Autopsie is software die wordt gebruikt voor forensische beeldanalyse op de harde schijf. Het is een gratis en open source-interface waarmee u partities of schijfkopieën kunt zoeken en analyseren.
De Autopsy-tool kan op verschillende besturingssystemen werken, zoals:
- Linux
- ramen
- Mac OS X
- Gratis BSD
Autopsy is een digitaal forensisch analyseplatform en de grafische interface van Sleuthkit en andere digitale forensische tools. Het wordt gebruikt door regeringen en publieke en private entiteiten, door veiligheidstroepen zoals politie en leger, maar ook door professionals en computerexperts om te onderzoeken wat er op een computer is gebeurd. Na een incident, zoals een aanval of een storing, kunt u door opslagapparaten bladeren om bestanden te herstellen, naar systeemmanipulaties te zoeken en foto's, afbeeldingen of video's te herstellen.
Eerst moeten we Autopsy in Linux installeren, het komt in de repositories, in Windows kun je het hier downloaden:
AUTOPSIE DOWNLOADEN
In deze tutorial zullen we de Autopsie-installatie op Linux. We openen een terminalvenster en typen de volgende opdrachten:
1. We installeren het TSK-framework
sudo apt-get install sleuthkit2. Dan installeren we Autopsie
apt-krijg autopsieHet TSK-framework bevat de set bibliotheken en modules die kunnen worden gebruikt om plug-ins en opdrachten te ontwikkelen voor computerforensische vaardigheden. Het TSK-framework is een opdrachtregelinterface die verschillende modules gebruikt om schijfkopieën te analyseren.
Dan kunnen we de applicatie starten vanuit een terminalvenster met behulp van de opdracht:
sudo autopsie
Vervolgens gaan we naar een willekeurige browser en schrijven de URL http: // localhost: 9999 / autopsie dat Autopsie ons vertelt dat het als een server zal functioneren zolang we het hebben draaien.
Voordat we verder gaan, hebben we de afbeelding van sommige apparaten nodig, we kunnen een afbeelding van onze schijf maken of we kunnen voorbeeldafbeeldingen op internet verkrijgen, bijvoorbeeld op de website http://dftt.sourceforge.net/ we kunnen er verschillende downloaden afbeeldingen die verschillende problemen opleveren om te analyseren.
We kunnen bijvoorbeeld enkele van de volgende afbeeldingen downloaden.
JPEG.webp-zoekopdracht: Deze testafbeelding is een Windwos XP NTFS-bestandssysteem met 10 jpg.webp-afbeeldingen in verschillende mappen. Afbeeldingen omvatten bestanden met onjuiste extensies, afbeeldingen die zijn ingesloten in zip en Word-bestanden. Hier kunnen we werken aan beeldherstel. We kunnen JPEG.webp Search hier downloaden.
NTFS-verwijdering ongedaan maken: Deze testafbeelding is een 6 MB NTFS-bestandssysteem met acht verwijderde bestanden, twee verwijderde mappen en een alternatieve gegevensstroom verwijderd. De bestanden variëren van residente bestanden, individuele clusterbestanden en meerdere shards. Er zijn in dit proces geen datastructuren gewijzigd om het herstel te dwarsbomen. Ze zijn gemaakt op Windows XP, verwijderd op XP en afgebeeld op Linux. We kunnen NTFS Undelete downloaden vanaf hier.
We kunnen ook een schijfkopie maken van Linux, we ontdekken wat de partities zijn met de volgende opdrachten:
sudo fdisk -l
Om bijvoorbeeld een exacte kopie te maken van de opstartpartitie, die we als back-upbestand kunnen gebruiken, gebruiken we de volgende commando's:
dd if = / dev / partition-to-save of = /home/directory/copy-partition.imgIn dit geval is dit de hoofdpartitie:
dd if = / dev / sda1 of = / home / mijngebruiker / partitie-sda1-HDD.imgWe kunnen ook software gebruiken zoals Clonezilla, een programma om partities en schijfkopieën, back-upkopieën en systeemherstel vanaf een back-up te maken.
Zodra we de afbeelding hebben om ons forensisch onderzoek uit te voeren, gaan we naar autopsie, voor deze tutorial zullen we gebruiken NTSF-verwijdering ongedaan maken.
De autopsie-interface stelt ons in staat om verschillende gevallen met verschillende afbeeldingen en zelfs meerdere onderzoekers te analyseren, waarna we op de knop klikken Nieuwe zaak of Nieuwe zaak.
Het scherm wordt geopend om een zaak aan te maken waarin we de naam van de zaak zullen toewijzen, zonder spaties, aangezien deze naam een map wordt waarin de informatie die in het onderzoek is verzameld, wordt opgeslagen. In dit geval zal de naam EmpresaSA zijn, dan zullen we een beschrijving van de zaak toevoegen, we zullen ook de namen toevoegen van de onderzoekers die verantwoordelijk zijn voor de zaak, dan klikken we op Nieuwe zaak.
We zullen een scherm zien waarin we worden geïnformeerd dat er een map voor de zaak en een configuratiemap zijn gemaakt.
Vervolgens zullen we de host maken, dat wil zeggen, we zullen de gegevens van de te onderzoeken apparatuur of afbeelding registreren.
We zullen de hostnaam, een beschrijving, de gmt-tijd toevoegen in het geval dat we uit een ander land komen, we kunnen ook de offset-tijd met betrekking tot de computer toevoegen en er zijn databases die hashes van bekende kwaadaardige bestanden bevatten.
Als we een database willen gebruiken, kunnen we de NIST NSRL gebruiken om bekende bestanden te detecteren. De National Software Reference Library-database die hashes bevat die goed of slecht kunnen zijn, afhankelijk van hoe ze zijn geclassificeerd.
Zo kan het bestaan van bepaalde software worden herkend en Autopsy behandelt de bestanden die in de NSRL worden gevonden als bekend en goed of herkent deze niet en geeft niet aan of deze goed of slecht is. We kunnen ook een database implementeren die bekende bestanden negeert.
Aan het einde klikken we op HOST TOEVOEGEN en we gaan naar het scherm dat ons de directory voor deze host laat zien, in hetzelfde geval kunnen we verschillende hosts hebben om te analyseren.
Vervolgens openen we de hostlijst voor dit specifieke geval en dus: start onderzoek op een host of controleer een host.
We klikken op onze host PC031 en dan klikken we op Oke, er wordt een scherm geopend waar we de hostafbeelding zullen toevoegen, hiervoor klikken we op BEELDBESTAND TOEVOEGEN.
Vervolgens gaan we op zoek naar de afbeelding volgens de map waarin we deze hebben:
We kunnen met de rechtermuisknop klikken en de optie selecteren: Kopiëren, dan gaan we naar het scherm host toevoegen en we klikken met de rechtermuisknop en plakken optie dit zal het pad van het afbeeldingsbestand toevoegen, we kunnen het ook schrijven.
Daarnaast zullen we het type afbeelding aangeven als het een schijf of een partitie is en de importmethode, de afbeelding kan vanaf de huidige locatie in Autopsy worden geïmporteerd door middel van een symbolische link, deze te kopiëren of te verplaatsen.
Het afbeeldingsbestand moet leesrechten hebben, anders geeft het een foutmelding als we op . klikken DE VOLGENDE (Volgende)
In dit geval gebruiken we de afbeelding door een kopie te maken, als we de Symlink gebruiken die de link is naar waar de afbeelding is, kunnen we het probleem hebben dat we de afbeelding kunnen beschadigen, als we deze kopiëren, wordt er een kopie gemaakt in de case directory, maar we zullen meer plaats innemen, onthoud dat de bestanden die we gebruiken demo's zijn die ongeveer 150 Megabytes in beslag nemen, een echte afbeelding van een computer of een server kan meerdere Gigabytes in beslag nemen.
Hieronder ziet u enkele details van de afbeelding die we hebben toegevoegd en stelt ons in staat om de integriteit te berekenen of te negeren door middel van: controlesom MD5.
Eindelijk klikken we op TOEVOEGEN o Voeg toe om naar het laatste scherm te gaan waar het ons vertelt dat het proces is beëindigd en we drukken op Oke om in dit geval naar het hostscherm te gaan.
