Phenquestions
Skapa kopieringsbild av USB-enhet
Det första vi ska göra är att göra en kopia av USB-enheten. I det här fallet fungerar vanliga säkerhetskopior inte. Detta är ett mycket viktigt steg, och om det görs fel kommer allt arbete att gå till spillo. Använd följande kommando för att lista alla enheter som är anslutna till systemet:
[e-postskyddad]: ~ $ sudo fdisk -lI Linux skiljer sig enhetsnamnen från Windows. I ett Linux-system, hda och hdb används (sda, sdb, sdc, etc.) för SCSI, till skillnad från i Windows OS.
Nu när vi har enhetsnamnet kan vi skapa dess .dd bild bit för bit med dd genom att ange följande kommando:
[e-postskyddad]: ~ $ sudo dd if = / dev / sdc1 of = usb.dd bs = 512 antal = 1om= USB-enhetens plats
av= destinationen där den kopierade bilden kommer att lagras (kan vara en lokal sökväg i ditt system, t.ex.g. / hem / användare / usb.dd)
bs= antalet byte som kommer att kopieras åt gången
För att säkerställa bevis på att vi har den ursprungliga bildkopian av enheten använder vi den hashing för att bibehålla bildens integritet. Hashing ger en hash för USB-enheten. Om en enda bit data ändras kommer hashen att ändras helt och man vet om kopian är falsk eller original. Vi kommer att generera en md5-hash av enheten så att, jämfört med enhetens ursprungliga hash, kan ingen ifrågasätta kopiens integritet.
[e-postskyddad]: ~ $ md5sum usb.ddDetta ger en md5-hash av bilden. Nu kan vi starta vår rättsmedicinska analys på denna nyskapade bild av USB-enheten, tillsammans med hash.
Boot Sector Layout
Att köra filkommandot ger tillbaka filsystemet och enhetens geometri:
[e-postskyddad]: ~ $ fil-usb.ddok.dd: DOS / MBR-startsektor, kodoffset 0x58 + 2, OEM-ID "MSDOS5.0 ",
sektorer / kluster 8, reserverade sektorer 4392, Media descriptor 0xf8,
sektorer / spår 63, huvuden 255, dolda sektorer 32, sektorer 1953760 (volymer> 32 MB),
FAT (32 bitar), sektorer / FAT 1900, reserverad 0x1, serienummer 0x6efa4158, omärkt
Nu kan vi använda minfo verktyg för att få NTFS-startsektorslayout och boot-sektorinformation via följande kommando:
[e-postskyddad]: ~ $ minfo -i usb.ddenhetsinformation:
====================
filnamn = "ok.dd "
sektorer per spår: 63
huvuden: 255
cylindrar: 122
mformat kommandorad: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
boot sektorinformation
========================
banner: "MSDOS5.0 "
sektorstorlek: 512 byte
klusterstorlek: 8 sektorer
reserverade (start) sektorer: 4392
fetter: 2
max tillgängliga rotkatalogplatser: 0
liten storlek: 0 sektorer
mediedeskriptorbyte: 0xf8
sektorer per fett: 0
sektorer per spår: 63
huvuden: 255
dolda sektorer: 32
stor storlek: 1953760 sektorer
fysisk enhets-id: 0x80
reserverad = 0x1
dos4 = 0x29
serienummer: 6EFA4158
disk label = "NO NAME"
disk typ = "FAT32"
Stor fatlen = 1900
Utökade flaggor = 0x0000
FS-version = 0x0000
rootCluster = 2
infoSektor plats = 1
backup boot sektor = 6
Infosektor:
signatur = 0x41615252
fria kluster = 243159
senast tilldelade klustret = 15
Ett annat kommando, fstat kommando, kan användas för att erhålla allmän känd info, såsom tilldelningsstrukturer, layout och startblock, om enhetsbilden. Vi använder följande kommando för att göra det:
[e-postskyddad]: ~ $ fstat usb.dd--------------------------------------------
Filsystemstyp: FAT32
OEM-namn: MSDOS5.0
Volym-ID: 0x6efa4158
Volymetikett (startsektor): INGET NAMN
Volymetikett (rotkatalog): KINGSTON
Etikett för filsystemstyp: FAT32
Nästa fria sektor (FS-information): 8296
Fri sektorantal (FS Info): 1945272
Sektorer före filsystem: 32
File System Layout (i sektorer)
Totalt intervall: 0 - 1953759
* Reserverad: 0 - 4391
** Boot Sector: 0
** FS-informationssektor: 1
** Säkerhetskopieringsstart: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Dataområde: 8192 - 1953759
** Cluster Area: 8192 - 1953759
*** Root Directory: 8192 - 8199
METADATA INFORMATION
--------------------------------------------
Område: 2 - 31129094
Rotkatalog: 2
INNEHÅLLSINFORMATION
--------------------------------------------
Sektorstorlek: 512
Klusterstorlek: 4096
Totalt klusterområde: 2 - 243197
FETTINNEHÅLL (inom sektorer)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Borttagna filer
De Sleuth Kit tillhandahåller fls verktyg, som tillhandahåller alla filer (särskilt nyligen raderade filer) i varje sökväg, eller i den angivna bildfilen. All information om raderade filer kan hittas med hjälp av fls verktyg. Ange följande kommando för att använda fls-verktyget:
[e-postskyddad]: ~ $ fls -rp -f fat32 usb.ddr / r 3: KINGSTON (volymetikettpost)
d / d 6: Systemvolyminformation
r / r 135: Systemvolyminformation / WPS-inställningar.dat
r / r 138: Systemvolyminformation / IndexerVolumeGuid
r / r * 14: Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Oceans Twelve (2004)
r / r 45: MINUTER AV PC-I HÅLLDES 23.01.2020.docx
r / r * 49: MINUTER AV LEC HÅLLT 10.02.2020.docx
r / r * 50: vindpump.exe
r / r * 51: _WRL0024.tmp
r / r 55: MINUTER AV LEC HÅLLT 10.02.2020.docx
d / d * 57: Ny mapp
d / d * 63: anbudsinfordran för utrustning för nätinfrastruktur
r / r * 67: ANMÄRKNING (Mega PC-I) fas II.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: ANMÄRKNING (Mega PC-I) fas II.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Här har vi fått alla relevanta filer. Följande operatörer användes med fls-kommandot:
-sid = används för att visa hela sökvägen för varje återställd fil
-r = används för att visa banor och mappar rekursivt
-f = vilken typ av filsystem som används (FAT16, FAT32, etc.)
Ovanstående utdata visar att USB-enheten innehåller många filer. De raderade filer som återställs är noterade med ett “*" tecken. Du kan se att något inte är normalt med de filer som heter $dåligt_innehåll1, $dåligt_innehåll2, $dålig_innehåll3, och vindpump.exe. Windump är ett verktyg för att fånga nätverkstrafik. Med hjälp av windump-verktyget kan man fånga data som inte är avsedda för samma dator. Avsikten visas i det faktum att programvaran windump har det specifika syftet att fånga nätverkstrafik och avsiktligt användes för att få tillgång till en legitim användares personliga kommunikation.
Tidslinjeanalys
Nu när vi har en bild av filsystemet kan vi utföra MAC-tidslinjeanalys av bilden för att generera en tidslinje och för att placera innehållet med datum och tid i ett systematiskt, läsbart format. Både fls och ils kommandon kan användas för att bygga en tidslinjeanalys av filsystemet. För kommandot fls måste vi ange att utdata kommer att vara i MAC-tidslinjeutdataformat. För att göra det kommer vi att köra fls kommando med -m flagga och omdirigera utdata till en fil. Vi kommer också att använda -m flagga med ils kommando.
[e-postskyddad]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls[e-postskyddad]: ~ $ cat usb.fls
0 | / KINGSTON (inmatning av volymetikett) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Systemvolyminformation | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Systemvolyminformation / WPS-inställningar.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Systemvolyminformation / IndexerVolumeGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv (borttagen) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv (borttagen) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv (borttagen) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv (borttagen) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (borttagen) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / MINUTER AV PC-I HÅLLDES 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / MINUTER AV LEC HÅLLT DEN 10.02.2020.docx (borttagen) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (borttagen) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (borttagen) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / MINUTER AV LEC HÅLLT DEN 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(borttagen) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (borttagen) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (borttagen) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / ANMÄRKNING (Mega PC-I) fas II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Ny mapp (borttagen) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (borttagen) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / ANMÄRKNING (Mega PC-I) fas II.docx (borttagen) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (borttagen) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (borttagen) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / ANMÄRKNING (Mega PC-I) fas II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ dålig_innehåll 1 (borttagen) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (borttagen) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ dålig_innehåll 3 (borttagen) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Springa det mactime verktyg för att få tidslinjeanalys med följande kommando:
[e-postskyddad]: ~ $ cat usb.fls> usb.macFör att konvertera denna mactime-utdata till läsbar form, ange följande kommando:
[e-postskyddad]: ~ $ mactime -b usb.mac> usb.mactime[e-postskyddad]: ~ $ cat usb.mactime tor 26 jul 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (borttagen)
Tor 26 jul 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (borttagen)
47 m… - / rrwxrwxrwx 0 0 22930444 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (borttagen)
353 m… - / rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESub - (borttagen)
Fre 27 jul 2018 00:00:00 12 .a ... r / rrwxrwxrwx 0 0 135 / System Volume Information / WPSettings.dat
76 .a… r / rrwxrwxrwx 0 0 138 / Systemvolyminformation / IndexerVolumeGuid
59 .a ... - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (borttagen)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (borttagen)
353 .a ... - / rrwxrwxrwx 0 0 22930449 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (borttagen)
Fre 31 jan 2020 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / MINUTER AV PC-I HÅLLT 23.01.2020.docx
Fre 31 jan 2020 12:20:38 33180 m ... r / rrwxrwxrwx 0 0 45 / MINUTER AV PC-I HÅLLT 23.01.2020.docx
Fre 31 jan 2020 12:21:03 33180 ... b r / rrwxrwxrwx 0 0 45 / MINUTER AV PC-I HÅLLT 23.01.2020.docx
Mån 17 feb 2020 14:36:44 46659 m ... r / rrwxrwxrwx 0 0 49 / MINUTER AV LEC HÅLLT PÅ 10.02.2020.docx (borttagen)
46659 m ... r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (borttagen)
Tis 18 feb 2020 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Game of Thrones 2 720p x264 DDP 5.1 ESub - (borttagen)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (borttagen)
Tis 18 feb 2020 10:43:52 46659 ... b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208 ... b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (borttagen)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (borttagen)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTER AV LEC HÅLLT PÅ 10.02.2020.docx
Tis 18 feb 2020 11:13:16 38208 m ... r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (borttagen)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (borttagen)
38208 .a… r / rrwxrwxrwx 0 0 55 / MINUTER AV LEC HÅLLT PÅ 10.02.2020.docx
Tis 18 feb 2020 10:43:52 46659 ... b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (borttagen)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (borttagen)
38208… b r / rrwxrwxrwx 0 0 55 / MINUTER AV LEC HÅLLT PÅ 10.02.2020.docx
Tis 18 feb 2020 11:13:16 38208 m ... r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (borttagen)
38208 m… r / rrwxrwxrwx 0 0 55 / Game of Thrones 3 720p x264 DDP 5.1 ESub -
Fre 15 maj 2020 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Ny mapp (borttagen)
4096 .a… d / drwxrwxrwx 0 0 63 / anbudsinfordran för nätverksinfrastrukturutrustning för IIUI (utgår)
56775 .a… r / rrwxrwxrwx 0 0 67 / TENDER ANMÄRKNING (Mega PC-I) fas-II.docx (borttagen)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (borttagen)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (borttagen)
56783 .a… r / rrwxrwxrwx 0 0 73 / TENDER ANMÄRKNING (Mega PC-I) fas-II.docx
Fre 15 maj 2020 12:39:42 4096 ... b d / drwxrwxrwx 0 0 57 / Ny mapp (borttagen)
4096… b d / drwxrwxrwx 0 0 63 / anbudsinfordran för nätverksinfrastrukturutrustning för IIUI (utgår)
Fre 15 maj 2020 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (borttagen)
4096 m ... d / drwxrwxrwx 0 0 63 / anbudsinfordran för nätverksinfrastrukturutrustning för IIUI (utgår)
Fre 15 maj 2020 12:43:18 56775 m ... r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (borttagen)
56775 m ... r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (borttagen)
Fre 15 maj 2020 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (borttagen)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (borttagen)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (borttagen)
56783… b r / rrwxrwxrwx 0 0 73 / TENDER ANMÄRKNING (Mega PC-I) Fas-II.docx
Fre 15 maj 2020 12:45:36 56783 m ... r / rrwxrwxrwx 0 0 68 windump.exe (borttagen)
56783 m… r / rrwxrwxrwx 0 0 73 / TENDER ANMÄRKNING (Mega PC-I) Fas-II.docx
Alla filer ska återställas med en tidsstämpel på den i ett läsbart format i filen “usb.mactime.”
Verktyg för USB-kriminalteknisk analys
Det finns olika verktyg som kan användas för att utföra kriminalteknisk analys på en USB-enhet, till exempel Sleuth Kit Obduktion, FTK Imager, Främst, etc. Först kommer vi att ta en titt på obduktionsverktyget.
Obduktion
Obduktion används för att extrahera och analysera data från olika typer av bilder, till exempel AFF-bilder (Advance Forensic Format), .dd-bilder, råa bilder osv. Detta program är ett kraftfullt verktyg som används av kriminaltekniska utredare och olika brottsbekämpande organ. Obduktion består av många verktyg som kan hjälpa utredare att få jobbet gjort effektivt och smidigt. Autopsy-verktyget är tillgängligt för både Windows- och UNIX-plattformar utan kostnad.
För att analysera en USB-bild med autopsi måste du först skapa ett ärende, inklusive att skriva utredarnas namn, spela in fallets namn och andra informationsuppgifter. Nästa steg är att importera källbilden till USB-enheten som erhölls i början av processen med hjälp av dd verktyg. Sedan kommer vi att låta autopsiverktyget göra vad det gör bäst.
Mängden information som tillhandahålls av Obduktion är enorm. Autopsy tillhandahåller de ursprungliga filnamnen och låter dig också granska kataloger och sökvägar med all information om relevanta filer, t.ex nås, ändrad, ändrats, datum, och tid. Metadatainformationen hämtas också och all information sorteras på ett professionellt sätt. För att göra filsökningen enklare tillhandahåller Autopsy en Nyckelordssökning alternativ, vilket gör att användaren snabbt och effektivt kan söka i en sträng eller ett nummer bland det hämtade innehållet.
I den vänstra panelen i underkategorin av Filtyper, du ser en kategori med namnet “Borttagna filer”Som innehåller de raderade filerna från önskad enhetsbild med all information om metadata och tidslinjeanalys.
Obduktion är grafiskt användargränssnitt (GUI) för kommandoradsverktyget Sleuth Kit och ligger på toppnivå i kriminalteknikvärlden på grund av dess integritet, mångsidighet, lättanvända natur och förmågan att producera snabba resultat. Rättsmedicinska USB-enheter kan utföras lika enkelt på Obduktion som på alla andra betalda verktyg.
FTK Imager
FTK Imager är ett annat fantastiskt verktyg som används för att hämta och samla in data från olika typer av bilder. FTK Imager har också förmågan att göra en bit-för-bit-bildkopia, så att inget annat verktyg gillar dd eller dcfldd behövs för detta ändamål. Denna kopia av enheten inkluderar alla filer och mappar, det odelade och lediga utrymmet och de raderade filerna som finns kvar i slack utrymme eller odelat utrymme. Det grundläggande målet här vid rättsmedicinsk analys på USB-enheter är att rekonstruera eller återskapa attackscenariot.
Vi tittar nu på att utföra USB-kriminalteknisk analys på en USB-bild med hjälp av FTK Imager-verktyget.
Lägg först till bildfilen i FTK Imager genom att klicka Arkiv >> Lägg till bevis.
Välj nu vilken typ av fil du vill importera. I det här fallet är det en bildfil på en USB-enhet.
Ange nu hela filens plats. Kom ihåg att du måste ange en fullständig väg för detta steg. Klick Avsluta att börja datainsamling och låta FTK Imager gör jobbet. Efter en tid ger verktyget önskat resultat.
Här är det första du ska göra att verifiera Bildintegritet genom att högerklicka på bildnamnet och välja Verifiera bild. Verktyget kommer att söka efter matchande md5- eller SHA1-haschar som tillhandahålls med bildinformationen och kommer också att berätta om bilden har manipulerats innan den importerades till FTK Imager verktyg.
Nu, Exportera de givna resultaten till den sökväg du väljer genom att högerklicka på bildnamnet och välja Exportera möjlighet att analysera det. De FTK Imager kommer att skapa en fullständig datalogg över kriminalteknikprocessen och placera dessa loggar i samma mapp som bildfilen.
Analys
De återställda data kan vara i vilket format som helst, såsom tjära, zip (för komprimerade filer), png, jpeg, jpg (för bildfiler), mp4, avi-format (för videofiler), streckkoder, pdfs och andra filformat. Du bör analysera metadata för de angivna filerna och söka efter streckkoder i form av a QR-kod. Detta kan finnas i en png-fil och kan hämtas med ZBAR verktyg. I de flesta fall används docx- och pdf-filer för att dölja statistiska data, så de måste vara okomprimerade. Kdbx filer kan öppnas genom Keepass; lösenordet kan ha lagrats i andra återställda filer, eller så kan vi utföra bruteforce när som helst.
Främst
Framför allt är ett verktyg som används för att återställa raderade filer och mappar från en enhetsbild med hjälp av sidhuvud och sidfot. Vi tar en titt på Forests man-sida för att utforska några kraftfulla kommandon som finns i detta verktyg:
[e-postskyddad]: ~ $ man främst-a Aktiverar att skriva alla rubriker, utföra ingen felavkänning i termer
av skadade filer.
-b-nummer
Låter dig ange den blockstorlek som används främst. Detta är
relevant för filnamn och snabba sökningar. Standard är
512. dvs. främst -b 1024 bild.dd
-q (snabbläge):
Aktiverar snabbläge. I snabbläge, bara början för varje sektor
söks efter matchande rubriker. Det vill säga rubriken är
sökte bara upp till längden på den längsta rubriken. Resten
i sektorn ignoreras vanligtvis cirka 500 byte. Detta läge
gör främst springa betydligt snabbare, men det kan få dig att göra det
missa filer som är inbäddade i andra filer. Till exempel med
snabbt läge kommer du inte att kunna hitta JPEG-bilder inbäddade i
Microsoft Word-dokument.
Snabbläge ska inte användas när man granskar NTFS-filsystem.
Eftersom NTFS kommer att lagra små filer i Master File Ta‐
dessa filer kommer att saknas i snabbläget.
-a Aktiverar att skriva alla rubriker, utföra ingen felavkänning i termer
av skadade filer.
-i (input) -fil:
Filen som används med alternativet i används som inmatningsfil.
Om ingen inmatningsfil specificeras används stdin för att c.
Filen som används med i-alternativet används som inmatningsfil.
Om ingen inmatningsfil specificeras används stdin för att c.
För att få jobbet gjort kommer vi att använda följande kommando:
[e-postskyddad]: ~ $ främsta usb.ddNär processen är klar kommer det att finnas en fil i /produktion mapp text som innehåller resultaten.
Slutsats
USB-kriminalteknik är en bra färdighet att behöva hämta bevis och återställa raderade filer från en USB-enhet, samt att identifiera och undersöka vilka datorprogram som kan ha använts i attacken. Sedan kan du sätta ihop de steg som angriparen kan ha vidtagit för att bevisa eller motbevisa påståenden från den legitima användaren eller offret. För att säkerställa att ingen kommer undan med ett cyberbrott med USB-data är USB-kriminalteknik ett viktigt verktyg. USB-enheter innehåller viktiga bevis i de flesta kriminaltekniska fall och ibland kan kriminaltekniska data som erhållits från en USB-enhet hjälpa till att återställa viktiga och värdefulla personuppgifter.
