Digital rettsmedisinske innebærer gjenoppretting og anskaffelse av alle typer bevis fra enheter som harddisker, datamaskiner, mobiltelefoner som kan lagre alle slags data. En obduksjon er et verktøy som brukes av militæret, rettshåndhevelsen og forskjellige byråer når det er et rettsmedisinsk behov. En obduksjon er i utgangspunktet et grafisk grensesnitt for den veldig berømte Sleuth -settet brukes til å hente bevis fra en fysisk drivkraft og mange andre verktøy. Sleuth Kit tar bare kommandolinjeinstruksjoner. På den annen side gjør obduksjon den samme prosessen enkel og brukervennlig. Obduksjon gir forskjellige funksjoner som hjelper til med å skaffe og analysere kritiske data og bruker også forskjellige verktøy for jobber som Tidslinjeanalyse, Filtrering av hash, utskjæring av data, Exif -data,Anskaffe webartifakter, søkeordsøk, etc. Obduksjon bruker flere kjerner og kjører bakgrunnsprosessene parallelt og forteller deg så snart noe av interessen din dukker opp, noe som gjør det til et ekstremt raskt og pålitelig verktøy for digital rettsmedisinske.
Installasjon:
Først av alt, kjør følgende kommando på Linux -systemet ditt for å oppdatere pakkelagrene dine:
ubuntu@ubuntu: ~ $ sudo apt-get update
Kjør nå følgende kommando for å installere obduksjonspakke:
ubuntu@ubuntu: ~ $ sudo apt installer obduksjon
Dette vil installere Sleuth Kit obduksjon På Linux -systemet ditt.
For Windows-baserte systemer, bare last ned Autopsi Fra det offisielle nettstedet https: // www.Sleuthkit.org/obduksjon/.
Bruk:
La oss skyte opp obduksjon ved å skrive $ obduksjon i terminalen. Det vil ta oss til en skjerm med informasjon om plasseringen av bevisskapet, starttid, lokal port og versjonen av obduksjon vi bruker.
Vi kan se en lenke her som kan ta oss med til autopsi. På navigering til http: // localhost: 9999/obduksjon På hvilken som helst nettleser vil vi bli ønsket velkommen på hjemmesiden, og vi kan nå begynne å bruke Autopsi.
Opprette en sak:
Det første vi trenger å gjøre er å lage en ny sak. Vi kan gjøre det ved å klikke på ett av tre alternativer (Open Case, New Case, Help) på Autopsys hjemmeside. Etter å ha klikket på den, vil vi se en skjerm som dette:
Skriv inn detaljene som nevnt, jeg.e., saksnavnet, etterforskerens navn og beskrivelse av saken for å organisere vår informasjon og bevis som bruker for denne undersøkelsen. Det meste av tiden er det mer enn en etterforsker som utfører digital rettsmedisinske analyser; Derfor er det flere felt å fylle. Når det er gjort, kan du klikke på Ny sak knapp.
Dette vil opprette en sak med gitt informasjon og viser deg stedet der sakskatalogen opprettes i.e./var/lab/obduksjon/ og plasseringen av konfigurasjonsfilen. Klikk nå på Legg til vert, Og en skjerm som dette vil vises:
Her trenger vi ikke å fylle ut alle de gitte feltene. Vi må bare fylle ut vertsnavnfeltet der navnet på systemet som blir undersøkt blir lagt inn og den korte beskrivelsen av det. Andre alternativer er valgfrie, som å spesifisere stier der dårlige hasjes vil bli lagret eller de der andre vil gå eller sette tidssonen for vårt valg. Etter å ha fullført dette, klikker du på Legg til vert knapp for å se detaljene du har spesifisert.
Nå er verten lagt til, og vi har plasseringen av alle viktige kataloger, vi kan legge til bildet som kommer til å bli analysert. Klikk på Legg til bilde For å legge til en bildefil og en skjerm som denne vil dukke opp:
I en situasjon der du må ta et bilde av enhver partisjon eller stasjon av det aktuelle datasystemet, kan bildet av en disk fås dcfldd nytte. For å få bildet, kan du bruke følgende kommando,
ubuntu@ubuntu: ~ $ dcfldd if = av BS = 512 telling = 1 hash =
if =Destinasjonen for stasjon du vil ha et bilde av
av =destinasjonen der et kopiert bilde vil bli lagret (kan være hva som helst, e.g., harddisk, USB osv.)
BS = Blokkstørrelse (antall byte å kopiere om gangen)
hash =hash type (e.G MD5, SHA1, SHA2, etc.) (valgfritt)
Vi kan også bruke dd verktøy for å fange et bilde av en stasjon eller partisjon ved hjelp av
ubuntu@ubuntu: ~ $ dd if = av = BS = 512 telle = 1 hash =
Det er tilfeller der vi har noen verdifulle data i RAM For en rettsmedisinsk undersøkelse, så det vi må gjøre er å fange den fysiske RAM for minneanalyse. Vi vil gjøre det ved å bruke følgende kommando:
ubuntu@ubuntu: ~ $ dd if =/dev/fmem av = BS = 512 telling = 1 hash =
Vi kan videre se på dd Verktøyets forskjellige andre viktige alternativer for å fange bildet av en partisjon eller fysisk RAM ved å bruke følgende kommando:
ubuntu@ubuntu: ~ $ dd -hjelp DD -hjelpemuligheter BS = byte leser og skriver opp til byte byte om gangen (standard: 512); overstyrer IBS og OBS CBS = byte konverterer byte byte om gangen Conv = Convs Konverter filen i henhold til den komma-separerte symbollisten telle = n kopier bare n inngangsblokker IBS = byte leser opp til byte byte om gangen (standard: 512) hvis = fillest fra filen i stedet for stdin IFLAG = flagg lest i henhold til den komma-separerte symbollisten OBS = byte Skriv byte byte om gangen (standard: 512) av = fil skriv til fil i stedet for stdout Oflag = Flags Skriv i henhold til den komma-separerte symbollisten Søk = n hopp over n obsed-blokker i starten av utgangen hopp over = n hopp over n ibs-størrelse blokker i starten av inngangen Status = Nivå på informasjonsnivået som skal skrives ut til stderr; 'Ingen' undertrykker alt annet enn feilmeldinger, 'Noxfer' undertrykker den endelige overføringsstatistikken, 'Progress' viser periodisk overføringsstatistikk N og byte kan følges av følgende multiplikative suffikser: c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000*1000, m = 1024*1024, xm = m, GB = 1000*1000*1000, G = 1024*1024*1024, og så videre for T, P, E, Z, Y. Hvert konv -symbol kan være: ascii fra ebcdic til ascii Ebcdic fra ascii til ebcdic IBM fra ASCII til alternativ ebcdic Blokker Pad Newline-terminerte poster med mellomrom til CBS-størrelse Fjern blokkering erstatter etterfølgende mellomrom i CBS-størrelse rekorder med en Newline LCase Endre store saker til små bokstaver UCase Endre små bokstaver til store bokstaver Sparsom prøv å søke i stedet for å skrive utdataene for NUL -inngangsblokker Pinne bytter hvert par inputbyte Synkroniser hver inngangsblokk med NULS til IBS-størrelse; når det brukes med en blokk eller fjerning, pute med mellomrom i stedet for nulser ekskl. Mislykkes hvis utgangsfilen allerede eksisterer Nocreat oppretter ikke utdatafilen Notrunc ikke avkortet utdatafilen NoError fortsetter etter lest feil Fdatasync skriver fysisk utdatafildata før du er ferdig Fsync på samme måte, men skriver også metadata Hvert flaggsymbol kan være: vedlegg vedleggsmodus (er bare fornuftig for output; conv = notrunc foreslått) Direkte bruk direkte I/O for data Katalog mislykkes med mindre en katalog dSync bruker synkronisert I/O for data synkroniseres på samme måte, men også for metadata fullblokk akkumulerer fulle blokker med inngang (bare IFLAG) Ikke-blokkering Bruk ikke-blokkerende I/O Noatime oppdaterer ikke tilgangstid nocache -forespørsel om å slippe cache.
Vi vil bruke et bilde som heter 8-JPEG-SEARCH-DD Vi har lagret på systemet vårt. Dette bildet ble opprettet for testtilfeller av Brian Carrier for å bruke det med obduksjon og er tilgjengelig på internett for testtilfeller. Før vi legger til bildet, bør vi sjekke MD5 -hashen til dette bildet nå og sammenligne det senere etter å ha fått det inn i bevisskapet, og begge skal samsvare med. Vi kan generere MD5 -summen av bildet vårt ved å skrive følgende kommando i vår terminal:
ubuntu@ubuntu: ~ $ md5sum 8-jpeg-search-dd
Dette vil gjøre susen. Plasseringen der bildefilen er lagret er /Ubuntu/Desktop/8-JPEG-SEARCH-DD.
Det viktige er at vi må gå inn i hele banen der bildet ligger i.r /Ubuntu/Desktop/8-JPEG-SEARCH-DD i dette tilfellet. Symlink er valgt, noe som gjør bildefilen som ikke er overveldende for problemer forbundet med kopiering av filer. Noen ganger får du en "ugyldig bilde" -feil, sjekk banen til bildefilen og sørg for at fremover-slash "/” er det. Klikk på NESTE vil vise oss bildedetaljene våre som inneholder Filsystem type, Mount Drive, og MD5 Verdien av bildefilen vår. Klikk på Legg til For å plassere bildefilen i bevisskapet og klikk Ok. En skjerm som dette vil vises:
Her får vi med hell bildet og av til vårt Analysere Del for å analysere og hente verdifulle data i betydningen digitale rettsmedisinske. Før vi går videre til "Analyser" -delen, kan vi sjekke bildedetaljene ved å klikke på alternativet for detaljer.
Dette vil gi oss detaljer om bildefilen som filsystemet som brukes (NTFS i dette tilfellet), Mount Partition, navnet på bildet, og tillater å lage søkeordsøk og datagjenoppretting raskere ved å trekke ut strenger av hele volumer og også ikke tildelt rom. Etter å ha gått gjennom alle alternativene, klikker du på back -knappen. Nå før vi analyserer bildefilen vår, må vi sjekke integriteten til bildet ved å klikke på bildeintegritetsknappen og generere en MD5 -hash av bildet vårt.
Det viktige å merke seg er at denne hasj vil samsvare med den vi hadde generert gjennom MD5 -sum i starten av prosedyren. Når det er gjort, klikk på Lukk.
Analyse:
Nå som vi har opprettet saken vår, ga den et vertsnavn, lagt til en beskrivelse, gjorde integritetskontrollen, kan vi behandle analysealternativet ved å klikke på Analysere knapp.
Vi kan se forskjellige analysemodus, jeg.e., Filanalyse, søkeordsøk, filtype, bildedetaljer, dataenhet. Først av alt klikker vi på bildedetaljer for å få filinformasjonen.
Vi kan se viktig informasjon om bildene våre som filsystemtypen, operativsystemnavnet og det viktigste, serienummeret. Volum serienummeret er viktig i rettsretten, da det viser at bildet du analyserte er det samme eller en kopi.
La oss se på Filanalyse alternativ.
Vi kan finne en haug med kataloger og filer som er til stede inne i bildet. De er oppført i standardrekkefølgen, og vi kan navigere i en nettlesingsmodus. På venstre side kan vi se den gjeldende katalogen som er spesifisert, og bunnen av den kan vi se et område der spesifikke nøkkelord kan søkes.
Foran filnavnet er det 4 felt som heter skrevet, tilgang, endret, opprettet. Skrevet betyr at datoen og tid filen sist ble skrevet til, Åpnet betyr at forrige gang filen ble åpnet (i dette tilfellet er den eneste datoen pålitelig), Endret betyr at sist gang filens beskrivende data ble endret, Opprettet betyr datoen og tiden da filen ble opprettet, og Metadata viser informasjonen om annet enn generell informasjon.
På toppen vil vi se et alternativ Genererer MD5 -hasj av filene. Og igjen, dette vil sikre integriteten til alle filene ved å generere MD5 -hashesene til alle filene i den gjeldende katalogen.
Venstre side av Filanalyse Tab inneholder fire hovedalternativer, i.e., Katalogsøk, filnavn -søk, alle slettede filer, utvide kataloger. Katalogsøk lar brukere søke på katalogene man ønsker. Filnavnsøk tillater å søke på spesifikke filer i den gitte katalogen,
Alle slettede filer Inneholder de slettede filene fra et bilde som har samme format, i.e., Skrevet, tilgang, opprettet, metadata og endret alternativer og vises i rødt som gitt nedenfor:
Vi kan se at den første filen er en JPEG fil, men den andre filen har en utvidelse av “Hmm”. La oss se på denne filens metadata ved å klikke på metadata på mest riktig.
Vi har funnet ut at metadataene inneholder en Jfif inngang, som betyr JPEG File Interchange Format, Så vi får at det bare er en bildefil med en utvidelse av "Hmm”. Utvide kataloger utvider alle kataloger og lar et større område samarbeide med kataloger og filer i de gitte katalogene.
Sortering av filene:
Det er ikke mulig å analysere metadataene til alle filene Filtype Tab.'
For å sortere filkategoriene slik at vi kan inspisere de med samme kategori med letthet. Filtype har muligheten til å sortere samme type filer i en kategori, i.e., Arkiv, lyd, video, bilder, metadata, exec -filer, tekstfiler, dokumenter, komprimerte filer, etc.
En viktig ting med å se sorterte filer er at obduksjon ikke tillater å se filer her; I stedet må vi bla til stedet der disse er lagret og se dem der. For å vite hvor de er lagret, klikker du på Vis sorterte filer Alternativ på venstre side av skjermen. Plasseringen den vil gi oss vil være det samme som det vi spesifiserte mens vi oppretter saken i første trinn I.e./var/lib/obduksjon/.
For å kunne åpne saken på nytt, bare åpne obduksjon og klikk på et av alternativene “Åpen sak.”
Sak: 2
La oss se på å analysere et annet bilde ved hjelp av obduksjon på et Windows -operativsystem og finne ut hva slags viktig informasjon vi kan få fra en lagringsenhet. Det første vi trenger å gjøre er å lage en ny sak. Vi kan gjøre det ved å klikke på ett av tre alternativer (Open Case, New Case, Nylig åpen sak) på obduksjonens hjemmeside. Etter å ha klikket på den, vil vi se en skjerm som dette:
Oppgi saksnavnet, og banen hvor du skal lagre filene og deretter legge inn detaljene som nevnt, i.e., saksnavnet, sensorens navn og beskrivelse av saken for å organisere vår informasjon og bevis som bruker for denne undersøkelsen. I de fleste tilfeller er det mer enn en sensor som gjør etterforskningen.
Gi nå bildet du vil undersøke. E01(Ekspert vitneformat), Aff(Advanced Forensics Format), RAW -format (Dd), og hukommens rettsmedisinske bilder er kompatible. Vi har lagret et bilde av systemet vårt. Dette bildet vil bli brukt i denne undersøkelsen. Vi bør gi full vei til bildeplassen.
Den vil be om valg av forskjellige alternativer som tidslinjeanalyse, filtrering av hash, utskjæring av data, EXIF -data, anskaffelse av webartefakter, søkeordsøk, e -postparser, innebygd filutvinning, nyere aktivitetssjekk, etc. Klikk på Velg alle for beste opplevelse og klikk på neste knapp.
Når alt er ferdig, klikker du Fullfør og vent til prosessen skal fullføres.
Analyse:
Det er to typer analyser, Død analyse, og Live analyse:
En død undersøkelse skjer når et engasjert undersøkelsesrammeverk brukes til å se på informasjonen fra et spekulert rammeverk. På det punktet når dette skjer, Sleuth Kit Autopsy kan løpe i et område der sjansen for skade utryddes. Obduksjon og Sleuth Kit tilbyr hjelp til rå, ekspertvitne og AFF -formater.
En live etterforskning skjer når antar rammeverket brytes sammen mens den kjører. I dette tilfellet, Sleuth Kit Autopsy kan kjøre i et hvilket som helst område (noe annet enn et avgrenset rom). Dette brukes ofte under forekomstreaksjon mens episoden blir bekreftet.
Nå før vi analyserer bildefilen vår, må vi sjekke integriteten til bildet ved å klikke på bildeintegritetsknappen og generere en MD5 -hash av bildet vårt. Det viktige å merke seg er at denne hasj vil matche den vi hadde for bildet i starten av prosedyren. Bilde hash er viktig ettersom det forteller om det gitte bildet har tuklet eller ikke.
i mellomtiden, Autopsi har fullført prosedyren, og vi har all informasjonen vi trenger.
Først av alt vil vi starte med grunnleggende informasjon som operativsystemet som ble brukt, forrige gang brukeren logget inn, og den siste personen som fikk tilgang til datamaskinen i løpet av et uhell. For dette vil vi gå til Resultater> Ekstrahert innhold> Operativsysteminformasjon på venstre side av vinduet.
For å se det totale antallet kontoer og alle kontoer som er tilknyttet, går vi til Resultater> Ekstrahert innhold> Brukerkontoer for operativsystem. Vi vil se en skjerm som dette:
Informasjonen som den siste personen som har tilgang til systemet, og foran brukernavnet, er det noen felt som heter åpnet, endret, opprettet.Åpnet betyr at forrige gang kontoen ble åpnet (i dette tilfellet, er den eneste datoen pålitelig) og Created betyr dato og tid kontoen ble opprettet. Vi kan se at den siste brukeren fikk tilgang til systemet ble navngitt MR. Ond.
La oss gå til Programfiler mappe på C Kjør plassert på venstre side av skjermen for å oppdage den fysiske og internettadressen til datasystemet.
Vi kan se IP (Internett -protokoll) adresse og Mac adresse til datasystemet som er oppført.
La oss gå til Resultater> Ekstrahert innhold> Installerte programmer, Vi kan se her er følgende programvare som brukes til å utføre ondsinnede oppgaver relatert til angrepet.
Cain & Abel: Et kraftig pakkesniffingsverktøy og passordsprekkerverktøy som brukes til pakkesniffing.
Anonymiserer: Et verktøy som brukes til å skjule spor og aktiviteter den ondsinnede brukeren utfører.
Ethereal: Et verktøy som brukes til å overvåke nettverkstrafikk og fange pakker i et nettverk.
Søt FTP: en FTP -programvare.
NetStumbler: Et verktøy som brukes til å oppdage et trådløst tilgangspunkt
WinPcap: Et kjent verktøy som brukes til koblings-lag-nettverkstilgang i Windows-operativsystemer. Det gir tilgang til nettverket på lavt nivå til nettverket.
I /Windows/System32 Plassering, vi kan finne e -postadressene brukeren brukte. Vi kan se Msn E -post, hotmail, outlook e -postadresser. Vi kan også se SMTP E -postadresse akkurat her.
La oss gå til et sted der Autopsi Lagre mulige ondsinnede filer fra systemet. Navigere til Resultater> Interessante elementer, Og vi kan se en zip -bombe til stede som heter Unix_hack.tgz.
Da vi navigerte til /Gjenvinning Plassering, vi fant 4 slettede kjørbare filer som heter DC1.EXE, DC2.EXE, DC3.EXE, og DC4.EXE.
Eterisk, en kjent sniffe Verktøy som kan brukes til å overvåke og avskjære alle slags kablede og trådløse nettverkstrafikk blir også oppdaget. Vi samlet de fangede pakkene og katalogen der den er lagret er /Dokumenter, Filnavnet i denne mappen er Avskjæring.
Vi kan se i denne filen dataene som nettleserofferet brukte og typen trådløs datamaskin og fant ut at det var Internet Explorer på Windows CE. Nettstedene offeret fikk tilgang til var Yahoo og Msn .com, og dette ble også funnet i avskjæringsfilen.
På å oppdage innholdet i Resultater> Ekstrahert innhold> Netthistorikk,
Vi kan se ved å utforske metadata av gitte filer, brukerens historie, nettstedene han besøker, og e -postadressene han ga for å logge inn.
Gjenopprette slettede filer:
I den tidligere delen av artikkelen har vi oppdaget hvordan vi kan hente ut viktige opplysninger fra et bilde av hvilken som helst enhet som kan lagre data som mobiltelefoner, harddisker, datasystemer osv. Blant de mest grunnleggende nødvendige talentene for et rettsmedisinsk agent er det antagelig å gjenopprette slettende poster det mest essensielle. Som du sannsynligvis er klar. Å slette disse postene gjør i utgangspunktet enheten tilgjengelig for å bli overskrevet. Dette innebærer at hvis den mistenkte slettet bevisregister til de blir overskrevet av dokumentrammen, holder de seg tilgjengelige for oss å hente inn.
Nå vil vi se på hvordan du kan gjenopprette de slettede filene eller postene ved hjelp av Sleuth Kit Autopsy. Følg alle trinnene over, og når bildet importeres, vil vi se en skjerm som dette:
På venstre side av vinduet, hvis vi utvider ytterligere Filtyper Alternativ, vi vil se en haug med kategorier som heter Arkiv, lyd, video, bilder, metadata, exec -filer, tekstfiler, dokumenter (html, pdf, ord, .PPX osv.), komprimerte filer. Hvis vi klikker på Bilder, Det vil vise alle bildene som er utvunnet.
Litt lenger nedenfor, i underkategorien av Filtyper, Vi vil se et alternativnavn Slettede filer. Når vi klikker på dette, vil vi se noen andre alternativer i form av merkede faner for analyse i nedre høyre vindu. Fanene heter Heks, resultat, indeksert tekst, strenger, og Metadata. I Metadata -fanen vil vi se fire navn skrevet, tilgang, endret, opprettet. Skrevet betyr at datoen og tid filen sist ble skrevet til, Åpnet betyr at forrige gang filen ble åpnet (i dette tilfellet er den eneste datoen pålitelig), Endret betyr at sist gang filens beskrivende data ble endret, Opprettet betyr datoen og tiden da filen ble opprettet. Nå for å gjenopprette den slettede filen vi ønsker, klikker du på den slettede filen og velger Eksport. Den vil be om et sted der filen blir lagret, velg et sted og klikk Ok. Mistenkte vil ofte forsøke å dekke sporene sine ved å slette forskjellige viktige filer. Vi kjenner som en rettsmedisinsk person at inntil disse dokumentene blir overskrevet av filsystemet, kan de bli hentet inn.
Konklusjon:
Vi har sett på prosedyren for å hente ut nyttig informasjon fra målbildet vårt ved hjelp av Sleuth Kit Autopsy I stedet for individuelle verktøy. En obduksjon er et go-to-alternativ for enhver rettsmedisinsk etterforsker, og på grunn av hastigheten og påliteligheten. Obduksjon bruker flere kjerneprosessorer som kjører bakgrunnsprosessene parallelt, noe som øker hastigheten og gir oss resultater i mindre tid og viser de søkte nøkkelordene så snart de blir funnet på skjermen. I en tid der rettsmedisinske verktøy er en nødvendighet, gir obduksjon de samme kjernefunksjonene som er fri for kostnader som andre betalte rettsmedisinske verktøy.
Obduksjon går foran omdømmet til noen betalte verktøy, samt gir noen ekstra funksjoner som registeranalyse og webartefaktanalyse, som de andre verktøyene ikke gjør. En obduksjon er kjent for sin intuitive bruk av naturen. En rask høyreklikk åpner det betydningsfulle dokumentet. Det innebærer nesten null varig tid til å oppdage om eksplisitte forfølgelsesbetingelser er på vårt bilde, telefon eller PC som blir sett på. Brukere kan på samme måte backtrack når dyptgripende oppdrag blir til blindveier, ved å bruke tilbake og fremover historikkfangst for å følge deres midler. Video kan også sees uten ytre applikasjoner, og fremskynder bruk.
Miniatyrperspektiver, post- og dokumenttype som arrangerer filtrering av de gode filene og flagging for forferdelig, ved bruk av tilpasset hasjsett er bare en del av forskjellige høydepunkter å finne på Sleuth Kit Autopsy Versjon 3 Tilbyr betydelige forbedringer fra versjon 2.Basis -teknologi subsidierte generelt arbeidet med versjon 3, der Brian Carrier, som leverte en stor del av arbeidet med tidligere gjengivelser av Autopsi, er CTO og sjef for avansert kriminologi. Han blir også sett på som en Linux -mester og har komponert bøker om gjenstand for målbar informasjonsgruvedrift, og basissteknologi skaper Sleuth -settet. Derfor kan klienter mest sannsynlig føle seg virkelig sikre på at de får en anstendig vare, et element som ikke vil forsvinne på noe tidspunkt i løpet av en nær fremtid, og en som sannsynligvis vil bli opprettholdt i det som skal komme.
