Аутопси је софтвер који се користи за форензичку анализу слике чврстог диска. То је бесплатан интерфејс отвореног кода који вам омогућава претраживање и анализу партиција или слика диска.
Алат за обдукцију може радити на различитим оперативним системима, као што су:
- Линук
- Виндовс
- Мац ОСк
- Бесплатни БСД
Обдукција је платформа за дигиталну форензичку анализу и Слеутхкит графички интерфејс и други дигитални форензички алати. Користе га владе, јавни и приватни субјекти, снаге безбедности, попут полиције и војске, као и професионалци и рачунарски стручњаци да истраже шта се догодило на рачунару. Након инцидента, попут напада или квара, можете претраживати уређаје за складиштење како бисте опоравили датотеке, тражили системске манипулације, опоравили фотографије, слике или видео записе.
Прво морамо инсталирати Аутопси у Линук, долази у спремишта, у Виндовсу га можете преузети одавде:
ДОВНЛОАД АУТОПСИ
У овом водичу ћемо видети Инсталација обдукције на Линук -у. Отварамо прозор терминала и уписујемо следеће команде:
1. Инсталирамо оквир ТСК
судо апт-гет инсталл слеутхкит2. Затим инсталирамо Аутопси
апт-гет аутопсиТСК оквир садржи скуп библиотека и модула који се могу користити за развој додатака и команди за вештину рачунарске форензике. Оквир ТСК је интерфејс командне линије који користи различите модуле за анализу слика диска.
Затим можемо покренути апликацију из прозора терминала помоћу наредбе:
судо обдукција
Затим идемо у било који прегледач и уписујемо УРЛ хттп: // лоцалхост: 9999 / аутопси та аутопсија нам говори да ће функционисати као сервер све док га имамо у раду.
Пре него што наставимо, потребно је да имамо слику неких уређаја, можемо или да направимо слику нашег диска или да добијемо примере слика на Интернету, на пример на веб страници хттп://дфтт.соурцефорге.нет/ можемо преузети неколико слике које представљају различите проблеме за анализу.
На пример, можемо преузети неке од следећих слика.
ЈПЕГ претрага: Ова пробна слика је датотечни систем Виндвос КСП НТФС са 10 јпг слика у различитим директоријумима. Слике укључују датотеке са нетачним екстензијама, слике уграђене у зип и Ворд датотеке. Овде можемо радити на опоравку слике. Одавде можемо преузети ЈПЕГ претрагу.
НТФС поништавање брисања: Ова пробна слика је НТФС датотечни систем од 6 МБ са осам избрисаних датотека, два избрисана директоријума и избрисаним алтернативним током података. Датотеке се крећу од резидентних датотека, појединачних датотека кластера и више фрагмената. Никакве структуре података нису измењене у овом процесу како би се спречио опоравак. Направљени су у оперативном систему Виндовс КСП, уклоњени у КСП -у и снимљени на Линук -у. НТФС Унделете можемо преузети одавде.
Такође можемо креирати слику диска из Линука, сазнаћемо које су партиције са следећим командама:
судо фдиск -л
На пример, да бисмо направили тачну копију боот партиције, коју можемо користити као резервну датотеку, користимо следеће команде:
дд иф = /дев /партитион-то-саве оф = /хоме/дирецтори/цопи-партитион.имгУ овом случају то ће бити главна партиција:
дд иф = / дев / сда1 оф = / хоме / миусер / партитион-сда1-ХДД.имгТакође можемо користити софтвер као што је Цлонезилла који је програм за креирање партиција и слика диска, резервних копија и опоравак система из резервне копије.
Када добијемо слику за спровођење форензичке истраге, идемо на Обдукцију, коју ћемо користити за овај водич НТСФ Унделете.
Интерфејс за обдукцију омогућава нам да анализирамо неколико случајева са различитим сликама, па чак и неколико истраживача, а затим кликнемо на дугме Нови случај или Нови случај.
Екран ће се отворити за креирање случаја где ћемо доделити назив случају, без размака јер ће то име постати фасцикла у којој ће се складиштити подаци прикупљени у истрази. У овом случају име ће бити ЕмпресаСА, затим ћемо додати опис случаја, додаћемо и имена истражитеља који су задужени за случај, а затим ћемо кликнути на Нови случај.
Видећемо екран на коме ћемо бити обавештени да су направљене фасцикла за кућиште и директоријум за конфигурацију.
Затим ћемо креирати домаћина, односно регистроваћемо податке о опреми или слици коју треба истражити.
Додаћемо име хоста, опис, гмт време у случају да потиче из друге земље, можемо додати време помака и за рачунар, а постоје и базе података које садрже хешеве познатих злонамерних датотека.
Ако желимо да користимо базу података, можемо користити НИСТ НСРЛ за откривање познатих датотека. База података Националне библиотеке референтних библиотека софтвера садржи хешеве који могу бити добри или лоши у зависности од тога како су класификовани.
На пример, постојање одређеног софтвера може се препознати и Аутопсија третира датотеке пронађене у НСРЛ -у као познате и добре или их не препознаје и не наводи да ли је добра или лоша. Такође можемо имплементирати базу података која занемарује познате датотеке.
На крају кликнемо на АДД ХОСТ и идемо на екран који нам приказује, директоријум за овај хост, у истом случају можемо имати неколико хостова за анализу.
