Tietokonejärjestelmien tutkiminen tai vianmääritys OSForensics-sovelluksella [Windows]

Mainos

Olipa FBI kaivamassa hakkeri omistamaa tietokonetta, yrityksen sisäistä tietokoneauditointia tekevää yritystä tai verkonvalvojaa, joka yrittää selvittää miksi virus on peräisin tietystä tietokoneesta - lopputulos on, että perusteellinen PC: n oikeuslääketieteellinen analyysi vaatii ohjelmistoja, jotka voivat kaivaa syvälle ja tehdä työn oikeassa.

Omien kokemusteni mukaan on harvinaista, että löydät ilmaisia ​​ohjelmistoja, jotka tekevät siitä hyvää työtä. Useimmat poliisivirastot ympäri maailmaa ostavat kalliita ohjelmistoja tietokoneen rikostekniikan yksikölle.

Kuitenkin siellä olemme ilmaisia ​​tietokoneiden vianetsintä- ja korjausvälineitä, kuten tietojen palautussovellukset 3 merkittäviä tiedostojen palautustyökaluja Lue lisää Guy Cover ja Net Tools 2008, Karl-työkalun ylläpitäjän työkalu. Vielä yksi ilmainen työkalu, joka on yhtä tehokas ja kykenevä kuin monet maksetut tietokoneen oikeuslääketieteen ohjelmistopaketit, tunnetaan nimellä OSForensics.

Rikostekniikan analyysin suorittaminen

Paras tapa analysoida ja selvittää tietokonejärjestelmiä ylhäältä alas on hidas ja metodinen tapa. Upea asia OSForensicsissa on, että se on kuin virtuaalinen salkku, johon voit tallentaa kaiken tekemäsi työn. Jos sinulla on useita tietokoneita, joissa työskentelet, voit asettaa tämän ohjelmiston työtietokoneellesi ja kartoittaa etätietokoneen kiintolevy analysoitavaksi. Ohjelmiston avulla voit tallentaa ”kotelon” jokaiselle tietokoneelle, jolla työskentelet.

Kuten yllä olevasta kuvasta voidaan nähdä, kaikki työkalut ovat vasemmalla valikkopalkilla. Sinun tarvitsee vain työskennellä alas heille, jos et ole oikein varma mistä aloittaa. Jos sinulla on tarkempi tavoite mielessä, siirry eteenpäin siihen tietokoneen osaan, jota haluat tutkia tarkemmin. Yksi parhaista työkaluista viruksen tai troijalaisen tiedoston tunnistamiseen pyrkiville tukihenkilöstölle on “hash-sarjat.”

Tällä alueella voit analysoida määritettyjä sovelluksia, ei vain tiedostoja. Jokaisessa sovelluksessa on joukko tiedostoja, jotka voit tarkistaa, kun kaksoisnapsautat sovellusta. Hash Set Viewer näyttää kaikki laskelmat jokaiselle tiedostolle.

Seuraava käytettävissä oleva työkalu on kyky luoda ”allekirjoitus”. Tämä on hyödyllistä pitkällä aikavälillä tutkimus, kun epäillään, että tietyt toimet tapahtuvat tietyssä paikassa tietokone.

Voit luoda allekirjoituksen, joka ottaa valokuvan tiedostoista ja hakemistoista. Sitten voit käyttää ”vertaa allekirjoitusta”-Työkalulla tarkistaa, onko muutoksia tehty muutama viikko vai kuukausi tiellä. Ohjelmiston mukana tulee myös tiedostohaku-apuohjelma, jossa voit suodattaa tulokset kuvien, toimistoasiakirjojen tai pakattujen tiedostojen perusteella.

Vielä parempi, voit käyttää ainutlaatuista ja erittäin hyödyllistä “Väärä tiedostohaku”Työkalu selata epäilyttäviä hakemistoja ja tunnistaa kaikki tiedostot, jotka tietokoneen omistaja on nimennyt uudelleen, yksinkertaisesti peittääksesi tiedoston todellisen tunnisteen. Esimerkiksi kuvatiedoston uudelleennimeäminen txt-laajennuksella tai turvaluokitellun asiakirjan, jonka tunniste on .jpg.

Palaa takaisin hash-lähestymistavan käyttämiseen tiedostoanalyysissä,Vahvista / luo välilyönti”-Apuohjelman avulla voit verrata tiedoston tunnettua hash-arvoa (mitä sillä on arvo pitäisi be) ja tämän tietokoneen tiedoston laskettu hash-arvo.

Toinen alue, jolla tämä ohjelmisto todella etenee rikosteknisissä analyyseissä, on kyky seuloa tuhansien tiedostojen läpi nopeasti nopeasti tiettyjen tekstiavainsanojen tunnistamiseksi. Ensimmäinen vaihe prosessin nopeuttamiseksi on luoda hakemisto kaikille tietokoneen hakemistoille. Kun se on valmis, se ilmoittaa kaikista tiedostoista löydettyjen yksilöivien sanojen määrän.

Kun se on valmis, käytä vain "Hakuhakemisto-Työkalu, jolla voit selata tiedostoja, kuvia ja sähköposteja etsimäsi tietyn tapahtuman tai sisällön jäljittämiseksi.

Toinen tietokoneen rikostekninen työkalu, jonka useimmat Windows-käyttäjät tunnistavat, on ”Viimeisimmät tapahtumat”. Vaikka se näyttää samanlaiselta kuinViimeaikaiset asiakirjat”, Tämä apuohjelma kaivaa todellakin vähän syvemmälle etsimällä MRU-tietueita, USB-tietueita, evästeitä, latauksia ja paljon muuta. Omistaja on ehkä yrittänyt puhdistaa tietokoneen jo, mutta monet ihmiset eivät ymmärrä kaikkia paikkoja, joissa aktiviteetti on kirjautunut - joten tämä työkalu löytää jäljellä olevat jäljet ​​kyseisestä toiminnasta.

Toinen erittäin hieno ominaisuus on “Poistettu tiedostohaku”, Jonka avulla voit selata tietueita kyseenalaisten äskettäin poistettujen tiedostojen merkitsemiseksi. Huomasin, että tämä erityinen ominaisuus ei ole huijausvarma. Se yrittää tunnistaa poistettujen tiedostojen hivenaineet, mutta se ei ole aina onnistunut.

Viimeinkin, kun olet todella epätoivoinen löytääksesi jonkin verran todisteita rikoksesta, saatat joutua ottamaan “muistin katseluohjelma" ajelulle. Tämä tietokoneen oikeuslääketieteellinen sovellus näyttää kaikki kiintomuistiosoitteet ja tallennetun tiedon määrän. Voit upottaa muistin sisällön CSV-tiedostoon, jotta voit pistää ympäriinsä johtolankoja tai tupakointipistoolia.

Kuten huomaat, OSForensics on melko tehokas ohjelmisto kenelle tahansa, jolla on joskus valitettava tehtävä joutua tutkimaan jonkun tietokonejärjestelmää, jota syytetään tekemästä jotain vikaa. Joskus tietokoneen asianmukainen, perusteellinen rikostutkimus voi tuottaa vakuuttavia todisteita, jotka voivat tehdä tapauksen tai rikkoa sen.

Oletko koskaan käyttänyt OSForensicsia? Mitä mieltä sinä olet? Tiedätkö muita vastaavia sovelluksia, jotka ovat yhtä hyviä tai parempia? Jaa ajatuksesi alla olevassa kommenttiosassa.

Kuvaluotto: Peter Hostermann