reklama
Podle mých vlastních zkušeností je vzácné, že najdete bezplatný software, který s tím dělá dobrou práci. Většina policejních agentur na celém světě nakupuje drahý software pro svou počítačovou forenzní jednotku.
Nicméně, tam jsou zdarma počítače pro řešení problémů a opravy nástrojů tam, jako je aplikace pro obnovu dat 3 Pozoruhodné nástroje pro obnovu souborů Přečtěte si více Guy covered a Net Tools 2008, administrátorský nástroj, který Karl zakryl. Jeden bezplatný nástroj, který je stejně výkonný a schopný tolik platených počítačových forenzních softwarových balíků, se nazývá OSForensics.
Provádění forenzní analýzy
Nejlepší způsob, jak analyzovat a řešit problémy počítačového systému shora dolů, je pomalý a metodický způsob. Skvělá věc na OSForensics je, že je to jako virtuální kufřík, kde můžete uložit veškerou práci, kterou děláte. Pokud máte několik počítačů, na kterých pracujete, můžete tento software nastavit na pracovním počítači a poté namapovat pevný disk vzdáleného počítače pro analýzu. Tento software vám umožní uložit „případ“ pro každý počítač, na kterém pracujete.
Jak můžete vidět na obrázku výše, všechny nástroje jsou seřazeny dolů po levém panelu nabídek. Jediné, co musíte udělat, je postupovat dolů, pokud si nejste jisti, kde začít. Pokud máte na mysli cílenější cíl, přeskočte dopředu do oblasti počítače, který chcete podrobněji prozkoumat. Jedním z nejlepších nástrojů pro všechny podpůrné pracovníky, kteří chtějí identifikovat soubor viru nebo trojského koně, jsou „hash sady.”
Tato oblast umožňuje analyzovat konkrétní aplikace, které definujete, nejen soubory. Každá aplikace má sadu souborů, které si můžete prohlédnout, když dvakrát kliknete na aplikaci. Prohlížeč sady hash zobrazuje všechny výpočty pro každý soubor.
Dalším dostupným nástrojem je schopnost vytvořit „podpis“. To je užitečné z dlouhodobého hlediska studii, pokud existuje podezření, že určité činnosti probíhají na konkrétním místě na internetu počítač.
Můžete vytvořit podpis, který provede snímek souborů a adresářů. Pak můžete použít „porovnat podpis”Nástroj ke kontrole, zda byly změny provedeny několik týdnů nebo měsíců po silnici. Software také obsahuje nástroj pro vyhledávání souborů, kde můžete filtrovat výsledky podle obrázků, kancelářských dokumentů nebo komprimovaných souborů.
Ještě lépe můžete použít jedinečný a velmi užitečný “Neshoda vyhledávání souborů”Nástroj pro procházení podezřelých adresářů a identifikaci všech souborů, které vlastník PC mohl přejmenovat, aby jednoduše zakryl skutečnou identifikaci souboru. Například přejmenování obrazového souboru s příponou „txt“ nebo utajovaný dokument s příponou „.jpg“.
Vraťme se k použití hashova přístupu pro analýzu souborů, „Ověření / vytvoření hash”Utilita vám umožní porovnat známou hašovací hodnotu pro soubor (co má hodnota by měl be) a vypočtená hodnota hash souboru v tomto počítači.
Další oblastí, kde tento software opravdu vyniká ve forenzní analýze, je schopnost prosévat tisíce souborů velmi rychle za účelem identifikace konkrétních textových klíčových slov. Prvním krokem k urychlení procesu je vytvoření indexu pro libovolný adresář v počítači. Až to bude hotovo, bude hlásit počet jedinečných slov nalezených ve všech souborech.
Až bude hotovo, použijte „Index hledání“Můžete procházet soubory, obrázky a e-maily a sledovat, jaký konkrétní výskyt nebo obsah hledáte.
Jiný počítačový forenzní nástroj, který většina uživatelů Windows rozpozná, je „Poslední aktivita" nástroj. I když to vypadá podobně jakoPoslední dokumenty”Nástroj, tento nástroj ve skutečnosti vykopává poněkud hlouběji, prohledává záznamy MRU, záznamy USB, soubory cookie, soubory ke stažení a další. Vlastník se mohl pokusit vyčistit počítač již, ale mnoho lidí nerozumí všem místům, kde je aktivita zaznamenána, takže tento nástroj najde všechny zbývající stopy této aktivity.
Další velmi skvělou vlastností je „Hledání smazaných souborů”, Který vám umožní procházet záznamy pro náznak pochybných nedávno smazaných souborů. Všiml jsem si, že tato konkrétní funkce není blázen. Pokusí se identifikovat stopové prvky všech odstraněných souborů, ale vždy to není úspěšné.
A konečně, když opravdu potřebujete najít nějaké zbývající důkazy o zločinu, možná budete muset vzít „prohlížeč paměti" na projížďku. Tato počítačová forenzní aplikace zobrazuje všechny adresy pevné paměti a kolik informací je uloženo. Můžete vypsat obsah paměti do souboru CSV, abyste se mohli hrabat za jakékoli stopy nebo kouřící zbraň.
Jak vidíte, OSForensics je docela výkonný software pro každého, kdo má někdy nešťastný úkol spočívající v prošetření počítačového systému někoho, kdo je obviněn z toho něco špatně. Řádné důkladné forenzní vyšetřování počítače může někdy ukázat přesvědčivé důkazy, které mohou způsobit nebo zlomit případ.
Už jste někdy použili OSForensics? Co myslíš? Znáte nějaké jiné podobné aplikace, které jsou stejně dobré nebo lepší? Sdílejte své myšlenky v sekci komentářů níže.
Obrazový kredit: Peter Hostermann
Ryan má bakalářský titul z elektrotechniky. Pracoval 13 let v automatizační technice, 5 let v IT a nyní je Apps Engineer. Bývalý šéfredaktor MakeUseOf, vystoupil na národních konferencích o vizualizaci dat a vystupoval v národních televizích a rádiích.