Затим приступамо списку хостова за овај одређени случај и тако започети истраживање на неком домаћину или проверите неког домаћина.
Кликнемо на наш хост ПЦ031, а затим кликнемо на Добро, отвориће се екран на који ћемо додати слику хоста, за то кликнемо ДОДАЈТЕ СЛИКУ.
Затим ћемо потражити слику према фасцикли у којој је имамо:
Можемо да кликнемо десним тастером миша и изаберемо опцију Цопи, затим идемо на екран додај домаћина и десним тастером миша кликнемо на опцију Пасте, ово ће додати путању сликовне датотеке, коју такође можемо написати.
Поред тога, назначићемо врсту слике ако се ради о диску или партицији и методу увоза, слика се може увести у Аутопси са њене тренутне локације помоћу симболичне везе, копирањем или премештањем.
Сликовна датотека мора имати дозволу за читање, у противном ће дати грешку када кликнемо на СЛЕДЕЋИ (Следећи)
У овом случају користимо слику тако што ћемо створити копију, ако користимо симбол везу која је веза до локације на којој се налази слика, можемо имати проблем да бисмо могли оштетити слику, ако је копирамо, копија ће бити направљена у директоријум случајева, али заузећемо више места, запамтите да су датотеке које користимо демо које заузимају око 150 мегабајта, а права слика рачунара или сервера могла би заузети неколико гигабајта.
Испод нас приказује неке детаље слике коју смо додали и омогућава нам да израчунамо или занемаримо интегритет помоћу контролна сума МД5.
На крају кликнемо на ДОДАТИ о Додајте за одлазак на завршни екран где нам говори да је процес завршен и ми притискамо Добро да бисте отишли на главни екран за овај случај.
Затим одаберемо домаћина у овом случају имамо га и кликнемо на Анализирајте да започнете анализу слике. Отвара се екран за анализу и ми ћемо Детаљи о слици за преглед информација о систему.
У овом случају можемо видјети да се ради о Виндвос КСП НТФС партицији и другим подацима о величини диска и секторима. Онда можемо да идемо на Анализа датотека, за преглед датотеке и структуре директоријума.
У директоријумима видимо директоријум за покретање који садржи евиденцију покретања те партиције, ако кликнемо видећемо дневник и можемо га видети у различитим форматима као што су АСЦИИ, хексадецимални и текстуални, у овом случају видимо следећу грешку:
Дошло је до грешке при читању диска - недостаје НТЛДР
Виндовс КСП НТЛДР датотека је битна компонента сектора за покретање и покретање система Виндовс КСП. Рачунар се неће покренути, нити ће се покренути ако је датотека оштећена.
Затим ако кликнемо на дир везу у колони Тип, можемо се кретати кроз директоријуме и видети избрисане датотеке да бисмо их покушали опоравити.
Рачунарска форензика омогућава идентификацију и откривање релевантних информација у изворима података као што су слике чврстих дискова, УСБ кључеви, снимци мрежног саобраћаја или отисци меморије рачунара.
Сумирајући све што је урађено помоћу Аутопсије, можемо поново отворити случај јер се оно што радимо спрема или креира нови случај, где предмет садржи неколико хостова или рачунара или партиција логичке јединице која ће садржати све што се односи на истрагу.
Стога се приликом креирања случаја уносе подаци попут вашег идентификацијског имена и особе која ће испитати податке. Следећи корак се састоји од повезивања једног или више хостова са случајем, који одговарају сликама које ћемо послати на анализу, или форензичке слике која је претходно прибављена са рачунара или сервера за анализу.
Затим затварамо овај случај кликом на Затвори, а затим на Затвори хост, па ћемо додати нови хост у кућиште, за то нам је потребна слика ЈПЕГ Сеарцх, слика коју смо раније поменули.
Кликнемо на АДД ХОСТ Да бисмо додали нови хост који ћемо анализирати, у овом случају ћемо потражити изгубљене или оштећене слике на рачунару у области графичког дизајна.
Након додавања хоста, морамо додати слику као и раније.
Након завршетка процеса идемо на листу хостова доступних за овај случај.
Затим бирамо домаћина за истраживање и кликнемо на Добро.
Затим кликнемо на Анализирајте да бисте покренули приказ партиције. У овом случају ради се о Виндовс КСП партицији, са НТФС датотечним системом са укупно 10 ЈПГ слика. Слике укључују датотеке са нетачним екстензијама, слике уграђене у зип и Ворд датотеке и грешке које морамо пронаћи и поправити да бисмо опоравили те датотеке.
Сврха ове слике партиције је да тестира могућности аутоматизованих алата који траже ЈПГ слике.
Пролазимо кроз директоријуме и видимо дугме у левој колони испод СВЕ ИЗБРИШИ ДАТОТЕКЕ да нам прикаже све избрисане датотеке.
Такође можемо извести и преузети датотеке да бисмо их анализирали или опоравили кликом на везу коју желимо да преузмемо, а затим кликнемо на Извоз
Унутра ћемо пронаћи слику и неке датотеке са подацима. Такође можемо тражити речи из Претрага кључних речи као наставци датотека као што су доц или програми који могу радити као црацк, вирус или било шта што може изгледати чудно.
Све добијени резултати се могу извести у ХТМЛ документе кликом на везе Извештај сваке врсте АСЦИ, хексадецималног или текстуалног приказа, за презентацију извештаја нашим клијентима или за одржавање базе података о инцидентима.
Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
