer.
-i (input) fil:
Filen som brukes med i-alternativet brukes som inndatafil.
I tilfelle at ingen inndatafil er spesifisert, brukes stdin til å c.
Filen som brukes med alternativet i brukes som inndatafil.
I tilfelle at ingen inndatafil er spesifisert, brukes stdin til å c.
For å få jobben gjort, vil vi bruke følgende kommando:
[e-postbeskyttet]: ~ $ fremste usb.ddEtter at prosessen er fullført, vil det være en fil i /produksjon mappen heter tekst inneholder resultatene.
Konklusjon
USB-rettsmedisin er en god ferdighet for å måtte hente bevis og gjenopprette slettede filer fra en USB-enhet, samt å identifisere og undersøke hvilke dataprogrammer som kan ha blitt brukt i angrepet. Deretter kan du sette sammen trinnene angriperen kan ha tatt for å bevise eller motbevise påstandene fra den legitime brukeren eller offeret. For å sikre at ingen kommer unna en nettkriminalitet som involverer USB-data, er USB-rettsmedisin et viktig verktøy. USB-enheter inneholder nøkkelbevis i de fleste kriminaltekniske saker, og noen ganger kan kriminaltekniske data hentet fra en USB-stasjon hjelpe til med å gjenopprette viktige og verdifulle personlige data.
