It- och datorforensik

It- och datorforensik

Om IT Forensik

och datorforensik

Computer Forensik: Analys-Tools

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 11:32:58

Kriminaltekniskt undersökningar genomförs så långt som möjligt bara för att skapa rättsmedicinska exemplar och i skrivskyddat läge. De ursprungliga systemen bör - förvaras säkert - om möjligt. Det blir en senare, oberoende granskning av analyserna. ( Om det är i praktiken, men att systemen måste användas mer så snart som möjligt, för att särskilt uppmärksamma fullständighet och kvaliteten på de bilder som skapats! )

I den öppna källområdet Linux kommer med en mängd olika verktyg och program som kan användas för en undersökning ( grep , strängar , hitta , fil , hexedit , ... ) . Speciellt användbar när du arbetar med bildfiler är loopback -enheten. Detta gör det möjligt att arbeta med en bildfil som om en motsvarande skiva i systemet. ( Med den vanliga loopback -enheten endast bilder av enskilda partitioner kan monteras. Detta exempel kan kopieras med dd från den övergripande bilden. Mycket mer praktiskt att utforma processen med Enhanced loopback -enheten, som utvecklades av NASA anställda blir som öppen källkod tillgänglig och partitionen informationen i en bildfil tolkas automatiskt . )

The Sleuth Kit

För post mortem analys av ett UNIX -system Wietse Venema och Dan Farmer utvecklat ett antal verktyg, som blev känd som The Coroners Toolkit ( TCT ) . Emellertid är TCT plattformsspecifika, det vill säga Analys och utredning plattform måste vara lika. Den Sleuth Kit av Brian Carrier är ett plattformsoberoendeutveckling och expansion av TCT. Det kan finnas olika versioner av Unix, inklusive Linux och analyser används DOS, BSD och Mac- partitioner, och Sun skivor. På filsystem närvarande NTFS, FAT , FFS , EXT2FS och ext3fs kan undersökas .

Autopsy

En bekväm grafiskt användargränssnitt för användning av Sleuth Kit erbjuder också utvecklat av Brian Carrier Obduktion Forensic Browser. Kan också köpa flera utredare, lokalt oberoende, arbetar tillsammans i ett fall genom en säker server med hjälp av HTML Autopsy . Obduktion innehåller ett omfattande ärendehantering klar.

Den Sleuth Kit och Autopsy är därför beroende tolkningen av filsystem inte på operativsystemsfunktioner. De är således kunna upptäcka ens filer och information (t.ex. mellan partitioner är gömda) utanför de normala möjligheterna för respektive operativsystem är tillträde.


Förutom mycket omfattande alternativ , information från alla nivåer i media samt att analysera filsystemet hantering , och aktivitetstidslinjerkan skapas och jämföras med andra tidsbaserade protokoll . Samarbete med hash databaser över kända program ( NSRL , HashKeeper , ... ) , lättare att hitta och sortera ut för den särskilda utredningen viktiga / oviktiga filer .

främst

Handlar det om vissa filtyper (t.ex. bilder, filmer, Word- eller Excel-dokument ), oavsett filsystemet förvaltning , till exempel i inte mer tilldelade områden , kan hjälpa en sökande efter definitionen Heard och sidfot signaturer . För detta ändamål , verktyget var Främst av de särskilda medel för det amerikanska flygvapnet Kendall och Kornblum utvecklade ( liknande CarvThis den amerikanska försvars Computer Forensic Labs ) .

Främst kan analysera både fysisk disk och dd bilder . Sidhuvud och sidfot underskrifter av de filer du vill , och en maximal filstorlek kan anges med hjälp av en enkel konfigurationsfil . Verktyget kommer att kopiera alla filer som hittats som matchar de valda signaturerna . Naturligtvis , detta fungerar bara korrekt om filerna inte är närvarande fragmenterad . Det är därför fullt möjligt att Främst fil extraherade bitar som måste redigeras för hand på .




Fill in only if you are not real





The following XHTML tags are allowed: <b>, <br/>, <em>, <i>, <strong>, <u>. CSS styles and Javascript are not permitted.