It- och datorforensik

It- och datorforensik

Om IT Forensik

och datorforensik

Computer Forensik: Imaging-Tools

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 10:53:08

Skapandet av kriminaltekniskt korrekta kopior av alla drabbade diskar är Computer Forensics som det första och viktigaste steget efter en säkerhetsincident. Detta bör ske så snabbt som möjligt efter märker händelsen, men i alla fall före vidare användning av det berörda för att inte i onödan försämra bevis i en eventuell senare analyssystem. De berörda volymerna kan i enlighet med säkerhetsincident bara skriv endast användas för att undvika eventuella ändringar till data platsen, kursen gäller även arbetet med Imaging .

Under en kriminaltekniskt korrekt bild definieras som en äkta 1:1-kopia av hela disken utan någon tolkning av det tillgängliga filsystemet. Det backas upp " hela disken " och inte bara en enda partition. För att kontrollera rätt match till den ursprungliga lätt som helst, bör kopiorna produceras också autentiseras. Detta görs vanligen genom att den kryptografiska beräkningen av ett hashvärde för skivan och dess kopia.

De vanliga Imageing verktygen är optimerade främst för användning inom backup -och utlösningsområde och oftast skapar ingen riktig 1:1-kopia av hela hårddisken, vilket är oberoende av filsystem som används. De är därför inte lämplig för att skapa en forensisk riktig kopia.

Redan en Knoppix CD innehåller alla verktyg.

Systemprogrammet dd , som finns i alla Linux-distribution , däremot uppfyller alla dessa krav , och var således på Computer Forensic Tool Testing Program av den amerikanska regeringen själv överlägsen kommersiella kriminalteknik -paket . En annan fördel med Linux till en Windows- lösning är att det faktiskt kan vara skrivskyddad drivs och kopieras under Linux disk (med hjälp av en extra hårdvara skriv blockerare är givetvis alltid rekommenderas ) . Skapandet av en forensically korrekt bild av en Windows-dator med en intern IDE- hårddisk kan se ut med hjälp av Knoppix till exempel:

• Se till att datorn kan starta från en CD-skiva (hårddisk kabel ta bort och testa startprocessen)

• känga med en Konppix CD (för samtliga fall med " no swap "-alternativet )

• Källenhet Montera INTE

• Montera målenheten (t.ex. extern USB- disk) läs-och skriv

• en rot skal öppen

• Använd följande kommandon först skapa en md5 hash av den kopierade skivan, skapa en bild av disken, och i slutet var en md5 - hash från källskivanoch skapa sin image

o md5sum/dev / hda > / mnt/sda1/säkring/minahdd.md5

Alla beräknade hash värden måste matcha. Detta är inte fallet det finns fel (t.ex. avläsningsfel hos skivan) när man skapar kopian. De bör också förvaras säkert med den skapade kopian. (Om det är möjligt, kan du göra en utskrift av nummertecken värden från ett vittne.)

Om den skapade bilden senare kommer att brännas till CD eller DVD (eller använd destinationspartitionen ett filsystem som endast har stöd för filer <= 2GB), och den delade kommandot lätt delas upp i lämpliga bitar.

AIR - Automated Image and Restore

En mycket enklare drift av den ovan nämnda Command-line verktyget erbjuder AIR. GUI front-end till dag / dcfldd stöder autentisering via MD5/SHA1 hash beräkning, SCSI-bandstationer, bilden skapas över en TCP / IP-nätverk och en fullständig sessionsloggning.

AIR bygger på de befintliga kommandoradsverktyg och representerar inte ett nytt verktyg, vilket är särskilt viktigt för att verifiera dess riktighet.


ODESSA

Den open source-projekt ODESSA - öppna digitala bevis husrannsakan och beslag Arkitektur är för närvarande fortfarande i utvecklingsfasen. En komponent i Open Data Dupliceringsapparaten finns redan tillgänglig och har stöd för att skapa rättsmedicinska kopior med hjälp av en klient/server struktur över ett nätverk. Om ett plugin-gränssnitt kan redan under skapandet av bilden av den första analysen, till exempel en Keywortsuche göras.




Fill in only if you are not real





The following XHTML tags are allowed: <b>, <br/>, <em>, <i>, <strong>, <u>. CSS styles and Javascript are not permitted.