Phenquestions
Installation:
Kör först och främst följande kommando på ditt Linux-system för att uppdatera dina paketförvar:
[e-postskyddad]: ~ $ sudo apt-get-uppdateringKör nu följande kommando för att installera obduktionspaketet:
[e-postskyddad: ~ $ sudo apt installera obduktionDetta kommer att installeras Sleuth Kit Obduktion på ditt Linux-system.
För Windows-baserade system, ladda ner helt enkelt Obduktion från dess officiella webbplats https: // www.sleuthkit.org / obduktion /.
Användande:
Låt oss skjuta upp obduktion genom att skriva $ obduktion i terminalen. Det tar oss till en skärm med information om platsen för bevislåset, starttid, lokal port och den version av Obduktion vi använder.
Vi kan se en länk här som kan ta oss till obduktion. På att navigera till http: // localhost: 9999 / obduktion i vilken webbläsare som helst kommer vi att välkomnas av hemsidan, och vi kan nu börja använda Obduktion.
Skapa ett ärende:
Det första vi behöver göra är att skapa ett nytt ärende. Vi kan göra det genom att klicka på ett av tre alternativ (Öppna ärende, Nytt ärende, Hjälp) på Autopsys hemsida. Efter att ha klickat på den ser vi en skärm så här:
Ange detaljerna som nämnts, i.e., ärendets namn, utredarens namn och beskrivning av ärendet för att organisera vår information och våra bevis som används för denna utredning. För det mesta är det mer än en utredare som utför digitala kriminaltekniska analyser; Därför finns det flera fält att fylla i. När det är klart kan du klicka på Nytt fall knapp.
Detta skapar ett ärende med given information och visar platsen där ärendekatalogen skapas i.e./ var / lab / obduktion /
Här behöver vi inte fylla i alla angivna fält. Vi måste bara fylla i värdnamnsfältet där namnet på det system som undersöks anges och den korta beskrivningen av det. Andra alternativ är valfria, som att ange sökvägar där dåliga haschar kommer att lagras eller de där andra ska gå eller ställa in den tidszon som vi väljer. När du har slutfört detta klickar du på Lägg till värd för att se detaljerna du har angett.
Nu läggs värden till och vi har platsen för alla viktiga kataloger, vi kan lägga till bilden som ska analyseras. Klicka på Lägg till bild för att lägga till en bildfil och en sådan skärm dyker upp:
I en situation där du måste ta en bild av vilken partition eller enhet som helst i det specifika datorsystemet, kan du få en skivas bild med hjälp av dcfldd verktyg. För att få bilden kan du använda följande kommando,
[e-postskyddad]: ~ $ dcfldd if =bs = 512 räkning = 1 hash =
om =destinationen för enheten du vill ha en bild av
av =destinationen där en kopierad bild kommer att lagras (kan vara vad som helst, t.ex.g., hårddisk, USB etc)
bs = blockstorlek (antal byte som ska kopieras åt gången)
hash =hash-typ (e.g md5, sha1, sha2, etc.) (valfritt)
Vi kan också använda dd verktyg för att fånga en bild av en enhet eller partition med
[e-postskyddad]: ~ $ dd if =räkna = 1 hash =
Det finns fall där vi har värdefull information i Bagge för en kriminalteknisk utredning, så vad vi måste göra är att fånga den fysiska ram för minnesanalys. Vi gör det med följande kommando:
[e-postskyddad]: ~ $ dd if = / dev / fmem of =hash =
Vi kan vidare ta en titt på dd verktyget olika andra viktiga alternativ för att fånga bilden av en partition eller fysisk ram med följande kommando:
[e-postskyddad]: ~ $ dd --hjälpdd hjälpalternativ
bs = BYTES läser och skriver upp till BYTES byte åt gången (standard: 512);
åsidosätter ibs och obs
cbs = BYTES konverterar BYTES byte åt gången
conv = CONVS konvertera filen enligt den kommaseparerade symbollistan
räkna = N kopiera endast N ingångsblock
ibs = BYTES läst upp till BYTES byte åt gången (standard: 512)
if = FILE läst från FILE istället för stdin
iflag = FLAGGAR läs enligt den kommaseparerade symbollistan
obs = BYTES skriv BYTES byte åt gången (standard: 512)
of = FILE skriv till FILE istället för stdout
oflag = FLAGGAR skriver enligt den kommaseparerade symbollistan
sök = N hoppa över N obs-storlek block i början av utgången
hoppa = N hoppa över N ibs-storlek block i början av ingången
status = LEVEL Nivån på information som ska skrivas ut till stderr;
'ingen' undertrycker allt utom felmeddelanden,
'noxfer' undertrycker den slutliga överföringsstatistiken,
"framsteg" visar periodisk överföringsstatistik
N och BYTES kan följas av följande multiplikationssuffix:
c = 1, w = 2, b = 512, kB = 1000, K = 1024, MB = 1000 * 1000, M = 1024 * 1024, xM = M,
GB = 1000 * 1000 * 1000, G = 1024 * 1024 * 1024, och så vidare för T, P, E, Z, Y.
