Analiza kryminalistyczna dysków twardych i partycji za pomocą Autopsji

Spisie treści

Autopsja to oprogramowanie używane do analizy kryminalistycznej obrazu dysku twardego. Jest to darmowy interfejs typu open source, który umożliwia wyszukiwanie i analizowanie partycji lub obrazów dysków.

Narzędzie Autopsja może działać w różnych systemach operacyjnych, takich jak:

  • Linux
  • Okna
  • Mac OS X
  • Bezpłatne BSD
Pierwotnie został napisany w języku Perl, a jego kod został teraz zmieniony na Java z interfejsem graficznym, chociaż ta wersja działa tylko w systemie Windows, na innych platformach ma interfejs sieciowy.

Autopsja to cyfrowa platforma do analizy kryminalistycznej oraz interfejs graficzny Sleuthkit i inne cyfrowe narzędzia kryminalistyczne. Jest używany przez rządy oraz podmioty publiczne i prywatne, siły bezpieczeństwa, takie jak policja i wojsko, a także specjalistów i ekspertów komputerowych do badania tego, co wydarzyło się na komputerze. Po incydencie, takim jak atak lub awaria, możesz przeglądać urządzenia pamięci masowej, aby odzyskać pliki, wyszukiwać manipulacje systemowe, odzyskiwać zdjęcia, obrazy lub filmy.

Najpierw musimy zainstalować Autopsję w systemie Linux, która znajduje się w repozytoriach, w systemie Windows można ją pobrać stąd:

POBIERZ AUTOPSY

W tym samouczku zobaczymy Instalacja autopsji w systemie Linux. Otwieramy okno terminala i wpisujemy następujące polecenia:

1. Instalujemy framework TSK

 sudo apt-get install sleuthkit
2. Następnie instalujemy Autopsję
 autopsja apt-get
Struktura TSK zawiera zestaw bibliotek i modułów, które można wykorzystać do tworzenia wtyczek i poleceń do umiejętności informatyki śledczej. Struktura TSK to interfejs wiersza poleceń, który wykorzystuje różne moduły do ​​analizy obrazów dysków.

Następnie możemy uruchomić aplikację z okna terminala za pomocą polecenia:

 autopsja sudo

Następnie przechodzimy do dowolnej przeglądarki i wpisujemy adres URL http://localhost: 9999 / autopsja że autopsja mówi nam, że będzie działał jako serwer tak długo, jak będzie działał.

Zanim przejdziemy dalej, musimy mieć obraz niektórych urządzeń, możemy zrobić obraz naszego dysku lub możemy uzyskać przykładowe obrazy w Internecie, na przykład na stronie http://dftt.sourceforge.net/ możemy pobrać kilka obrazy przedstawiające różne problemy do analizy.

Możemy pobrać na przykład niektóre z poniższych obrazów.

Wyszukiwanie JPEG.webp: Ten obraz testowy to system plików Windwos XP NTFS z 10 obrazami jpg.webp w różnych katalogach. Obrazy zawierają pliki z nieprawidłowymi rozszerzeniami, obrazy osadzone w archiwum ZIP oraz pliki programu Word. Tutaj możemy popracować nad odzyskiwaniem obrazu. Wyszukiwarkę JPEG.webp możemy pobrać stąd.

Przywróć NTFS: Ten obraz testowy to system plików NTFS o wielkości 6 MB z ośmioma usuniętymi plikami, dwoma usuniętymi katalogami i usuniętym alternatywnym strumieniem danych. Zakres plików obejmuje pliki rezydentne, pojedyncze pliki klastrów i wiele fragmentów. Żadne struktury danych nie zostały zmodyfikowane w tym procesie, aby uniemożliwić odzyskiwanie. Zostały utworzone w systemie Windows XP, usunięte w XP i zobrazowane w systemie Linux. Możemy pobrać NTFS Undelete stąd.

Możemy również utworzyć obraz dysku z Linuksa, dowiadujemy się, jakie są partycje za pomocą następujących poleceń:

 sudo fdisk -l

Na przykład, aby wykonać dokładną kopię partycji rozruchowej, której możemy użyć jako pliku kopii zapasowej, używamy następujących poleceń:

 dd if = / dev / partycja do zapisania = /home/directory/copy-partition.img
W tym przypadku będzie to partycja główna:
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Możemy również użyć oprogramowania takiego jak Clonezilla, które jest programem do tworzenia partycji i obrazów dysków, kopii zapasowych i odzyskiwania systemu z kopii zapasowej.

