Forensik

Forensik USB

Forensik USB
Penggunaan USB peranti untuk menyimpan data dan maklumat peribadi semakin meningkat dari hari ke hari kerana mudah alih dan sifat plug-and-play peranti ini. A USB (Bas Bersiri Sejagat) peranti menyediakan kapasiti penyimpanan antara 2 GB hingga 128 GB atau lebih. Oleh kerana sifat tersembunyi dari peranti ini, pemacu USB dapat digunakan untuk menyimpan program dan fail berbahaya dan berbahaya, seperti penghidup paket, pengimbas kunci, fail berbahaya, dll. untuk menjalankan tugas jahat oleh penggodam dan kiddies skrip. Apabila maklumat yang menyusahkan seperti pemerasan dihapus dari peranti USB, maka forensik USB akan dimainkan untuk mengambil maklumat yang dihapuskan. Pengambilan atau pemulihan data yang dipadam dari pemacu USB adalah apa yang kita panggil forensik USB. Artikel ini akan melihat prosedur profesional untuk melakukan analisis forensik pada peranti USB.

Buat Salin Imej Pemacu USB

Perkara pertama yang akan kami lakukan ialah membuat salinan pemacu USB. Dalam kes ini, sandaran biasa tidak akan berfungsi. Ini adalah langkah yang sangat penting, dan jika dilakukan dengan salah, semua kerja akan sia-sia. Gunakan arahan berikut untuk menyenaraikan semua pemacu yang dipasang pada sistem:

[dilindungi e-mel]: ~ $ sudo fdisk -l

Di Linux, nama pemacu berbeza dari Windows. Dalam sistem Linux, hda dan hdb digunakan (sda, sdb, sdc, dan lain-lain.) untuk SCSI, tidak seperti Windows OS.

Sekarang kita mempunyai nama pemacu, kita dapat membuatnya .dd gambar sedikit demi sedikit dengan dd utiliti dengan memasukkan arahan berikut:

[dilindungi e-mel]: ~ $ sudo dd if = / dev / sdc1 of = usb.dd bs = 512 kiraan = 1

sekiranya= lokasi pemacu USB
daripada= tujuan di mana gambar yang disalin akan disimpan (boleh menjadi jalan tempatan pada sistem anda, e.g. / rumah / pengguna / usb.hari)
bs= bilangan bait yang akan disalin pada satu masa

Untuk mendapatkan bukti bahawa kami mempunyai salinan gambar asal pemacu, kami akan menggunakannya hash untuk mengekalkan integriti imej. Hashing akan memberikan hash untuk pemacu USB. Sekiranya satu bit data diubah, hash akan diubah sepenuhnya, dan seseorang akan mengetahui sama ada salinan itu palsu atau asli. Kami akan menghasilkan hash md5 pemacu sehingga, jika dibandingkan dengan hash asal pemacu, tidak ada yang dapat mempersoalkan integritas salinannya.

[dilindungi e-mel]: ~ $ md5sum usb.dd

Ini akan memberikan hash md5 gambar. Sekarang, kita boleh memulakan analisis forensik mengenai imej pemacu USB yang baru dibuat ini, bersama dengan hash.

Susun atur Sektor Boot

Menjalankan arahan fail akan mengembalikan sistem fail, serta geometri pemacu:

[dilindungi e-mel]: ~ $ usb fail.dd
okey.dd: Sektor boot DOS / MBR, offset kod 0x58 + 2, OEM-ID "MSDOS5.0 ",
sektor / kluster 8, sektor terpelihara 4392, Penerangan media 0xf8,
sektor / trek 63, tajuk 255, sektor tersembunyi 32, sektor 1953760 (jilid> 32 MB),
FAT (32 bit), sektor / FAT 1900, 0x1 terpelihara, nombor siri 0x6efa4158, tidak berlabel

Sekarang, kita boleh menggunakan minfo alat untuk mendapatkan susun atur sektor boot NTFS dan maklumat sektor boot melalui arahan berikut:

[dilindungi e-mel]: ~ $ minfo -i usb.dd
maklumat peranti:
===================
nama fail = "ok.dd "
sektor per trek: 63
kepala: 255
silinder: 122
baris arahan mformat: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
maklumat sektor but
======================
sepanduk: "MSDOS5.0 "
saiz sektor: 512 bait
saiz kluster: 8 sektor
sektor simpanan (boot): 4392
lemak: 2
slot direktori root maksimum yang tersedia: 0
saiz kecil: 0 sektor
bait deskriptor media: 0xf8
sektor per lemak: 0
sektor per trek: 63
kepala: 255
sektor tersembunyi: 32
saiz besar: 1953760 sektor
id pemacu fizikal: 0x80
terpelihara = 0x1
dos4 = 0x29
nombor siri: 6EFA4158
label cakera = "TIADA NAMA"
jenis cakera = "FAT32"
Fatlen besar = 1900
Bendera yang dilanjutkan = 0x0000
Versi FS = 0x0000
rootCluster = 2
infoSektor lokasi = 1
sektor boot sandaran = 6
Infosektor:
tandatangan = 0x41615252
kelompok bebas = 243159
kluster yang diperuntukkan terakhir = 15

Perintah lain, yang fstat perintah, dapat digunakan untuk mendapatkan info yang diketahui umum, seperti struktur peruntukan, tata letak, dan blok boot, mengenai gambar peranti. Kami akan menggunakan arahan berikut untuk melakukannya:

[dilindungi e-mel]: ~ $ fstat usb.dd
--------------------------------------------
Jenis Sistem Fail: FAT32
Nama OEM: MSDOS5.0
ID kelantangan: 0x6efa4158
Label Kelantangan (Sektor Boot): TIADA NAMA
Label Kelantangan (Root Directory): KINGSTON
Label Jenis Sistem Fail: FAT32
Sektor Percuma Seterusnya (Maklumat FS): 8296
Jumlah Sektor Percuma (Maklumat FS): 1945272
Sektor sebelum sistem fail: 32
Susun atur Sistem Fail (dalam sektor)
Julat Jumlah: 0 - 1953759
* Terpelihara: 0 - 4391
** Sektor Boot: 0
** Sektor Maklumat FS: 1
** Sektor Boot Sandaran: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Kawasan Data: 8192 - 1953759
** Kawasan Kluster: 8192 - 1953759
*** Direktori Akar: 8192 - 8199
MAKLUMAT METADATA
--------------------------------------------
Julat: 2 - 31129094
Direktori Akar: 2
MAKLUMAT KANDUNGAN
--------------------------------------------
Saiz Sektor: 512
Saiz Kluster: 4096
Julat Kluster Jumlah: 2 - 243197
KANDUNGAN LEMAK (dalam sektor)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF

Fail yang Dihapus

The Kit Sleuth menyediakan fls alat, yang menyediakan semua fail (terutamanya fail yang baru dihapus) di setiap jalur, atau dalam fail gambar yang ditentukan. Segala maklumat mengenai fail yang dihapus boleh didapati dengan menggunakan fls utiliti. Masukkan arahan berikut untuk menggunakan alat fls:

[dilindungi e-mel]: ~ $ fls -rp -f fat32 usb.dd
r / r 3: KINGSTON (Kemasukan Label Jilid)
d / d 6: Maklumat Isipadu Sistem
r / r 135: Maklumat Isipadu Sistem / WPSettings.dat
r / r 138: Maklumat Isipadu Sistem / IndexerVolumeGuid
r / r * 14: Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r / r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r / r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d / d * 41: Lautan Dua Belas (2004)
r / r 45: MINIT PC-I DIHANTAR PADA 23.01.2020.docx
r / r * 49: MINIT LEC MEMBANTU PADA 10.02.2020.docx
r / r * 50: windump.exe
r / r * 51: _WRL0024.tmp
r / r 55: MINIT LEC MEMBANTU PADA 10.02.2020.docx
d / d * 57: Folder baru
d / d * 63: notis tender untuk peralatan infrastruktur rangkaian
r / r * 67: PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx
r / r * 68: _WRD2343.tmp
r / r * 69: _WRL2519.tmp
r / r 73: PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx
v / v 31129091: $ MBR
v / v 31129092: $ FAT1
v / v 31129093: $ FAT2
d / d 31129094: $ OrphanFiles
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3

Di sini, kami telah memperoleh semua fail yang berkaitan. Pengendali berikut digunakan dengan arahan fls:

-hlm = digunakan untuk memaparkan jalan penuh setiap fail yang dipulihkan
-r = digunakan untuk memaparkan jalur dan folder secara berulang
-f = jenis sistem fail yang digunakan (FAT16, FAT32, dll.)

