USB -rettsmedisinske

Bruken av USB Enheter for å lagre personopplysninger og informasjon øker dag for dag på grunn av portabiliteten og plug-and-play-naturen til disse enhetene. EN USB (Universal Serial Bus) Enhet gir lagringskapasitet fra 2 GB til 128 GB eller mer. På grunn av disse enhetens stealthy karakter, kan USB -stasjoner brukes til å lagre ondsinnede og farlige programmer og filer, for eksempel pakkesniffere, keyloggers, ondsinnede filer osv. å utføre ondsinnede oppgaver av hackere og manus kiddies. Når inkriminerende informasjon som utpressing blir slettet fra en USB -enhet, vil USB -rettsmedisinsk komme i spill for å hente den slettede informasjonen. Innhenting eller gjenoppretting av slettede data fra USB -stasjoner er det vi kaller USB -rettsmedisinske. Denne artikkelen vil se på den profesjonelle prosedyren for å utføre rettsmedisinske analyser på en USB -enhet.

Lag kopibilde av USB -stasjonen

Det første vi vil gjøre er å lage en kopi av USB -stasjonen. I dette tilfellet vil ikke regelmessige sikkerhetskopier fungere. Dette er et veldig avgjørende skritt, og hvis det blir gjort galt, vil alt arbeidet gå til spill. Bruk følgende kommando for å liste opp alle stasjonene som er knyttet til systemet:

ubuntu@ubuntu: ~ $ sudo fdisk -l

I Linux er stasjonsnavnene forskjellige fra Windows. I et Linux -system, HDA og HDB er brukt (SDA, SDB, SDC, etc.) for SCSI, i motsetning til i Windows OS.

Nå som vi har stasjonsnavnet, kan vi opprette dets .dd bilde bit-by-bit med dd Verktøy ved å legge inn følgende kommando:

ubuntu@ubuntu: ~ $ sudo dd if =/dev/sdc1 av = usb.dd bs = 512 telling = 1

hvis= plasseringen av USB -stasjonen
av= Destinasjonen der det kopierte bildet blir lagret (kan være en lokal vei på systemet ditt, e.g. /Hjem/bruker/USB.dd)
bs= antall byte som vil bli kopiert om gangen

For å sikre bevis på at vi har den originale bildekopien av stasjonen, vil vi bruke Hashing For å opprettholde bildens integritet. Hashing vil gi en hasj for USB -stasjonen. Hvis en enkelt bit av data blir endret, vil hasjen bli endret fullstendig, og man vil vite om kopien er falsk eller original. Vi vil generere en MD5 -hasj på stasjonen slik at sammenlignet med stasjonens originale hasj, er det ingen som kan stille spørsmål ved integriteten til kopien.

ubuntu@ubuntu: ~ $ md5sum usb.dd

Dette vil gi en MD5 -hasj av bildet. Nå kan vi starte vår rettsmedisinske analyse på dette nyopprettede bildet av USB -stasjonen, sammen med hasj.

Oppsett av oppstartssektoren

Å kjøre filkommandoen vil gi tilbake filsystemet, så vel som stasjonens geometri:

ubuntu@ubuntu: ~ $ fil usb.dd
Ok.DD: DOS/MBR Boot Sector, Code Offset 0x58+2, OEM-ID "MSDOS5.0 ",
Sektorer/klynge 8, reserverte sektorer 4392, mediebeskrivelse 0xf8,
Sektorer/spor 63, leder 255, skjulte sektorer 32, sektorer 1953760 (bind> 32 MB),
Fett (32 bit), sektorer/fett 1900, reservert 0x1, serienummer 0x6efa4158, umerket

Nå kan vi bruke Minfo Verktøy for å få NTFS Boot Sector Layout og informasjon om oppstartssektoren via følgende kommando:

ubuntu@ubuntu: ~ $ minfo -i usb.dd
Enhetsinformasjon:
===================
filnavn = "ok.dd "
Sektorer per spor: 63
Hoder: 255
Sylindere: 122
mformat kommandolinje: mformat -t 1953760 -i ok.dd -h 255 -s 63 -h 32 ::
informasjon om boot sektor
=======================
Banner: "MSDOS5.0 "
Sektorstørrelse: 512 byte
Klyngestørrelse: 8 sektorer
reserverte (boot) sektorer: 4392
Fett: 2
Maks Tilgjengelige rotkatalogspor: 0
Liten størrelse: 0 sektorer
Mediebeskrivelsesbyte: 0xf8
sektorer per fett: 0
Sektorer per spor: 63
Hoder: 255
skjulte sektorer: 32
Stor størrelse: 1953760 sektorer
Fysisk driv -ID: 0x80
reservert = 0x1
DOS4 = 0x29
Serienummer: 6EFA4158
disk label = "Ingen navn"
Disk type = "FAT32"
Big Fatlen = 1900
Utvidede flagg = 0x0000
FS -versjon = 0x0000
rootcluster = 2
Infosektorplassering = 1
Backup -oppstartssektor = 6
Infosektor:
Signatur = 0x41615252
gratis klynger = 243159
sist tildelt klynge = 15

En annen kommando, den fstat Kommando, kan brukes til å få generell kjent informasjon, for eksempel tildelingsstrukturer, layout og oppstartsblokker, om enhetsbildet. Vi vil bruke følgende kommando for å gjøre det:

ubuntu@ubuntu: ~ $ fstat usb.dd
--------------------------------------------
Filsystemtype: FAT32
OEM -navn: MSDOS5.0
Volum -ID: 0x6EFA4158
Volumetikett (oppstartssektor): Ingen navn
Volumetikett (rotkatalog): Kingston
Filsystemtype etikett: FAT32
Neste gratis sektor (FS -info): 8296
Gratis sektorantall (FS -info): 1945272
Sektorer før filsystem: 32
Filsystemoppsett (i sektorer)
Totalt område: 0 - 1953759
* Reservert: 0 - 4391
** Boot Sector: 0
** FS Info Sector: 1
** Backup Boot Sector: 6
* Fett 0: 4392 - 6291
* Fett 1: 6292 - 8191
* Dataområde: 8192 - 1953759
** Cluster Area: 8192 - 1953759
*** Root Directory: 8192 - 8199
Metadatainformasjon
--------------------------------------------
Område: 2 - 31129094
Rotkatalog: 2
Innholdsinformasjon
--------------------------------------------
Sektorstørrelse: 512
Klyngestørrelse: 4096
Total klyngeområde: 2 - 243197
Fettinnhold (i sektorer)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> eof
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF

Slettede filer

De Sleuth Kit gir fls Verktøy, som gir alle filene (spesielt nylig slettede filer) i hver bane, eller i den spesifiserte bildefilen. All informasjon om slettede filer finner du ved hjelp av fls nytte. Skriv inn følgende kommando for å bruke FLS -verktøyet:

ubuntu@ubuntu: ~ $ fls -rp -f fat32 USB.dd
R/R 3: Kingston (volumetikettoppføring)
D/D 6: Systemvoluminformasjon
R/R 135: Systemvoluminformasjon/WPSettings.Dat
R/R 138: Systemvoluminformasjon/Indexervolumeguid
R/R * 14: Game of Thrones 1 720p X264 DDP 5.1 Esub - XRG.mkv
R/R * 22: Game of Thrones 2 (Pretcakalp) 720 X264 DDP 5.1 Esub - XRG.mkv
R/R * 30: Game of Thrones 3 720p X264 DDP 5.1 Esub - XRG.mkv
R/R * 38: Game of Thrones 4 720p X264 DDP 5.1 Esub - XRG.mkv
D/D * 41: Oceans Twelve (2004)
R/R 45: Protokoll fra PC-I holdt på 23.01.2020.Docx
R/R * 49: Minutter fra LEC holdt på 10.02.2020.Docx
R/R * 50: Windump.EXE
r/r * 51: _wrl0024.tmp
R/R 55: Minutter fra LEC holdt på 10.02.2020.Docx
D/D * 57: Ny mappe
d/d * 63: Anbudsvarsel for nettverksinfrastrukturutstyr
R/R * 67: Anbudsvarsel (Mega PC-I) Fase-II.Docx
R/R * 68: _wrd2343.tmp
R/R * 69: _wrl2519.tmp
R/R 73: Anbudsvarsel (Mega PC-I) fase-II.Docx
V/V 31129091: $ MBR
V/V 31129092: $ FAT1
V/V 31129093: $ FAT2
D/D 31129094: $ Orphanfiles
-/r * 22930439: $ bad_content1
-/r * 22930444: $ bad_content2
-/r * 22930449: $ bad_content3

Her har vi skaffet alle relevante filer. Følgende operatører ble brukt med FLS -kommandoen:

-p = Brukes til å vise hele banen til hver fil som er utvunnet
-r = Brukes til å vise stier og mapper rekursivt
-f = typen filsystem som brukes (FAT16, FAT32, etc.)

Outputten ovenfor viser at USB -stasjonen inneholder mange filer. De slettede filene som er gjenopprettet er notert med en “*”Sign. Du kan se at noe ikke er normalt med filene som er navngitt $BAD_CONTENT1, $bad_content2, $bad_content3, og Windump.EXE. Windump er et nettverkstrafikkfangstverktøy. Ved hjelp av Windump -verktøyet kan man fange data som ikke er ment for samme datamaskin. Intensjonen vises i det faktum at programvaren Windump har det spesifikke formålet å fange nettverkstrafikk og ble med vilje brukt for å få tilgang til personlig kommunikasjon av en legitim bruker.

Tidslinjeanalyse

Nå som vi har et bilde av filsystemet, kan vi utføre Mac -tidslinjeanalyse av bildet for å generere en tidslinje og for å plassere innholdet med dato og klokkeslett i et systematisk, lesbart format. Begge fls og ils Kommandoer kan brukes til å bygge en tidslinjeanalyse av filsystemet. For FLS -kommandoen må vi spesifisere at utdataene vil være i MAC -tidslinjeutgangsformat. For å gjøre det, vil vi kjøre fls kommando med -m flagg og omdirigere utdataene til en fil. Vi vil også bruke -m flagg med ils kommando.

ubuntu@ubuntu: ~ $ fls -m / -rp -f fat32 ok.DD> USB.fls
ubuntu@ubuntu: ~ $ cat usb.fls
0 |/Kingston (volumetikettoppføring) | 3 | r/rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 |/Systemvoluminformasjon | 6 | D/DR-XR-XR-X | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 |/Systemvoluminformasjon/WPSettings.Dat | 135 | r/rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 |/Systemvoluminformasjon/Indexervolumeguid | 138 | R/RRWXRWXRWX | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 Esub - XRG.mkv (slettet) | 14 | r/rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 Esub - XRG.mkv (slettet) | 22 | r/rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 |/Game of Thrones 3 720p x264 DDP 5.1 Esub - XRG.mkv (slettet) | 30 | r/rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 |/Game of Thrones 4 720p x264 DDP 5.1 Esub - XRG.mkv (slettet) | 38 | r/rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 |/Oceans Twelve (2004) (slettet) | 41 | D/DRWXRWXRWX | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 |/minutter av PC-I holdt på 23.01.2020.Docx | 45 | R/RRWXRWXRWX | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 |/minutter av LEC holdt på 10.02.2020.Docx (slettet) | 49 | r/rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/_wrd3886.tmp (slettet) | 50 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 |/_wrl0024.tmp (slettet) | 51 | r/rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/minutter av LEC holdt på 10.02.2020.DOCX | 55 | R/RRWXRWXRWX | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(slettet) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_wrd2343.tmp (slettet) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_wrl2519.TMP (slettet) | 69 | R/RR-XR-XR-X | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Anbudsvarsel (Mega PC-I) fase-II.Docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ FAT1 | 31129092 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ FAT2 | 31129093 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/Ny mappe (slettet) | 57 | D/DRWXRWXRWX | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.EXE (slettet) | 63 | D/DRWXRWXRWX | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 |/Anbudsvarsel (Mega PC-I) fase-II.Docx (slettet) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_wrd2343.tmp (slettet) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_wrl2519.TMP (slettet) | 69 | R/RR-XR-XR-X | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Anbudsvarsel (Mega PC-I) fase-II.Docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ FAT1 | 31129092 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ FAT2 | 31129093 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ Orphanfiles | 31129094 | d/d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 |/$$ BAD_CONTENT 1 (slettet) | 22930439 |-/rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 2 (slettet) | 22930444 |-/rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 3 (slettet) | 22930449 |-/rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821

Kjør Maktime Verktøy for å få tidslinjeanalyse med følgende kommando:

ubuntu@ubuntu: ~ $ cat usb.FLS> USB.Mac

For å konvertere denne maktime-utgangen til menneskelig lesbar form, skriv inn følgende kommando:

ubuntu@ubuntu: ~ $ mactime -b usb.Mac> USB.Maktime
ubuntu@ubuntu: ~ $ cat usb.Maktime

Thu 26. juli 2018 22:57:02 0 M… D /DRWXRWXRWX 0 0 41 /Oceans Twelve (2004) (slettet)
Thu 26. juli 2018 22:57:26 59 M… - /RRWXRWXRWX 0 0 22930439 /Game of Thrones 4 720p X264 DDP 5.1 Esub -(slettet)
47 M… - /RRWXRWXRWX 0 0 22930444 /Game of Thrones 4 720p X264 DDP 5.1 Esub - (slettet)
353 M… -/RRWXRWXRWX 0 0 22930449 // Game of Thrones 4 720p X264 DDP 5.1 Esub - (slettet)
Fre 27. juli 2018 00:00:00 12 .A… R/RRWXRWXRWX 0 0 135/Systemvoluminformasjon/WPSettings.Dat
76 .A… r/rrwxrwxrwx 0 0 138/Systemvoluminformasjon/indexervolumeguid
59 .A… - /RRWXRWXRWX 0 0 22930439 /Game of Thrones 3 720p X264 DDP 5.1 Esub 3 (slettet)
47 .A… -/RRWXRWXRWX 0 0 22930444 $/Game of Thrones 3 720p X264 DDP 5.1 Esub 3 (slettet)
353 .A… - /RRWXRWXRWX 0 0 22930449 /Game of Thrones 3 720p X264 DDP 5.1 Esub 3 (slettet)
Fre 31 jan 2020 00:00:00 33180 .A… r /rrwxrwxrwx 0 0 45 /minutter av PC-I holdt på 23.01.2020.Docx
Fre 31 jan 2020 12:20:38 33180 m… r /rrwxrwxrwx 0 0 45 /minutter av PC-i holdt på 23.01.2020.Docx
Fre 31 jan 2020 12:21:03 33180… b r /rrwxrwxrwx 0 0 45 /minutter av PC-i holdt på 23.01.2020.Docx
Man 17. feb.02.2020.Docx (slettet)
46659 M… R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (slettet)
Tir 18. februar 2020 00:00:00 46659 .A… R /RRWXRWXRWX 0 0 49 /Game of Thrones 2 720p X264 DDP 5.1 Esub -(slettet)
38208 .A… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (slettet)
Tirsdag 18. feb 2020 10:43:52 46659… B R /RRWXRWXRWX 0 0 49 /Game of Thrones 1 720p X264 DDP 5.1 Esub -
38208… B R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (slettet)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (slettet)
38208… b r /rrwxrwxrwx 0 0 55 /minutter av LEC holdt på 10.02.2020.Docx
Tir 18. februar 2020 11:13:16 38208 M… R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (slettet)
46659 .A… R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (slettet)
38208 .A… r /rrwxrwxrwx 0 0 55 /minutter av LEC holdt på 10.02.2020.Docx
Tirsdag 18. feb 2020 10:43:52 46659… B R /RRWXRWXRWX 0 0 49 /Game of Thrones 1 720p X264 DDP 5.1 Esub -
38208… B R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (slettet)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (slettet)
38208… b r /rrwxrwxrwx 0 0 55 /minutter av LEC holdt på 10.02.2020.Docx
Tir 18. februar 2020 11:13:16 38208 M… R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (slettet)
38208 M… R /RRWXRWXRWX 0 0 55 /Game of Thrones 3 720p X264 DDP 5.1 Esub -
Fre 15. mai 2020 00:00:00 4096 .A… D /DRWXRWXRWX 0 0 57 /NY mappe (slettet)
4096 .A… D /DRWXRWXRWX 0 0 63 /Anbudsvarsel for nettverksinfrastrukturutstyr for IIUI (slettet)
56775 .A… r /rrwxrwxrwx 0 0 67 /anbudsvarsel (mega pc-i) fase-II.Docx (slettet)
56783 .A… r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (slettet)
56775 .A… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (slettet)
56783 .A… r /rrwxrwxrwx 0 0 73 /anbudsvarsel (mega pc-i) fase-II.Docx
Fre 15. mai 2020 12:39:42 4096… B D /DRWXRWXRWX 0 0 57 /NY MOSTER (slettet)
4096… B D /DRWXRWXRWX 0 0 63 /Anbudsvarsel for nettverksinfrastrukturutstyr for IIUI (slettet)
Fre 15. mai 2020 12:39:44 4096 M… D/DRWXRWXRWX 0 0 57 $$ BAD_CONTENT 3 (slettet)
4096 M… D /DRWXRWXRWX 0 0 63 /Anbudsvarsel for nettverksinfrastrukturutstyr for IIUI (slettet)
Fre 15. mai 2020 12:43:18 56775 M… R/RRWXRWXRWX 0 0 67 $$ BAD_CONTENT 1 (slettet)
56775 M… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (slettet)
Fre 15. mai 2020 12:45:01 56775… B R/RRWXRWXRWX 0 0 67 $$ BAD_CONTENT 2 (slettet)
56783… b r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (slettet)
56775… B R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (slettet)
56783… B R /RRWXRWXRWX 0 0 73 /Anbudsvarsel (Mega PC-I) Fase-II.Docx
Fre 15. mai 2020 12:45:36 56783 M… R/RRWXRWXRWX 0 0 68 Windump.EXE (slettet)
56783 M… R /RRWXRWXRWX 0 0 73 /Anbudsvarsel (Mega PC-I) Fase-II.Docx

Alle filene skal gjenopprettes med en tidsstempel på den i et menneskelig lesbart format i filen "USB.Maktime.”

Verktøy for USB Forensics -analyse

Det er forskjellige verktøy som kan brukes til å utføre rettsmedisinske analyser på en USB -stasjon, for eksempel Sleuth Kit obduksjon, FTK Imager, Fremst, etc. Først vil vi se på obduksjonsverktøyet.

Autopsi

Autopsi brukes til å trekke ut og analysere data fra forskjellige typer bilder, for eksempel AFF (Advance Forensic Format) -bilder, .DD -bilder, rå bilder osv. Dette programmet er et kraftig verktøy som brukes av rettsmedisinske etterforskere og forskjellige rettshåndhevingsbyråer. Obduksjon består av mange verktøy som kan hjelpe etterforskere til å få jobben gjort effektivt og jevnt. Obduksjonsverktøyet er tilgjengelig for både Windows og UNIX -plattformer gratis.

For å analysere et USB -bilde ved hjelp av obduksjon, må du først opprette en sak, inkludert å skrive etterforskernes navn, registrere saksnavnet og andre informasjonsoppgaver. Neste trinn er å importere kildebildet av USB -stasjonen oppnådd ved starten av prosessen ved å bruke dd nytte. Deretter lar vi obduksjonsverktøyet gjøre det det gjør best.

Mengden informasjon gitt av Autopsi er enormt. Obduksjon gir de opprinnelige filnavnene og lar deg også undersøke katalogene og banene med all informasjonen om de aktuelle filene, for eksempel åpnet, endret, endret, Dato, og tid. Metadata -informasjonen blir også hentet, og all informasjonen er sortert på en profesjonell måte. For å gjøre filsøket enklere, gir obduksjon en Stikkordsøk Alternativ, som lar brukeren raskt og effektivt søke på en streng eller nummer blant det hentede innholdet.

I venstre panel av underkategorien til Filtyper, Du vil se en kategori som heter “Slettede filer”Inneholder de slettede filene fra ønsket drivbilde med all metadata og tidslinjeanalyseinformasjon.

Autopsi er grafisk brukergrensesnitt (GUI) for kommandolinjeverktøyet Sleuth Kit og er på toppnivå i rettsmedisinske verden på grunn av dens integritet, allsidighet, brukervennlig natur og muligheten til å gi raske resultater. USB Device Forensics kan utføres like enkelt på Autopsi Som på noe annet betalt verktøy.

FTK Imager

FTK Imager er et annet flott verktøy som brukes til henting og anskaffelse av data fra forskjellige typer bilder som er gitt. FTK Imager har også muligheten til å lage en bit-for-bit bildekopi, slik at intet annet verktøy liker dd eller dcfldd er nødvendig for dette formålet. Denne kopien av stasjonen inkluderer alle filer og mapper, den ikke tildelte og ledige plassen, og de slettede filene som er igjen i slakk plass eller ikke tildelt plass. Det grunnleggende målet her når du utfører rettsmedisinske analyser på USB -stasjoner er å rekonstruere eller gjenskape angrepsscenariet.

Vi vil nå se på å utføre USB -rettsmedisinske analyser på et USB -bilde ved hjelp av FTK Imager Tool.

Først må du legge til bildefilen i FTK Imager ved å klikke Fil >> Legg til beviselement.

Velg nå filtypen du vil importere. I dette tilfellet er det en bildefil av en USB -stasjon.

Skriv nå inn hele plasseringen av bildefilen. Husk at du må gi en full vei for dette trinnet. Klikk Bli ferdig å begynne datainnsamling, og la FTK Imager Gjør jobben. Etter en tid vil verktøyet gi de ønskede resultatene.

Her er det første å gjøre å bekrefte Bildeintegritet ved å høyreklikke på bildetavnet og velge Bekreft bildet. Verktøyet vil se etter matchende MD5- eller SHA1 -hasker som er utstyrt med bildeinformasjonen, og vil også fortelle deg om bildet er tuklet med før det blir importert til FTK Imager verktøy.

Nå, Eksport de gitte resultatene til veien du ønsker ved å høyreklikke på bildetavnet og velge Eksport Alternativ for å analysere det. De FTK Imager vil opprette en fullstendig datalogg over rettsmedisinske prosesser og vil plassere disse logger i samme mappe som bildefilen.

Analyse

De gjenopprettede dataene kan være i et hvilket som helst format, for eksempel TAR, ZIP (for komprimerte filer), PNG, JPEG, JPG (for bildefiler), MP4, AVI -format (for videofiler), strekkoder, PDFS og andre filformater. Du bør analysere metadataene til de gitte filene og sjekke for strekkoder i form av en QR kode. Dette kan være i en PNG -fil og kan hentes ved hjelp av Zbar verktøy. I de fleste tilfeller brukes DOCX- og PDF -filer for å skjule statistiske data, så de må være ukomprimerte. KDBX Filer kan åpnes gjennom Keepass; Passordet kan ha blitt lagret i andre gjenopprettede filer, eller vi kan utføre bruteforce når som helst.

Fremst

Fremst er et verktøy som brukes til å gjenopprette slettede filer og mapper fra et stasjonsbilde ved hjelp av overskrifter og bunntekst. Vi vil ta en titt på Foremosts Man -side for å utforske noen kraftige kommandoer som finnes i dette verktøyet:

ubuntu@ubuntu: ~ $ mann fremst
-a Aktiverer skrive alle overskrifter, utfør ingen feildeteksjon i
av ødelagte filer.
-B -nummer
Lar deg spesifisere blokkstørrelsen som brukes i det fremste. Dette er
relevant for filnavn og raske søk. Standard er
512. dvs. fremst -b 1024 bilde.dd
-Q (rask modus):
Aktiverer hurtigmodus. I rask modus er det bare starten på hver sektor
blir søkt etter matchende overskrifter. Det vil si at overskriften er
søkte bare opp til lengden på den lengste overskriften. Resten
av sektoren, vanligvis rundt 500 byte, blir ignorert. Denne modusen
gjør fremst løp betydelig raskere, men det kan føre til at du kan
savner filer som er innebygd i andre filer. For eksempel å bruke
rask modus vil du ikke kunne finne JPEG -bilder innebygd i
Microsoft Word -dokumenter.
Rask modus skal ikke brukes når du undersøker NTFS -filsystemer.
Fordi NTFS vil lagre små filer i hovedfilen TA‐
ble, disse filene vil bli savnet i rask modus.
-a Aktiverer skrive alle overskrifter, utfør ingen feildeteksjon i
av ødelagte filer.
-i (input) fil:
Filen som brukes med I -alternativet brukes som inndatafil.
I tilfelle at ingen inndatafil er spesifisert, brukes stdin til c.

Filen som brukes med I -alternativet brukes som inndatafil.

I tilfelle at ingen inndatafil er spesifisert, brukes stdin til c.

For å få jobben gjort, vil vi bruke følgende kommando:

ubuntu@ubuntu: ~ $ fremst usb.dd

Etter at prosessen er fullført, vil det være en fil i /produksjon mappe som heter tekst inneholder resultatene.

Konklusjon

USB Drive Forensics er en god ferdighet å måtte hente bevis og gjenopprette slettede filer fra en USB -enhet, samt å identifisere og undersøke hvilke dataprogrammer som kan ha blitt brukt i angrepet. Da kan du sette sammen trinnene angriperen kan ha tatt for å bevise eller motbevise påstandene fra den legitime brukeren eller offeret. For å sikre at ingen slipper unna med en nettkriminalitet som involverer USB-data, er USB-rettsmedisinske et viktig verktøy. USB -enheter inneholder viktige bevis i de fleste rettsmedisinske tilfeller, og noen ganger kan rettsmedisinske data hentet fra en USB -stasjon hjelpe til med å gjenopprette viktige og verdifulle personopplysninger.