Gdy mamy już obraz do przeprowadzenia naszego dochodzenia kryminalistycznego, przechodzimy do sekcji zwłok, w tym samouczku użyjemy NTSF Cofnij usunięcie.

Interfejs autopsji pozwala nam przeanalizować kilka przypadków z różnymi obrazami, a nawet kilku badaczy, a następnie klikamy przycisk Nowa sprawa lub Nowa sprawa.

Otworzy się ekran umożliwiający utworzenie sprawy, w której przypiszemy nazwę sprawy, bez spacji, ponieważ nazwa ta stanie się folderem, w którym będą przechowywane informacje zebrane w dochodzeniu. W tym przypadku nazwą będzie EmpresaSA, następnie dodamy opis sprawy, dodamy również nazwiska śledczych prowadzących sprawę, następnie klikamy Nowa sprawa.

Zobaczymy ekran, na którym dowiadujemy się, że utworzono folder na sprawę i katalog konfiguracyjny.

Następnie utworzymy hosta, czyli zarejestrujemy dane sprzętu lub obrazu, który ma zostać zbadany.

Dodamy nazwę hosta, opis, czas gmt w przypadku, gdy pochodzimy z innego kraju, możemy również dodać czas przesunięcia względem komputera i istnieją bazy danych zawierające skróty znanych złośliwych plików.

Jeśli chcemy skorzystać z bazy danych, możemy użyć NIST NSRL do wykrywania znanych plików. Baza danych National Software Reference Library, która zawiera skróty, które mogą być dobre lub złe w zależności od sposobu ich klasyfikacji.

Na przykład, istnienie określonego oprogramowania może zostać rozpoznane, a Autopsy traktuje pliki znalezione w NSRL jako znane i dobre lub nie rozpoznaje ich i nie określa, czy są dobre, czy złe. Możemy również zaimplementować bazę danych, która ignoruje znane pliki.

Na koniec klikamy DODAJ HOSTA i przechodzimy do ekranu, który pokazuje nam katalog dla tego hosta, w tym samym przypadku możemy mieć kilka hostów do analizy.

Następnie uzyskujemy dostęp do listy hostów dla tego konkretnego przypadku, a zatem rozpocząć poszukiwania na jakimś hoście lub sprawdź jakiegoś hosta.

Klikamy na naszego hosta PC031, a następnie klikamy w porządku, otworzy się ekran, na którym dodamy obraz hosta, w tym celu klikamy DODAJ PLIK OBRAZU.

Następnie poszukamy obrazu zgodnie z folderem, w którym go mamy:

Możemy kliknąć prawym przyciskiem myszy i wybrać opcję Kopiuj, wtedy przechodzimy do ekranu dodaj hosta i klikamy prawym przyciskiem myszy i wklejamy opcję, która doda ścieżkę do pliku obrazu, możemy go również napisać.

Ponadto wskażemy typ obrazu, jeśli jest to dysk lub partycja oraz metodę importu, obraz można zaimportować do Autopsji z jego bieżącej lokalizacji za pomocą dowiązania symbolicznego, skopiować go lub przenieść.

Plik obrazu musi mieć uprawnienia do odczytu, w przeciwnym razie spowoduje błąd po kliknięciu NASTĘPNY (Następny)
W tym przypadku korzystamy z obrazu tworząc kopię, jeśli użyjemy Symlinka czyli linku do miejsca, w którym znajduje się obraz, możemy mieć problem, że możemy uszkodzić obraz, jeśli go skopiujemy, kopia zostanie wykonana w katalog spraw, ale zajmiemy więcej miejsca, pamiętaj, że używane przez nas pliki to dema zajmujące około 150 megabajtów, rzeczywisty obraz komputera lub serwera może zajmować kilka gigabajtów.

Poniżej pokazuje nam niektóre szczegóły dodanego obrazu i pozwala nam obliczyć lub zignorować integralność za pomocą suma kontrolna MD5.

Wreszcie klikamy DODAJ o Dodaj, aby przejść do ostatniego ekranu, gdzie informuje nas, że proces się zakończył i wciskamy w porządku aby przejść do ekranu hosta w tym przypadku.