Varje CONV-symbol kan vara:
ascii från EBCDIC till ASCII
ebcdic från ASCII till EBCDIC
ibm från ASCII till alternativ EBCDIC
blockera newline-avslutade poster med mellanslag till cbs-storlek
avblockera ersätt efterföljande mellanslag i cbs-storlek poster med en ny rad
lcase byta versaler till små bokstäver
ucase ändra gemener till versaler
gles försök att söka i stället för att skriva utdata för NUL-ingångsblock
swab swap varje par ingångsbyte
synkronisera varje ingångsblock med NUL till ibs-storlek; när den används
med ett block eller avblockera, pad med mellanslag snarare än NUL
exkl misslyckas om utdatafilen redan finns
nocreat skapar inte utdatafilen
notrunc trunkerar inte utdatafilen
noerror fortsätter efter läsfel
fdatasync skriver fysiskt data för utdatafilen innan du är klar
fsync också, men skriv också metadata
Varje FLAG-symbol kan vara:
append append mode (meningsfullt endast för output; conv = notrunc föreslog)
direkt användning direkt I / O för data
katalog misslyckas om inte en katalog
dsync använder synkroniserad I / O för data
synkronisering på samma sätt, men också för metadata
fullblock ackumulerar hela ingångsblock (endast iflag)
nonblock använder icke-blockerande I / O
noatime uppdaterar inte åtkomsttiden
nocache Begär att släppa cache.
Vi kommer att använda en bild med namnet 8-jpeg-search-dd vi har sparat på vårt system. Denna bild skapades för testfall av Brian Carrier för att använda den med obduktion och är tillgänglig på internet för testfall. Innan vi lägger till bilden bör vi kontrollera md5-hash för den här bilden nu och jämföra den senare efter att ha fått den i bevislåset, och båda ska matcha. Vi kan generera md5-summan av vår bild genom att skriva följande kommando i vår terminal:
[e-postskyddad]: ~ $ md5sum 8-jpeg-search-ddDetta kommer att göra tricket. Platsen där bildfilen sparas är / ubuntu / Desktop / 8-jpeg-search-dd.
Det viktiga är att vi måste ange hela banan där bilden ligger i.r / ubuntu / desktop / 8-jpeg-search-dd I detta fall. Symlink är valt, vilket gör att bildfilen inte är sårbar för problem i samband med kopiering av filer. Ibland får du ett "ogiltigt avbildningsfel", kontrollerar sökvägen till bildfilen och ser till att snedstrecket "/ ” finns det. Klicka på Nästa visar oss vår bildinformation som innehåller Filsystem typ, Montera enheten, och den md5 värdet på vår bildfil. Klicka på Lägg till för att placera bildfilen i bevislåset och klicka OK. En skärm som denna visas:
Här får vi framgångsrikt bilden och går vidare till vår Analysera del för att analysera och hämta värdefull information i betydelsen digital kriminalteknik. Innan vi går vidare till "analysera" -delen kan vi kontrollera bildinformationen genom att klicka på detaljalternativet.
Detta ger oss information om bildfilen som det använda filsystemet (NTFS i det här fallet), monteringspartitionen, bildens namn och gör det möjligt att göra nyckelordssökning och dataåterställning snabbare genom att extrahera strängar av hela volymer och även odelade utrymmen. När du har gått igenom alla alternativ klickar du på tillbaka-knappen. Nu innan vi analyserar vår bildfil måste vi kontrollera bildens integritet genom att klicka på knappen Bildintegritet och generera en md5-hash av vår bild.
Det viktiga att notera är att denna hash kommer att matcha den vi genererade genom md5-summan i början av proceduren. När det är klart, klicka på Stänga.
Analys:
Nu när vi har skapat vårt ärende, gett det ett värdnamn, lagt till en beskrivning, kontrollerat integriteten kan vi bearbeta analysalternativet genom att klicka på Analysera knapp.
Vi kan se olika analyslägen, dvs.e., Filanalys, nyckelordssökning, filtyp, bildinformation, dataenhet. Först och främst klickar vi på Bildinformation för att få filinformationen.