Output di atas menunjukkan bahawa pemacu USB mengandungi banyak fail. Fail yang dihapus yang dipulihkan diberi nota dengan “*"Tanda. Anda dapat melihat bahawa sesuatu tidak normal dengan fail yang dinamakan  $buruk_konten1, $buruk_konten2, $buruk_konten3, dan  tiupan angin.exe. Windump adalah alat menangkap lalu lintas rangkaian.  Dengan menggunakan alat windump, seseorang dapat menangkap data yang tidak dimaksudkan untuk komputer yang sama. Maksud ditunjukkan dalam kenyataan bahawa Windump perisian mempunyai tujuan khusus untuk menangkap lalu lintas rangkaian dan sengaja digunakan untuk mendapatkan akses ke komunikasi peribadi pengguna yang sah.

Analisis Garis Masa

Sekarang kita mempunyai imej sistem fail, kita dapat melakukan analisis garis masa MAC gambar untuk menghasilkan garis masa dan meletakkan isinya dengan tarikh dan waktu dalam format yang sistematik dan dapat dibaca. Kedua-duanya fls dan ils perintah boleh digunakan untuk membuat analisis garis masa sistem fail. Untuk perintah fls, kita perlu menentukan bahawa output akan dalam format output garis masa MAC. Untuk melakukannya, kami akan menjalankan fls perintah dengan -m bendera dan ubah hala output ke fail. Kami juga akan menggunakan -m bendera dengan ils perintah.

[dilindungi e-mel]: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls
[dilindungi e-mel]: ~ $ cat usb.fls
0 | / KINGSTON (Entri Label Isipadu) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Maklumat Isipadu Sistem | 6 | d / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Maklumat Isipadu Sistem / WPSettings.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Maklumat Isipadu Sistem / PengindeksVolumeGuid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv (dipadam) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv (dipadam) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv (dipadam) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv (dipadam) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Lautan Dua Belas (2004) (dihapus) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / MINIT PC-I DIBERI PADA 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / MINIT LEC MEMBANTU PADA 10.02.2020.docx (dipadam) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _WRD3886.tmp (dipadam) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _WRL0024.tmp (dipadam) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / MINIT LEC MEMBANTU PADA 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(dipadam) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (dipadam) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (dipadam) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / Folder baru (dipadam) | 57 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (dipadam) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx (dipadam) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _WRD2343.tmp (dipadam) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _WRL2519.tmp (dipadam) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ MBR | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ FAT1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ FAT2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ OrphanFiles | 31129094 | d / d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ bad_content 1 (dihapuskan) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (dihapuskan) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 3 (dihapuskan) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821

Jalankan waktu waktu alat untuk mendapatkan analisis garis masa dengan arahan berikut:

[dilindungi e-mel]: ~ $ usb kucing.fls> usb.Mac

Untuk menukar output waktu ini ke bentuk yang dapat dibaca manusia, masukkan arahan berikut:

[dilindungi e-mel]: ~ $ mactime -b usb.mac> usb.waktu waktu
[dilindungi e-mel]: ~ $ usb kucing.mactime Thu 26 Jul 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / Oceans Twelve (2004) (dipadam)
Sel 26 Jul 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (dipadam)
47 m… - / rrwxrwxrwx 0 0 22930444 / Game of Thrones 4 720p x264 DDP 5.1 ESub - (dipadam)
353 m… - / rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESub - (dipadam)
Jum 27 Jul 2018 00:00:00 12 .a… r / rrwxrwxrwx 0 0 135 / Maklumat Isipadu Sistem / WPSettings.dat
76 .a… r / rrwxrwxrwx 0 0 138 / Maklumat Isipadu Sistem / IndexerVolumeGuid
59 .a… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (dipadam)
47 .a… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (dipadam)
353 .a… - / rrwxrwxrwx 0 0 22930449 / Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (dipadam)
Jum 31 Jan 2020 00:00:00 33180 .a… r / rrwxrwxrwx 0 0 45 / MINIT PC-I DIBERI PADA 23.01.2020.docx
Jum 31 Jan 2020 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / MINIT PC-I DIHORMATI PADA 23.01.2020.docx
Jum 31 Jan 2020 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / MINIT PC-I DIBERI PADA 23.01.2020.docx
Isnin 17 Feb 2020 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49 / MINIT LEC DIBERI PADA 10.02.2020.docx (dipadam)
46659 m… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (dipadam)
Sel 18 Februari 2020 00:00:00 46659 .a… r / rrwxrwxrwx 0 0 49 / Game of Thrones 2 720p x264 DDP 5.1 ESub - (dipadam)
38208 .a… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (dipadam)
Sel 18 Februari 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (dipadam)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (dipadam)
38208… b r / rrwxrwxrwx 0 0 55 / MINIT LEC HELD ON 10.02.2020.docx
Sel 18 Februari 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (dipadam)
46659 .a… r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (dipadam)
38208 .a… r / rrwxrwxrwx 0 0 55 / MINIT LEC DIBERI PADA 10.02.2020.docx
Sel 18 Februari 2020 10:43:52 46659… b r / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (dipadam)
46659… b r / rr-xr-xr-x 0 0 51 / _WRL0024.tmp (dipadam)
38208… b r / rrwxrwxrwx 0 0 55 / MINIT LEC HELD ON 10.02.2020.docx
Sel 18 Februari 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _WRD3886.tmp (dipadam)
38208 m… r / rrwxrwxrwx 0 0 55 / Game of Thrones 3 720p x264 DDP 5.1 ESub -
Jumaat 15 Mei 2020 00:00:00 4096 .a… d / drwxrwxrwx 0 0 57 / Folder baru (dipadam)
4096 .a… d / drwxrwxrwx 0 0 63 / notis tender untuk peralatan infrastruktur rangkaian untuk IIUI (dipadam)
56775 .a… r / rrwxrwxrwx 0 0 67 / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx (dipadam)
56783 .a… r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (dipadam)
56775 .a… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (dipadam)
56783 .a… r / rrwxrwxrwx 0 0 73 / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx
Jum 15 Mei 2020 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / Folder baru (dipadam)
4096… b d / drwxrwxrwx 0 0 63 / notis tender untuk peralatan infrastruktur rangkaian untuk IIUI (dipadam)
Jum 15 Mei 2020 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (dipadam)
4096 m… d / drwxrwxrwx 0 0 63 / notis tender untuk peralatan infrastruktur rangkaian untuk IIUI (dipadam)
Jum 15 Mei 2020 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (dipadam)
56775 m… r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (dipadam)
Jum 15 Mei 2020 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (dipadam)
56783… b r / rrwxrwxrwx 0 0 68 / _WRD2343.tmp (dipadam)
56775… b r / rr-xr-xr-x 0 0 69 / _WRL2519.tmp (dipadam)
56783… b r / rrwxrwxrwx 0 0 73 / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx
Jum 15 Mei 2020 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 windump.exe (dipadam)
56783 m… r / rrwxrwxrwx 0 0 73 / PEMBERITAHUAN TENDER (Mega PC-I) Fasa-II.docx

Semua fail harus dipulihkan dengan cap waktu di dalamnya dalam format yang boleh dibaca manusia dalam fail “usb.waktu waktu."

Alat untuk Analisis Forensik USB

Terdapat pelbagai alat yang dapat digunakan untuk melakukan analisis forensik pada pemacu USB, seperti Autopsi Kit Sleuth, Pengimejan FTK, Terutama, dan lain-lain. Pertama, kita akan melihat alat Autopsi.

Autopsi

Autopsi digunakan untuk mengekstrak dan menganalisis data dari pelbagai jenis gambar, seperti gambar AFF (Advance Forensic Format), .gambar dd, gambar mentah, dll. Program ini adalah alat ampuh yang digunakan oleh penyiasat forensik dan agensi penguatkuasaan undang-undang yang berbeza. Autopsi terdiri daripada banyak alat yang dapat membantu penyiasat menyelesaikan tugas dengan cekap dan lancar. Alat Autopsi tersedia untuk platform Windows dan UNIX secara percuma.

Untuk menganalisis gambar USB menggunakan Autopsi, anda mesti membuat casing terlebih dahulu, termasuk menulis nama penyiasat, mencatat nama kes, dan tugas maklumat lain. Langkah seterusnya adalah mengimport gambar sumber pemacu USB yang diperoleh pada awal proses menggunakan dd utiliti. Kemudian, kami akan membiarkan alat Autopsi melakukan yang terbaik.

Jumlah maklumat yang diberikan oleh Autopsi sangat besar. Autopsi memberikan nama fail asal dan juga membolehkan anda memeriksa direktori dan laluan dengan semua maklumat mengenai fail yang berkaitan, seperti diakses, diubah suai, berubah, Tarikh, dan masa. Maklumat metadata juga diambil, dan semua maklumat disusun secara profesional. Untuk memudahkan pencarian fail, Autopsi menyediakan a Carian kata kunci pilihan, yang membolehkan pengguna mencari rentetan atau nombor dengan cepat dan cekap dari antara kandungan yang diambil.

Di panel kiri subkategori Jenis Fail, anda akan melihat kategori bernama "Fail yang Dihapus"Mengandungi fail yang dihapuskan dari gambar pemacu yang diinginkan dengan semua maklumat Metadata dan Analisis Garis Masa.

Autopsi adalah Antaramuka Pengguna Grafik (GUI) untuk alat baris perintah Kit Sleuth dan berada di peringkat teratas dalam dunia forensik kerana integriti, serba boleh, sifatnya yang mudah digunakan, dan kemampuan untuk menghasilkan hasil yang cepat. Forensik peranti USB dapat dijalankan dengan mudah Autopsi seperti pada alat berbayar lain.

Pengimejan FTK

FTK Imager adalah alat hebat lain yang digunakan untuk pengambilan dan pemerolehan data dari pelbagai jenis gambar yang disediakan. FTK Imager juga memiliki kemampuan untuk membuat salinan gambar sedikit demi sedikit, sehingga tidak ada alat lain seperti dd atau dcfldd diperlukan untuk tujuan ini. Salinan pemacu ini merangkumi semua fail dan folder, ruang kosong dan bebas, dan fail yang dihapuskan ditinggalkan di ruang kendur atau ruang yang tidak diperuntukkan. Tujuan asas di sini ketika melakukan analisis forensik pada pemacu USB adalah untuk membina semula atau membuat semula senario serangan.

Kami sekarang akan melihat melakukan analisis forensik USB pada gambar USB menggunakan alat FTK Imager.

Pertama, tambahkan fail gambar ke Pengimejan FTK dengan mengklik Fail >> Tambah Item Bukti.

Sekarang, pilih jenis fail yang ingin anda import. Dalam kes ini, ia adalah fail gambar pemacu USB.

Sekarang, masukkan lokasi penuh fail gambar. Ingat, anda mesti menyediakan jalan penuh untuk langkah ini. Klik Selesai untuk memulakan pemerolehan data, dan membiarkan Pengimejan FTK buat kerja. Setelah beberapa lama, alat ini akan memberikan hasil yang diinginkan.

Di sini, perkara pertama yang perlu dilakukan ialah mengesahkan Integriti Imej dengan mengklik kanan pada nama gambar dan memilih Sahkan Gambar. Alat ini akan memeriksa pencocokan hash md5 atau SHA1 yang disertakan dengan maklumat gambar, dan juga akan memberitahu anda sama ada gambar itu telah dirusak sebelum diimport ke Pengimejan FTK alat.

Sekarang, Eksport hasil yang diberikan ke jalan pilihan anda dengan mengklik kanan nama gambar dan memilih Eksport pilihan untuk menganalisisnya. The Pengimejan FTK akan membuat log data lengkap proses forensik dan akan meletakkan log ini dalam folder yang sama dengan fail gambar.

Analisis

Data yang dipulihkan boleh dalam format apa pun, seperti tar, zip (untuk fail yang dimampatkan), png, jpeg, jpg (untuk fail gambar), mp4, format avi (untuk fail video), kod bar, pdf, dan format fail lain. Anda harus menganalisis metadata fail yang diberikan dan memeriksa kod bar dalam bentuk a Kod QR. Ini boleh dalam fail png dan boleh diambil menggunakan ZBAR alat. Dalam kebanyakan kes, fail docx dan pdf digunakan untuk menyembunyikan data statistik, jadi fail tersebut mesti dikompres. Kdbx fail boleh dibuka melalui Keepass; kata laluan mungkin telah disimpan dalam fail lain yang dipulihkan, atau kita dapat melakukan bruteforce pada bila-bila masa.

Terutama

Terutama adalah alat yang digunakan untuk memulihkan fail dan folder yang dihapus dari gambar pemacu menggunakan header dan footer. Kami akan melihat halaman utama Foremost untuk meneroka beberapa arahan hebat yang terdapat dalam alat ini:

[dilindungi e-mel]: ~ $ lelaki paling utama
-a Membolehkan menulis semua tajuk, tidak melakukan pengesanan ralat dari segi
fail yang rosak.
-nombor b
Membolehkan anda menentukan ukuran blok yang digunakan di hadapan. Ini adalah
relevan untuk penamaan fail dan carian pantas. Lalai adalah
512. iaitu. terpenting -b 1024 gambar.dd
-q (mod pantas):
Membolehkan mod pantas. Dalam mod pantas, hanya permulaan setiap sektor
dicari untuk tajuk yang sepadan. Maksudnya, pengepala adalah
hanya dicari hingga panjang pengepala terpanjang. Selebihnya
sektor ini, biasanya sekitar 500 bait, tidak diendahkan. Mod ini
menjadikan yang paling utama berjalan lebih cepat, tetapi mungkin menyebabkan anda melakukannya
fail rindu yang tertanam dalam fail lain. Contohnya, menggunakan
mod pantas anda tidak akan dapat mencari gambar JPEG yang disisipkan
Dokumen Microsoft Word.
Mod pantas tidak boleh digunakan ketika memeriksa sistem fail NTFS.
Kerana NTFS akan menyimpan fail kecil di dalam Master File Ta‐
Oleh itu, fail-fail ini akan terlewat semasa mod pantas.
-a Membolehkan menulis semua tajuk, tidak melakukan pengesanan ralat dari segi
fail yang rosak.
-fail i (input):
File yang digunakan dengan pilihan i digunakan sebagai file input.
Sekiranya tidak ada fail input yang ditentukan, stdin digunakan untuk c.

File yang digunakan dengan pilihan i digunakan sebagai file input.

Sekiranya tidak ada fail input yang ditentukan, stdin digunakan untuk c.

Untuk menyelesaikan tugas, kami akan menggunakan arahan berikut:

[dilindungi e-mel]: ~ $ paling utama usb.dd

Setelah proses selesai, akan ada file di /pengeluaran folder bernama teks mengandungi hasilnya.

Kesimpulannya

Forensik pemacu USB adalah kemahiran yang baik untuk mengambil bukti dan memulihkan fail yang dipadam dari peranti USB, serta untuk mengenal pasti dan memeriksa program komputer apa yang mungkin digunakan dalam serangan itu. Kemudian, anda boleh mengumpulkan langkah-langkah yang mungkin diambil penyerang untuk membuktikan atau menyangkal tuntutan yang dibuat oleh pengguna atau mangsa yang sah. Untuk memastikan bahawa tidak ada yang melepaskan diri dengan jenayah siber yang melibatkan data USB, forensik USB adalah alat penting. Peranti USB mengandungi bukti utama dalam kebanyakan kes forensik dan kadang-kadang, data forensik yang diperoleh dari pemacu USB dapat membantu memulihkan data peribadi yang penting dan berharga.

Permainan Cara menangkap dan streaming sesi permainan anda di Linux
Cara menangkap dan streaming sesi permainan anda di Linux
Pada masa lalu, bermain permainan hanya dianggap sebagai hobi, tetapi seiring dengan berjalannya waktu, industri permainan menyaksikan pertumbuhan yan...
Permainan Permainan Terbaik untuk Dimainkan dengan Penjejakan Tangan
Permainan Terbaik untuk Dimainkan dengan Penjejakan Tangan
Oculus Quest baru-baru ini memperkenalkan idea hebat penjejakan tangan tanpa pengawal. Dengan jumlah permainan dan aktiviti yang semakin meningkat yan...
Permainan Cara Menunjukkan Overlay OSD dalam Aplikasi dan Permainan Linux Skrin Penuh
Cara Menunjukkan Overlay OSD dalam Aplikasi dan Permainan Linux Skrin Penuh
Bermain permainan skrin penuh atau menggunakan aplikasi dalam mod skrin penuh bebas gangguan dapat memisahkan anda dari maklumat sistem yang relevan y...