Oglas
Ne glede na to, ali gre za FBI, ki kopa v računalnik, ki je v lasti hekerja, podjetje, ki izvaja notranjo revizijo računalnika, ali mrežni skrbnik, ki poskuša ugotoviti zakaj virus izvira iz določenega osebnega računalnika - spodnja točka je, da temeljita analiza forenzičnih računalnikov zahteva programsko opremo, ki lahko globoko kopa in opravi nalogo prav.
Po mojih lastnih izkušnjah je redko, da najdete brezplačno programsko opremo, ki vam s tem dobro pomaga. Večina policijskih agencij po vsem svetu kupuje drago programsko opremo za računalniško enoto forenzike.
Vendar pa tam so brezplačna orodja za odpravljanje težav in popravilo računalnikov tam, kot je aplikacije za obnovitev podatkov 3 izjemna orodja za obnovitev datotek Preberi več Guy cover in Net Tools 2008, skrbniško orodje, ki ga je zajel Karl. Še eno brezplačno orodje, ki je prav tako zmogljivo in sposobno, je znano kot mnogi plačani računalniški programski forenzični paketi OSForensics.
Izvajanje analize forenzike
Najboljši način za analizo in odpravljanje težav z računalniškim sistemom od zgoraj navzdol je počasen in metodičen način. Odlična stvar pri OSForensics je, da je kot navidezna aktovka, v katero lahko shranite vse delo, ki ga opravljate. Če imate več računalnikov, s katerimi delate, lahko to programsko opremo nastavite na svojem delovnem računalniku in nato preslikate trdi disk oddaljenega računalnika v analizo. Programska oprema vam bo omogočila shranjevanje "ohišja" za vsak računalnik, ki ga uporabljate.
Kot lahko vidite na zgornji sliki, so vsa orodja postavljena po levi menijski vrstici. Vse, kar morate storiti, je, da se potrudite po njih, če niste ravno prepričani, kje začeti. Če imate v mislih bolj osredotočen cilj, preskočite naprej na področje računalnika, ki ga želite podrobneje raziskati. Eno najboljših orodij za vse podporno osebje, ki želi prepoznati virus ali trojansko datoteko, je “hash kompleti.”
![Raziščite ali odpravite računalniške sisteme z OSForensics [Windows] forensics2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
To območje vam omogoča analizo določenih aplikacij, ki jih definirate, ne le datotek. Vsaka aplikacija ima nabor datotek, ki jih lahko pregledate, ko dvokliknete aplikacijo. Hash Set Viewer prikazuje vse izračune za vsako datoteko.
Naslednje orodje, ki je na voljo, je možnost ustvarjanja „podpisa“. To je koristno za dolgoročno študije, če obstaja sum, da se določene dejavnosti izvajajo na določenem mestu na računalnik.
Ustvarite lahko podpis, ki bo posnetek datotek in imenikov. Nato lahko uporabite »primerjajte podpis"Orodje za preverjanje, ali so bile spremembe nekaj tednov ali mesec na poti. Programska oprema vsebuje tudi pripomoček za iskanje datotek, kjer lahko filtrirate rezultate po slikah, pisarniških dokumentih ali stisnjenih datotekah.
Še bolje je, da lahko uporabite edinstveno in zelo uporabno “Neujemanje iskanja datotek"Orodje za presejanje sumljivih imenikov in prepoznavanje datotek, ki jih je lastnik osebnega računalnika morda preimenoval preprosto, da bi prikril resnično identifikacijo datoteke. Na primer, preimenovanje slikovne datoteke s pripono »txt« ali tajnega dokumenta s pripono ».jpg«.
![Raziščite ali odpravite računalniške sisteme z OSForensics [Windows] forenziko5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Nazaj na uporabo metode hash-a za analizo datotek,Preveri / ustvari Haš"Pripomoček vam omogoča primerjavo znane vrednosti hash-ja za datoteko (kaj ima vrednost naj bi biti) in izračunano vrednost hash-ja za datoteko v tem računalniku.
Drugo področje, kjer se ta programska oprema resnično izkaže za forenzično analizo, je zmožnost, da se hitro preusmeri na tisoče datotek, da se prepoznajo določene ključne besede. Prvi korak za pospešitev postopka je izdelava indeksa za kateri koli imenik v računalniku. Ko konča, bo poročal o številu edinstvenih besed, ki jih najdemo v vseh datotekah.
Ko končate, samo uporabite »Iskalni indeks"Orodje za iskanje po datotekah, slikah in e-poštnih sporočilih za iskanje posameznih dogodkov ali vsebin, ki jih iščete.
Drugo orodje za računalniško forenziko, ki ga bo prepoznala večina uporabnikov sistema Windows, je „Nedavne dejavnosti"Orodje. Čeprav je videti podobno kot "Nedavni dokumenti"Orodje, ta pripomoček dejansko kopa precej globlje in išče MRU zapise, USB zapise, piškotke, prenose in drugo. Lastnik je morda že poskusil očistiti računalnik, vendar mnogi ne razumejo vseh krajev, v katerih je zabeležena dejavnost - zato lahko v tem orodju najdejo preostale sledi te dejavnosti.
Druga zelo kul funkcija je "Izbrisano iskanje datotek"Orodje, ki vam omogoča presejanje zapisov za kakršne koli znake dvomljivih nedavno izbrisanih datotek. Opazil sem, da ta posebnost ni brezhibna. Poskusila bo prepoznati elemente v sledovih vseh izbrisanih datotek, vendar ni vedno uspešna.
In končno, ko resnično obupate najti nekaj preostalih dokazov za kaznivo dejanje, boste morda morali vzeti "pregledovalnik pomnilnika"Za vožnjo. Ta računalniška aplikacija za forenziko prikazuje vse naslove trdega pomnilnika in koliko informacij je shranjenih. Vsebino pomnilnika lahko izstavite v datoteko CSV, da lahko pokukate naokoli za kakršne koli namige ali pištolo za kajenje.
Kot lahko vidite, je OSForensics precej zmogljiva programska oprema za vsakogar, ki ima včasih nesrečna naloga preiskave računalniškega sistema nekoga, ki je obtožen nekaj narobe. Včasih lahko pravilna, temeljita forenzična preiskava računalnika pokaže prepričljive dokaze, ki lahko naredijo ali zlomijo primer.
Ste že kdaj uporabljali OSForensics? Kaj misliš? Ali poznate še kakšne podobne aplikacije, ki so ravno tako dobre ali boljše? Delite svoje misli v spodnjem razdelku s komentarji.
Kreditna slika: Peter Hostermann
Ryan ima diplomo iz elektrotehnike. 13 let je delal v avtomatizacijskem inženiringu, 5 let v IT, zdaj pa je inženir Apps. Nekdanji glavni urednik MakeUseOf je govoril na nacionalnih konferencah o vizualizaciji podatkov in je bil predstavljen na nacionalni televiziji in radiu.