Vi kan se viktig information om våra bilder som filsystemstyp, operativsystemets namn och det viktigaste, serienumret. Volymens serienummer är viktigt i domstolen eftersom det visar att bilden du analyserade är densamma eller en kopia.
Låt oss ta en titt på Filanalys alternativ.
Vi kan hitta en massa kataloger och filer som finns i bilden. De listas i standardordning och vi kan navigera i ett filsökningsläge. På vänster sida kan vi se den aktuella katalogen som anges och längst ner på den kan vi se ett område där specifika nyckelord kan sökas.
Framför filnamnet finns det fyra fält med namnet skrivet, öppnat, ändrat, skapat. Skriven betyder datum och tid som filen senast skrevs till, Åtkomst betyder att filen senast öppnades (i det här fallet är det enda datumet tillförlitligt), Ändrats betyder senaste gången filens beskrivande data ändrades, Skapad betyder datum och tid då filen skapades, och Metadata visar information om filen förutom allmän information.
På toppen ser vi ett alternativ av Genererar md5-hash av filerna. Och igen kommer detta att säkerställa integriteten hos alla filer genom att generera md5-hash för alla filer i den aktuella katalogen.
Vänster sida av Filanalys fliken innehåller fyra huvudalternativ, i.e., Katalogsökning, sökning på filnamn, alla raderade filer, expandera kataloger. Katalogsökning tillåter användare att söka i de kataloger man vill ha. Sök efter filnamn gör det möjligt att söka efter specifika filer i den angivna katalogen,
Alla raderade filer innehålla de raderade filerna från en bild med samma format, dvs.e., skrivna, åtkomliga, skapade, metadata och ändrade alternativ och visas i rött enligt nedan:
Vi kan se att den första filen är en jpeg filen, men den andra filen har en förlängning av "Hmm". Låt oss titta på filens metadata genom att klicka på metadata längst till höger.
Vi har funnit att metadata innehåller en JFIF post, vilket betyder JPEG-filutbytesformat, så vi förstår att det bara är en bildfil med tillägget "hmm”. Expandera kataloger expanderar alla kataloger och gör det möjligt för ett större område att arbeta med kataloger och filer inom de angivna katalogerna.
Sortera filerna:
Det är inte möjligt att analysera metadata för alla filer, så vi måste sortera dem och analysera dem genom att sortera befintliga, raderade och odelade filer med hjälp av Filtyp flik.''
Att sortera filkategorierna så att vi enkelt kan inspektera de med samma kategori. Filtyp har möjlighet att sortera samma typ av filer i en kategori, dvs.e., Arkiv, ljud, video, bilder, metadata, exec-filer, textfiler, dokument, komprimerade filer, etc.
En viktig sak med att visa sorterade filer är att obduktion inte tillåter visning av filer här; istället måste vi bläddra till platsen där dessa lagras och se dem där. Om du vill veta var de lagras klickar du på Visa sorterade filer till vänster på skärmen. Platsen den kommer att ge oss kommer att vara densamma som den vi angav när vi skapade ärendet i första steget i.e./ var / lib / obduktion /
För att återuppta ärendet, öppna bara obduktion och klicka på ett av alternativen "Öppet fall.”
Fall: 2
Låt oss ta en titt på att analysera en annan bild med autopsi i ett Windows-operativsystem och ta reda på vilken typ av viktig information vi kan få från en lagringsenhet. Det första vi behöver göra är att skapa ett nytt ärende. Vi kan göra det genom att klicka på ett av tre alternativ (Öppna ärende, Nytt ärende, nyligen öppet ärende) på Obduktionens hemsida. Efter att ha klickat på den ser vi en skärm så här:
Ange ärendets namn och sökvägen till vilken filerna ska lagras och ange sedan informationen som nämnts, i.e., ärendets namn, granskarens namn och beskrivning av ärendet för att organisera vår information och våra bevis som används för denna utredning. I de flesta fall är det mer än en granskare som gör utredningen.
Ge nu den bild du vill undersöka. E01(Expertvittnesformat), AFF(avancerat kriminaltekniskt format), råformat (DD) och minnesmedicinska bilder är kompatibla. Vi har sparat en bild av vårt system. Denna bild kommer att användas i denna undersökning. Vi bör ge hela vägen till bildplatsen.
Den kommer att be om att välja olika alternativ som tidslinjeanalys, filtrering av hashes, Carving Data, Exif-data, förvärv av webbartefakter, nyckelordssökning, e-post-parser, inbäddad filutvinning, kontroll av senaste aktivitet, etc. Klicka på markera allt för bästa upplevelse och klicka på nästa knapp.
När du är klar klickar du på Slutför och väntar på att processen ska slutföras.
Analys:
Det finns två typer av analyser, Död analys, och Live-analys:
En död undersökning händer när ett engagerat utredningsramverk används för att titta på informationen från ett spekulerat ramverk. Vid den tidpunkt då detta händer, Sleuth kit obduktion kan springa i ett område där risken för skada utrotas. Autopsy och The Sleuth Kit erbjuder hjälp för rå-, Expert Witness- och AFF-format.
En liveundersökning händer när antagningsramen bryts ner medan den körs. I detta fall, Sleuth kit obduktion kan köras i vilket område som helst (allt annat än ett begränsat utrymme). Detta används ofta under händelsereaktion medan avsnittet bekräftas.
Nu innan vi analyserar vår bildfil, måste vi kontrollera bildens integritet genom att klicka på knappen Bildintegritet och skapa en md5-hash av vår bild. Det viktiga att notera är att denna hash kommer att matcha den vi hade för bilden i början av proceduren. Bildhash är viktigt eftersom det berättar om den givna bilden har manipulerats eller inte.
Under tiden, Obduktion har avslutat sitt förfarande och vi har all information vi behöver.
- Först och främst kommer vi att börja med grundläggande information som operativsystemet som används, den senaste gången användaren loggade in och den sista personen som kom åt datorn under ett missöde. För detta kommer vi att gå till Resultat> Extraherat innehåll> Operativsysteminformation på fönstrets vänstra sida.
För att se det totala antalet konton och alla tillhörande konton går vi till Resultat> Extraherat innehåll> Operativsystemets användarkonton. Vi ser en skärm så här:
Informationen som den senaste personen som använde systemet, och framför användarnamnet finns det några fält som heter nås, ändras, skapas. Åtkomst betyder senaste gången kontot öppnades (i det här fallet är det enda datumet tillförlitligt) och cslog betyder datum och tid då kontot skapades. Vi kan se att den sista användaren som fick åtkomst till systemet fick namnet herr. Ondska.
Låt oss gå till Program filer mappen på C enhet på vänster sida av skärmen för att upptäcka datorns fysiska adress och internetadress.
Vi kan se IP (Internetprotokoll) adress och MAC adress till det angivna datorsystemet.
Låt oss gå till Resultat> Extraherat innehåll> Installerade program, vi kan se här är följande programvara som används för att utföra skadliga uppgifter relaterade till attacken.
- Cain & abel: Ett kraftfullt paket sniffande verktyg och lösenordssprickningsverktyg som används för paket sniffing.
- Anonymizer: Ett verktyg som används för att dölja spår och aktiviteter som den skadliga användaren utför.
- Ethereal: Ett verktyg som används för att övervaka nätverkstrafik och fånga paket i ett nätverk.
- Söt FTP: En FTP-programvara.
- NetStumbler: Ett verktyg som används för att upptäcka en trådlös åtkomstpunkt
- WinPcap: Ett känt verktyg som används för länklager nätverksåtkomst i Windows-operativsystem. Det ger låg nivå åtkomst till nätverket.
I / Windows / system32 plats kan vi hitta e-postadresserna som användaren använde. Vi kan se MSN e-post, Hotmail, Outlook-e-postadresser. Vi kan också se SMTP e-postadress här.
Låt oss gå till en plats där Obduktion lagrar möjliga skadliga filer från systemet. Navigera till Resultat> Intressanta objekt, och vi kan se en zip-bomb närvarande namngiven unix_hack.tgz.
När vi navigerade till /Återvinnare plats hittade vi 4 raderade körbara filer med namnet DC1.exe, DC2.exe, DC3.exe och DC4.exe.
- Ethereal, en känd sniffa verktyg som kan användas för att övervaka och fånga upp alla typer av trådbunden och trådlös nätverkstrafik upptäcks också. Vi återmonterade de fångade paketen och katalogen där den sparas finns /Dokument, filnamnet i den här mappen är Uppsnappande.
Vi kan se i den här filen informationen som webbläsaroffret använde och vilken typ av trådlös dator som vi fick reda på. Det var Internet Explorer i Windows CE. Webbplatserna som offret besökte var YAHOO och MSN .com, och detta hittades också i avlyssningsfilen.
Om att upptäcka innehållet i Resultat> Extraherat innehåll> Webbhistorik,
Vi kan se genom att utforska metadata för givna filer, användarens historia, de webbplatser han besöker och e-postadresserna som han angav för inloggning.
Återställa borttagna filer:
I den tidigare delen av artikeln har vi upptäckt hur man extraherar viktiga bitar av information från en bild på vilken enhet som helst som kan lagra data som mobiltelefoner, hårddiskar, datorsystem osv. Bland de mest grundläggande nödvändiga talangerna för ett kriminaltekniskt medel är det förmodligen det viktigaste att återställa raderade poster. Som du förmodligen känner till finns dokument som "raderas" kvar på lagringsenheten såvida det inte skrivs över. Radering av dessa poster gör i princip enheten tillgänglig att skrivas över. Detta innebär att om den misstänkta raderade bevisposter tills de skrivs över av dokumentramen förblir de tillgängliga för oss för att få tillbaka.
Nu ska vi titta på hur du kan återställa de raderade filerna eller posterna med Sleuth kit obduktion. Följ alla stegen ovan, och när bilden importeras ser vi en skärm som denna:
På vänster sida av fönstret, om vi ytterligare expanderar Filtyper alternativ kommer vi att se en massa kategorier som heter Arkiv, ljud, video, bilder, metadata, exec-filer, textfiler, dokument (html, pdf, word, .ppx, etc.), komprimerade filer. Om vi klickar på bilder, det visar alla återställda bilder.
Lite längre nedan, i underkategorin av Filtyper, vi kommer att se ett alternativnamn Borttagna filer. När du klickar på detta ser vi några andra alternativ i form av märkta flikar för analys i det nedre högra fönstret. Flikarna heter Hex, resultat, indexerad text, strängar, och Metadata. På fliken Metadata ser vi fyra namn skrivet, öppnat, ändrat, skapat. Skriven betyder datum och tid som filen senast skrevs till, Åtkomst betyder att filen senast öppnades (i det här fallet är det enda datumet tillförlitligt), Ändrats betyder senaste gången filens beskrivande data ändrades, Skapad betyder datum och tid när filen skapades. För att återställa den raderade filen vi vill ha, klicka på den raderade filen och välj Exportera. Den kommer att be om en plats där filen kommer att lagras, välja en plats och klicka OK. Misstänkta kommer ofta att försöka täcka sina spår genom att radera olika viktiga filer. Vi vet som en rättsmedicinsk person att tills dessa dokument skrivs över av filsystemet kan de återvinnas.
Slutsats:
Vi har tittat på proceduren för att extrahera användbar information från vår målbild med Sleuth kit obduktion istället för enskilda verktyg. En obduktion är ett alternativ för alla rättsmedicinska utredare och på grund av dess hastighet och tillförlitlighet. Obduktion använder flera kärnprocessorer som kör bakgrundsprocesserna parallellt, vilket ökar hastigheten och ger oss resultat på mindre tid och visar de sökte nyckelorden så snart de finns på skärmen. I en tid där kriminaltekniska verktyg är en nödvändighet, erbjuder obduktion samma kärnfunktioner utan kostnad som andra betalda kriminaltekniska verktyg.
Obduktion föregår vissa betalda verktygs rykte samt ger några extra funktioner som registeranalys och webbartefaktanalys, som de andra verktygen inte gör. En obduktion är känd för sin intuitiva användning av naturen. Ett snabbt högerklick öppnar det betydande dokumentet. Det innebär att nästan uthärda tid att upptäcka om det finns uttryckliga villkor för vår bild, telefon eller dator som vi tittar på. Användare kan också backtracka när djupa uppdrag förvandlas till återvändsgränd, med hjälp av bakåt- och framåthistoriska fångster för att följa deras sätt. Video kan också ses utan yttre applikationer, vilket påskyndar användningen.
Miniatyrperspektiv, inspelning och dokumenttyp som ordnar filtrering av de bra filerna och flaggning för hemskt, med hjälp av anpassad hashuppsättning är bara en del av olika höjdpunkter som finns på Sleuth kit obduktion version 3 som erbjuder betydande förbättringar från version 2.Basis Technology subventionerade i allmänhet arbetet på version 3, där Brian Carrier, som levererade en stor del av arbetet på tidigare återgivningar av Obduktion, är CTO och chef för avancerad kriminologi. Han ses också som en Linux-mästare och har komponerat böcker om ämnet mätbar informationsutvinning, och Basis Technology skapar Sleuth Kit. Därför kan klienter sannolikt känna sig riktigt säkra på att de får en anständig artikel, en artikel som inte kommer att försvinna någon gång inom en snar framtid, och en som förmodligen kommer att upprätthållas i det som kommer.