Następnie wybieramy hosta, w tym przypadku mamy jednego i klikamy Analizować aby rozpocząć analizę obrazu. Otworzy się ekran analizy, a my Szczegóły obrazu aby wyświetlić informacje o systemie.

W tym przypadku widzimy, że jest to partycja Windwos XP NTFS, a inne dane dotyczące rozmiaru dysku i sektorów. Wtedy możemy iść do Analiza plików, aby wyświetlić strukturę plików i katalogów.

Widzimy w katalogach katalog Boot, który zawiera logi rozruchowe tej partycji, jeśli klikniemy, zobaczymy dziennik i zobaczymy go w różnych formatach, takich jak ASCII, szesnastkowy i tekstowy, w tym przypadku widzimy następujący błąd:

Wystąpił błąd odczytu dysku - brak NTLDR

Plik NTLDR systemu Windows XP jest niezbędnym składnikiem sektora rozruchowego i uruchamiania systemu Windows XP. Komputer nie uruchomi się, nie zakończy uruchamiania, jeśli plik jest uszkodzony.

Następnie jeśli klikniemy link dir w kolumnie Rodzaj, możemy poruszać się po katalogach i przeglądać usunięte pliki, aby spróbować je odzyskać.

Informatyka śledcza umożliwia identyfikację i odkrycie odpowiednich informacji w źródłach danych takie jak obrazy dysków twardych, pamięci USB, migawki ruchu sieciowego lub zrzuty pamięci komputera.

Podsumowując wszystko, co zostało wykonane za pomocą autopsji, możemy ponownie otworzyć sprawę, ponieważ to, co robimy, jest zapisywane lub tworzymy nową sprawę, w której sprawa zawiera kilka hostów lub komputerów lub partycji jednostki logicznej, która będzie zawierać wszystko, co dotyczy dochodzenia.

Dlatego podczas tworzenia sprawy wprowadzane są informacje, takie jak Twoje imię i nazwisko oraz osoba, która będzie badać dane. Następny krok polega na przypisaniu do sprawy jednego lub więcej hostów, które odpowiadają obrazom, które zamierzamy poddać analizie, lub obrazowi kryminalistycznemu, który został wcześniej pobrany z komputera lub serwera do analizy.

Następnie zamykamy tę sprawę, klikając Zamknij, a następnie Zamknij hosta i dodamy nowego hosta do sprawy, do tego potrzebujemy obrazu Wyszukiwanie JPEG.webp, obraz, o którym wspomnieliśmy wcześniej.

Klikamy DODAJ HOSTA Aby dodać nowego hosta, który będziemy analizować, w tym przypadku będziemy szukać zagubionych lub uszkodzonych obrazów na komputerze w obszarze projektowania graficznego.

Po dodaniu hosta musimy dodać obraz tak jak wcześniej.

Po zakończeniu procesu przechodzimy do listy hostów dostępnych dla tego przypadku.

Następnie wybieramy hosta do zbadania i klikamy w porządku.

Następnie klikamy Analizować aby uruchomić widok partycji. W tym przypadku jest to partycja Windows XP z systemem plików NTFS z łącznie 10 obrazami JPG.webp. Obrazy zawierają pliki z nieprawidłowymi rozszerzeniami, obrazy osadzone w plikach ZIP i Word oraz błędy, które musimy znaleźć i naprawić, aby odzyskać te pliki.

Celem tego obrazu partycji jest przetestowanie możliwości zautomatyzowanych narzędzi wyszukujących obrazy JPG.webp.

Przechodzimy przez katalogi i widzimy przycisk w lewej kolumnie poniżej USUŃ WSZYSTKIE PLIKI aby pokazać nam wszystkie usunięte pliki.

Możemy również wyeksportować i pobrać pliki w celu ich analizy lub odzyskania, klikając w link, który chcemy pobrać, a następnie klikamy na Eksport

Wewnątrz znajdziemy obraz i kilka plików danych. Możemy również wyszukiwać słowa z Szukanie słowa kluczowego jako rozszerzenia plików, takie jak dokument lub programy, które mogą działać jak crack, wirus lub cokolwiek, co może wydawać się dziwne.

Wszystkie uzyskane wyniki można wyeksportować do dokumentów HTML klikając na linki Raport każdego typu widoku ASCI, szesnastkowego lub tekstowego, w celu przedstawienia raportu naszym klientom lub do prowadzenia bazy danych o incydentach.

Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave