Otopsi ile sabit disklerin ve bölümlerin adli analizi

İçindekiler

Otopsi, sabit disk görüntüsünün adli analizi için kullanılan bir yazılımdır. Bölümleri veya disk görüntülerini aramanıza ve analiz etmenize olanak tanıyan ücretsiz ve açık kaynaklı bir arayüzdür.

Otopsi aracı, aşağıdakiler gibi farklı işletim sistemlerinde çalışabilir:

  • Linux
  • pencereler
  • Mac OS X
  • Ücretsiz BSD
Orijinal olarak Perl dilinde yazılmıştır ve kodu artık grafik arayüzlü Java olarak değiştirilmiştir, ancak bu sürüm sadece Windows'ta çalışsa da, diğer platformlarda bir web arayüzüne sahiptir.

Otopsi, dijital bir adli analiz platformudur ve Sleuthkit grafik arayüzü ve diğer dijital adli araçlar. Bir bilgisayarda ne olduğunu araştırmak için hükümetler ve kamu ve özel kuruluşlar, polis ve ordu gibi güvenlik güçleri, profesyoneller ve bilgisayar uzmanları tarafından kullanılır. Saldırı veya arıza gibi bir olaydan sonra, dosyaları kurtarmak, sistem manipülasyonlarını aramak, fotoğrafları, görüntüleri veya videoları kurtarmak için depolama cihazlarına göz atabilirsiniz.

Öncelikle Autopsy'yi Linux'ta kurmalıyız, depolarda gelir, Windows'ta buradan indirebilirsiniz:

OTOPSİ İNDİR

Bu eğitimde göreceğiz Linux'ta otopsi kurulumu. Bir terminal penceresi açıyoruz ve aşağıdaki komutları yazıyoruz:

1. TSK çerçevesini kuruyoruz

 sudo apt-get install sleuthkit
2. Sonra Otopsiyi kuruyoruz
 apt-get otopsi
TSK çerçevesi, adli bilişim becerileri için eklentiler ve komutlar geliştirmek için kullanılabilecek kitaplıklar ve modüller kümesini içerir. TSK çerçevesi, disk görüntülerini analiz etmek için farklı modüller kullanan bir komut satırı arabirimidir.

Ardından, şu komutu kullanarak uygulamayı bir terminal penceresinden başlatabiliriz:

 sudo otopsi

Sonra herhangi bir tarayıcıya gidip URL'yi yazıyoruz http://localhost: 9999 / otopsi Otopsi, çalıştığı sürece bir sunucu olarak çalışacağını söylüyor.

Devam etmeden önce bazı cihazların görüntüsüne ihtiyacımız var, ya diskimizin bir görüntüsünü yapabiliriz ya da İnternette örnek görüntüler elde edebiliriz, örneğin http://dftt.sourceforge.net/ web sitesinde birkaç tane indirebiliriz. analiz etmek için farklı sorunlar sunan görüntüler.

Örneğin aşağıdaki resimlerden bazılarını indirebiliriz.

JPEG.webp Arama: Bu test görüntüsü, farklı dizinlerde 10 jpg.webp görüntüsü içeren bir Windwos XP NTFS dosya sistemidir. Görüntüler, yanlış uzantılara sahip dosyaları, zip içine gömülü görüntüleri ve Word dosyalarını içerir. Burada görüntü kurtarma üzerinde çalışabiliriz. JPEG.webp Search'ü buradan indirebiliriz.

NTFS Silmeyi Geri Al: Bu test görüntüsü, sekiz silinmiş dosya, iki silinmiş dizin ve bir alternatif veri akışı silinmiş olan bir 6MB NTFS dosya sistemidir. Dosyalar, yerleşik dosyalardan, bireysel küme dosyalarından ve birden çok parçadan oluşur. Kurtarma işlemini engellemek için bu süreçte hiçbir veri yapısı değiştirilmedi. Windows XP'de oluşturuldular, XP'de kaldırıldılar ve Linux'ta görüntülendiler. NTFS Undelete'i buradan indirebiliriz.

Ayrıca aşağıdaki komutlarla bölümlerin hangileri olduğunu öğrendiğimiz Linux'tan bir disk görüntüsü oluşturabiliriz:

 sudo fdisk -l

Örneğin, yedekleme dosyası olarak kullanabileceğimiz önyükleme bölümünün tam bir kopyasını oluşturmak için aşağıdaki komutları kullanırız:

 dd if = / dev / partition-to-kaydetmek = /home/directory/copy-partition.img
Bu durumda ana bölüm olacaktır:
 dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.img
Ayrıca bölümler ve disk görüntüleri, yedek kopyalar ve bir yedekten sistem kurtarma oluşturmak için bir program olan Clonezilla gibi yazılımları da kullanabiliriz.

Adli soruşturmamızı yürütecek görüntüye sahip olduğumuzda Otopsi'ye gidiyoruz, bu eğitim için kullanacağız NTSF Silmeyi Geri Al.

Otopsi arayüzü, farklı görüntüler ve hatta birkaç araştırmacı ile birkaç vakayı analiz etmemize izin veriyor, ardından butona tıklıyoruz. Yeni dava veya Yeni dava.

Bu ad, soruşturmada toplanan bilgilerin saklanacağı bir klasör haline geleceğinden, davanın adını boşluk bırakmadan atayacağımız bir dava oluşturmak için ekran açılacaktır. Bu durumda isim EmpresaSA olacak, daha sonra vakanın açıklamasını ekleyeceğiz, ayrıca vakadan sorumlu müfettişlerin isimlerini de ekleyeceğiz, ardından New Case'e tıklıyoruz.

Vaka için bir klasör ve bir konfigürasyon dizini oluşturulduğuna dair bilgilendirildiğimiz bir ekran göreceğiz.

Daha sonra ana bilgisayarı oluşturacağız, yani araştırılacak ekipman veya görüntünün verilerini kaydedeceğiz.

Ana bilgisayar adını, bir açıklamayı, başka bir ülkeden olma durumunda gmt zamanını ekleyeceğiz, bilgisayara göre ofset süresini de ekleyebiliriz ve bilinen kötü amaçlı dosyaların karmalarını içeren veritabanları var.

Bir veritabanı kullanmak istiyorsak, bilinen dosyaları tespit etmek için NIST NSRL'yi kullanabiliriz. Nasıl sınıflandırıldıklarına bağlı olarak iyi veya kötü olabilen karmaları içeren Ulusal Yazılım Referans Kitaplığı veritabanı.

Örneğin, belirli bir yazılımın varlığı tanınabilir ve Autopsy, NSRL'de bulunan dosyaları bilinen ve iyi olarak değerlendirir veya tanımaz ve iyi mi kötü mü olduğunu belirtmez. Bilinen dosyaları yok sayan bir veritabanı da uygulayabiliriz.

Sonunda tıklıyoruz SUNUCU EKLE ve bize bu hostun dizinini gösteren ekrana gidiyoruz, aynı durumda analiz edecek birkaç hostumuz olabilir.

Ardından, bu özel durum için ana bilgisayar listesine erişiriz ve böylece bazı ana bilgisayarlar üzerinde araştırma başlat veya bazı ana bilgisayarları kontrol edin.

Ana bilgisayarımız PC031'e tıklıyoruz ve ardından tıklıyoruz tamam aşkım, host imajını ekleyeceğimiz bir ekran açılacak bunun için üzerine tıklıyoruz GÖRÜNTÜ DOSYA EKLE.

Ardından, sahip olduğumuz klasöre göre görüntüyü arayacağız:

Sağ tıklayıp seçeneği seçebiliriz kopyala, sonra ekrana gidiyoruz ana bilgisayar ekle ve sağ tıklayıp Yapıştır seçeneğine tıklıyoruz bu resim dosyasının yolunu ekleyecek, onu da yazabiliriz.

Ek olarak, bir disk veya bölüm ise görüntünün türünü ve içe aktarma yöntemini belirteceğiz, görüntü, simgesel bir bağlantı kullanılarak, kopyalanarak veya taşınarak, geçerli konumundan Otopsi'ye aktarılabilir.

Resim dosyası okuma iznine sahip olmalıdır, aksi takdirde tıkladığımızda hata verecektir. SONRAKİ (Sonraki)
Bu durumda görüntüyü bir kopya oluşturarak kullanırız, görüntünün bulunduğu bağlantı olan Symlink'i kullanırsak görüntüye zarar verme sorunu yaşayabiliriz, kopyalarsak bir kopyası yapılır. case dizini, ancak daha fazla yer kaplayacağız, kullandığımız dosyaların yaklaşık 150 Megabayt alan demolar olduğunu unutmayın, bir bilgisayarın veya sunucunun gerçek bir görüntüsü birkaç Gigabayt kaplayabilir.

Aşağıda eklediğimiz resmin bazı detaylarını göstererek bütünlüğünü hesaplamamızı veya yok saymamızı sağlar. sağlama toplamı MD5.

Sonunda tıklıyoruz EKLE o İşlemin bittiğini söyleyen son ekrana gitmek için Ekle tuşuna basıyoruz. tamam aşkım Bu durumda ana bilgisayar ekranına gitmek için.

Ardından, bu durumda ana bilgisayarı seçiyoruz ve bir tane var. analiz et Görüntü analizini başlatmak için Analiz ekranı açılır ve Resim Ayrıntıları Sistem bilgilerini görüntülemek için

Bu durumda, bunun bir Windwos XP NTFS bölümü olduğunu ve disk boyutu ve sektörleri ile ilgili diğer verileri görebiliriz. O zaman gidebiliriz Dosya analizi, dosya ve dizin yapısını görüntülemek için.

Dizinler içinde o bölümün önyükleme günlüklerini içeren Önyükleme dizinini görüyoruz, tıklarsak günlüğü göreceğiz ve onu ASCII, Onaltılık ve metin gibi farklı biçimlerde görebiliriz, bu durumda aşağıdaki hatayı görüyoruz:

Bir disk okuma hatası oluştu - NTLDR eksik

Windows XP NTLDR dosyası, Windows XP önyükleme kesiminin ve başlatmanın önemli bir bileşenidir. Bilgisayar başlamaz, o dosya zarar görmüşse önyüklemeyi bitirmez.

Ardından sütundaki dir bağlantısını tıklarsak Tip, dizinler arasında gezinebilir ve onları kurtarmaya çalışmak için silinen dosyaları görebiliriz.

Adli bilişim, veri kaynaklarındaki ilgili bilgilerin tanımlanmasına ve keşfedilmesine olanak tanır sabit sürücülerin görüntüleri, USB çubukları, ağ trafiği anlık görüntüleri veya bilgisayar bellek dökümleri gibi.

Otopsi ile yapılan her şeyi özetleyerek, yaptığımız şey kaydedildiğinden veya bir vakanın birkaç ana bilgisayar veya bilgisayar veya soruşturmayla ilgili her şeyi içerecek bir mantıksal birimin bölümlerini içerdiği yeni bir vaka oluşturduğumuz için bir vakayı yeniden açabiliriz.

Bu nedenle vaka oluştururken tanımlayıcı adınız ve verileri araştıracak kişi gibi bilgiler girilir. Bir sonraki adım, analize göndereceğimiz görüntülere veya daha önce analiz edilecek bilgisayar veya sunucudan alınmış adli bir görüntüye karşılık gelen bir veya daha fazla ana bilgisayarı vakayla ilişkilendirmekten oluşur.

Sonra Kapat'a ve ardından Ana Bilgisayarı Kapat'a tıklayarak bu vakayı kapatıyoruz ve vakanın içine yeni bir ana bilgisayar ekleyeceğiz, bunun için görüntüye ihtiyacımız var JPEG.webp Arama, daha önce bahsettiğimiz görüntü.

üzerine tıklıyoruz SUNUCU EKLE Analiz edeceğimiz yeni bir ana bilgisayar eklemek için, bu durumda grafik tasarım alanında bir bilgisayardaki kayıp veya hasarlı görüntüleri arayacağız.

Hostu ekledikten sonra imajı daha önce yaptığımız gibi eklemeliyiz.

İşlemi bitirdikten sonra, bu durum için mevcut olan ana bilgisayar listesine gidiyoruz.

Ardından, araştırmak için ana bilgisayarı seçiyoruz ve üzerine tıklayın. tamam aşkım.

Sonra tıklıyoruz analiz et bölüm görünümünü başlatmak için Bu durumda, üzerinde toplam 10 JPG.webp görüntüsü bulunan bir NTFS dosya sistemine sahip bir Windows XP bölümüdür. Görüntüler, yanlış uzantılara sahip dosyaları, zip ve Word dosyalarına gömülü görüntüleri ve bu dosyaları kurtarmak için bulmamız ve onarmamız gereken hataları içerir.

Bu bölüm görüntüsünün amacı, JPG.webp görüntülerini arayan otomatik araçların yeteneklerini test etmektir.

Dizinleri gözden geçiriyoruz ve aşağıdaki sol sütunda bir düğme görebiliyoruz. TÜM SİLME DOSYALARI bize silinen tüm dosyaları göstermek için.

Ayrıca indirmek istediğimiz bağlantıya tıklayarak onları analiz etmek veya kurtarmak için dosyaları dışa aktarabilir ve indirebiliriz ve ardından üzerine tıklıyoruz. İhracat

İçeride bir resim ve bazı veri dosyaları bulacağız. Ayrıca kelimeleri arayabiliriz Anahtar kelime araması doc gibi dosya uzantıları veya crack, virüs veya garip görünebilecek herhangi bir şey gibi çalışabilen programlar olarak.

Herşey elde edilen sonuçlar HTML belgelerine aktarılabilir linklere tıklayarak Bildiri Müşterilerimize bir raporun sunulması veya bir olaylar veritabanını tutmak için her ASCI tipi, Onaltılık veya metin görünümü.

Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
wave wave wave wave wave