Vervolgens selecteren we de host, in dit geval hebben we er een en klikken op Analyseren beeldanalyse starten. Het analysescherm wordt geopend en we zullen: Afbeeldingsdetails om systeeminformatie te bekijken.
In dit geval kunnen we zien dat het een Windwos XP NTFS-partitie is en andere gegevens over de schijfgrootte en sectoren. Dan kunnen we naar Bestandsanalyse, om de bestands- en directorystructuur te bekijken.
We zien in de mappen de Boot-map die de opstartlogboeken van die partitie bevat, als we klikken, zien we het logboek en kunnen we het in verschillende formaten zien, zoals ASCII, Hexadecimaal en tekst, in dit geval zien we de volgende fout:
Er is een schijfleesfout opgetreden - NTLDR ontbreekt
Het Windows XP NTLDR-bestand is een essentieel onderdeel van de opstartsector en het opstarten van Windows XP. De computer start niet op, hij zal niet opstarten als dat bestand beschadigd is.
Als we dan op de dir-link in de kolom klikken Type, kunnen we door de mappen navigeren en verwijderde bestanden bekijken om te proberen ze te herstellen.
Computer forensics maakt de identificatie en ontdekking van relevante informatie in gegevensbronnen mogelijk zoals afbeeldingen van harde schijven, USB-sticks, snapshots van netwerkverkeer of computergeheugendumps.
Door alles samen te vatten wat met autopsie is gedaan, kunnen we een zaak heropenen, aangezien wat we doen, wordt opgeslagen of een nieuwe zaak wordt gemaakt, waarbij een zaak meerdere hosts of computers of partities van een logische eenheid bevat die alles met betrekking tot het onderzoek zal bevatten.
Daarom wordt bij het aanmaken van een zaak informatie ingevoerd zoals uw identificerende naam en de persoon die de gegevens zal onderzoeken. De volgende stap bestaat uit het koppelen van een of meer hosts aan de zaak, die overeenkomen met de afbeeldingen die we gaan analyseren, of een forensisch beeld dat eerder is verkregen van de computer of server die moet worden geanalyseerd.
Vervolgens sluiten we deze case door op Close en vervolgens op Close host te klikken, en we zullen een nieuwe host binnen de case toevoegen, hiervoor hebben we de afbeelding nodig JPEG.webp-zoekopdracht, afbeelding die we eerder noemden.
We klikken op HOST TOEVOEGEN Om een nieuwe host toe te voegen die we gaan analyseren, zoeken we in dit geval naar verloren of beschadigde afbeeldingen op een computer in het grafische ontwerpgebied.
Nadat we de host hebben toegevoegd, moeten we de afbeelding toevoegen zoals we eerder deden.
Na het voltooien van het proces gaan we naar de lijst met beschikbare hosts voor dit geval.
Vervolgens selecteren we de host om te onderzoeken en klikken op Oke.
Dan klikken we op Analyseren om de partitieweergave te starten. In dit geval is het een Windows XP-partitie, met een NTFS-bestandssysteem met in totaal 10 JPG.webp-afbeeldingen. De afbeeldingen bevatten bestanden met onjuiste extensies, afbeeldingen die zijn ingesloten in zip- en Word-bestanden en bugs die we moeten vinden en repareren om die bestanden te herstellen.
Het doel van deze partitie-image is om de mogelijkheden te testen van geautomatiseerde tools die zoeken naar JPG.webp-afbeeldingen.
We gaan door de mappen en we zien een knop in de linkerkolom hieronder ALLE BESTANDEN VERWIJDEREN om ons alle verwijderde bestanden te laten zien.
We kunnen ook bestanden exporteren en downloaden om ze te analyseren of te herstellen door op de link te klikken die we willen downloaden, en dan klikken we op Exporteren
Binnenin vinden we een afbeelding en enkele gegevensbestanden. We kunnen ook zoeken naar woorden van Zoeken op sleutelwoorden als bestandsextensies zoals doc of programma's die kunnen werken zoals crack, virussen of iets dat vreemd lijkt.
Alle de verkregen resultaten kunnen worden geëxporteerd naar HTML-documenten klikken op de links Rapport van elk type ASCI, Hexadecimaal of tekstweergave, voor de presentatie van een rapport aan onze klanten of om een database van incidenten bij te houden.
Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven
