Phenquestions
Erstellen Sie eine Kopie des USB-Laufwerks
Als erstes machen wir eine Kopie des USB-Sticks. In diesem Fall funktionieren regelmäßige Backups nicht. Dies ist ein sehr wichtiger Schritt, und wenn er falsch gemacht wird, geht die ganze Arbeit verloren. Verwenden Sie den folgenden Befehl, um alle an das System angeschlossenen Laufwerke aufzulisten:
[email protected]:~$ sudo fdisk -lUnter Linux unterscheiden sich die Laufwerksnamen von Windows. In einem Linux-System, hda und hdb werden verwendet (sda, sdb, sdc, usw.) für SCSI, im Gegensatz zu Windows-Betriebssystemen.
Da wir nun den Laufwerksnamen haben, können wir seinen erstellen .dd Bild bitweise mit dem dd Dienstprogramm, indem Sie den folgenden Befehl eingeben:
[email protected]:~$ sudo dd if=/dev/sdc1 of=usb.dd bs=512 count=1wenn=der Speicherort des USB-Laufwerks
von=das Ziel, an dem das kopierte Bild gespeichert wird (kann ein lokaler Pfad auf Ihrem System sein, z.G. /home/user/usb.tt)
bs=die Anzahl der Bytes, die gleichzeitig kopiert werden
Um den Nachweis zu sichern, dass wir die Original-Image-Kopie des Laufwerks haben, verwenden wir hashing um die Integrität des Bildes zu wahren. Hashing liefert einen Hash für das USB-Laufwerk. Wenn ein einzelnes Datenbit geändert wird, wird der Hash vollständig geändert und man weiß, ob die Kopie gefälscht oder original ist. Wir werden einen md5-Hash des Laufwerks generieren, damit im Vergleich zum Original-Hash des Laufwerks niemand die Integrität der Kopie in Frage stellen kann.
[email protected]:~$ md5sum usb.ddDadurch wird ein MD5-Hash des Bildes bereitgestellt. Jetzt können wir unsere forensische Analyse auf diesem neu erstellten Image des USB-Laufwerks zusammen mit dem Hash starten.
Bootsektor-Layout
Das Ausführen des Dateibefehls gibt das Dateisystem sowie die Geometrie des Laufwerks zurück:
[email protected]:~$ Datei usb.ddOK.dd: DOS/MBR Bootsektor, Codeoffset 0x58+2, OEM-ID "MSDOS5.0",
Sektoren/Cluster 8, reservierte Sektoren 4392, Mediendeskriptor 0xf8,
Sektoren/Spur 63, Köpfe 255, versteckte Sektoren 32, Sektoren 1953760 (Volumen > 32 MB),
FAT (32 Bit), Sektoren/FAT 1900, reserviert 0x1, Seriennummer 0x6efa4158, unbeschriftet
Jetzt können wir die mininfo Tool, um das NTFS-Bootsektor-Layout und die Bootsektor-Informationen über den folgenden Befehl abzurufen:
[email protected]:~$ mininfo -i usb.ddGeräteinformation:
===================
Dateiname="ok.tt"
Sektoren pro Spur: 63
Köpfe: 255
Zylinder: 122
mformat-Befehlszeile: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
Informationen zum Bootsektor
======================
Banner: "MSDOS5.0"
Sektorgröße: 512 Byte
Clustergröße: 8 Sektoren
reservierte (Boot-)Sektoren: 4392
Fette: 2
maximal verfügbare Root-Verzeichnis-Slots: 0
geringe Größe: 0 Sektoren
Mediendeskriptorbyte: 0xf8
Sektoren pro Fett: 0
Sektoren pro Spur: 63
Köpfe: 255
versteckte Sektoren: 32
große Größe: 1953760 Sektoren
physische Laufwerks-ID: 0x80
reserviert=0x1
dos4=0x29
Seriennummer: 6EFA4158
Datenträgerbezeichnung = "KEIN NAME"
Datenträgertyp = "FAT32"
Big fatlen=1900
Erweiterte Flags=0x0000
FS-Version=0x0000
rootCluster=2
infoSektor-Standort=1
Bootsektor sichern=6
Infosektor:
Signatur=0x41615252
freie Cluster = 243159
zuletzt zugewiesener Cluster=15
Ein weiterer Befehl, der fstat Befehl, kann verwendet werden, um allgemeine bekannte Informationen wie Zuordnungsstrukturen, Layout und Boot-Blöcke über das Geräte-Image abzurufen. Dazu verwenden wir den folgenden Befehl:
[email protected]:~$ fstat usb.dd--------------------------------------------
Dateisystemtyp: FAT32
OEM-Name: MSDOS5.0
Volume-ID: 0x6efa4158
Datenträgerbezeichnung (Bootsektor): KEIN NAME
Datenträgerbezeichnung (Root-Verzeichnis): KINGSTON
Typenschild des Dateisystems: FAT32
Nächster freier Sektor (FS Info): 8296
Anzahl freier Sektoren (FS Info): 1945272
Sektoren vor Dateisystem: 32
Dateisystem-Layout (in Sektoren)
Gesamtbereich: 0 - 1953759
* Reserviert: 0 - 4391
** Bootsektor: 0
** FS-Infosektor: 1
** Backup-Boot-Sektor: 6
* FETT 0: 4392 - 6291
* FETT 1: 6292 - 8191
* Datenbereich: 8192 - 1953759
** Cluster-Bereich: 8192 - 1953759
*** Stammverzeichnis: 8192 - 8199
METADATEN-INFORMATIONEN
--------------------------------------------
Bereich: 2 - 31129094
Stammverzeichnis: 2
INHALTSINFORMATIONEN
--------------------------------------------
Sektorgröße: 512
Clustergröße: 4096
Gesamt-Cluster-Bereich: 2 - 243197
FETTGEHALT (in Sektoren)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Gelöschte Dateien
Das Detektiv-Kit bietet die fls Tool, das alle Dateien (insbesondere kürzlich gelöschte Dateien) in jedem Pfad oder in der angegebenen Bilddatei bereitstellt. Alle Informationen zu gelöschten Dateien finden Sie mit dem fls Nützlichkeit. Geben Sie den folgenden Befehl ein, um das fls-Tool zu verwenden:
[email protected]:~$ fls -rp -f fat32 usb.ddr/r 3: KINGSTON (Eingabe der Datenträgerbezeichnung)
d/d 6: Informationen zum Systemvolumen
r/r 135: System Volume Information/WPSettings.dat
r/r 138: System Volume Information/IndexerVolumeGuid
r/r * 14: Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv
r/r * 22: Game of Thrones 2 (Pretcakalp) 720 x 264 DDP 5.1 ESub - xRG.mkv
r/r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r/r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d/d * 41: Ozeane Zwölf (2004)
r/r 45: MINUTEN VON PC-I GEHALTEN AUF 23.01.2020.docx
r/r * 49: MINUTEN LEC GEHALTEN AUF 10.02.2020.docx
r/r * 50: Windump.exe
r/r * 51: _WRL0024.tmp
r/r 55: LEC-MINUTEN AUF 10.02.2020.docx
d/d * 57: Neuer Ordner
d/d * 63: Ausschreibung für Netzinfrastrukturausrüstung infrastructure
r/r * 67: AUSSCHREIBUNGSMITTEILUNG (Mega PC-I) Phase-II.docx
r/r * 68: _WRD2343.tmp
r/r * 69: _WRL2519.tmp
r/r 73: AUSSCHREIBUNG (Mega PC-I) Phase-II.docx
v/v 31129091: $MBR
v/v 31129092: $FAT1
v/v 31129093: $FAT2
d/d 31129094: $OrphanFiles
-/r * 22930439: $bad_content1
-/r * 22930444: $bad_content2
-/r * 22930449: $bad_content3
Hier haben wir alle relevanten Dateien erhalten. Die folgenden Operatoren wurden mit dem fls-Befehl verwendet:
-p = wird verwendet, um den vollständigen Pfad jeder wiederhergestellten Datei anzuzeigen
-r =wird verwendet, um die Pfade und Ordner rekursiv anzuzeigen
-f =der Typ des verwendeten Dateisystems (FAT16, FAT32 usw.).)
Die obige Ausgabe zeigt, dass das USB-Laufwerk viele Dateien enthält. Die wiederhergestellten gelöschten Dateien werden mit einem „*" Schild. An den genannten Dateien sieht man, dass etwas nicht normal ist $bad_content1, $bad_content2, $bad_content3, und windump.exe. Windump ist ein Tool zur Erfassung des Netzwerkverkehrs. Mit dem Windump-Tool kann man Daten erfassen, die nicht für denselben Computer bestimmt sind. Die Absicht zeigt sich in der Tatsache, dass die Software Windump den spezifischen Zweck hat, den Netzwerkverkehr zu erfassen und absichtlich verwendet wurde, um Zugang zu den persönlichen Mitteilungen eines legitimen Benutzers zu erhalten.
Zeitachsenanalyse
Nachdem wir nun ein Bild des Dateisystems haben, können wir eine MAC-Zeitachsenanalyse des Bildes durchführen, um eine Zeitachse zu generieren und den Inhalt mit Datum und Uhrzeit in einem systematischen, lesbaren Format zu platzieren. Beide fls und ils Befehle können verwendet werden, um eine Zeitachsenanalyse des Dateisystems zu erstellen. Für den fls-Befehl müssen wir angeben, dass die Ausgabe im MAC-Timeline-Ausgabeformat erfolgt. Dazu führen wir die fls Befehl mit dem -ich markieren und die Ausgabe in eine Datei umleiten. Wir werden auch die -ich Flagge mit der ils Befehl.
[email protected]:~$ fls -m / -rp -f fat32 ok.dd > usb.fls[email protected]:~$ Katze usb.fls
0|/KINGSTON (Datenträgerbezeichnung)|3|r/rrwxrwxrwx|0|0|0|0|1531155908|0|0
0|/Informationen zum Systemvolumen|6|d/dr-xr-xr-x|0|0|4096|1531076400|1531155908|0|1531155906
0|/Informationen zur Systemlautstärke/WPSettings.dat|135|r/rrwxrwxrwx|0|0|12|1532631600|1531155908|0|1531155906
0|/System Volume Information/IndexerVolumeGuid|138|r/rrwxrwxrwx|0|0|76|1532631600|1531155912|0|1531155910
0|Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv (gelöscht)|14|r/rrwxrwxrwx|0|0|535843834|1531076400|1531146786|0|1531155918
0|Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv(gelöscht)|22|r/rrwxrwxrwx|0|0|567281299|1531162800|1531146748|0|1531121599
0|/Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv(gelöscht)|30|r/rrwxrwxrwx|0|0|513428496|1531162800|1531146448|0|1531121607
0|/Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv(gelöscht)|38|r/rrwxrwxrwx|0|0|567055193|1531162800|1531146792|0|1531121680
0|/Oceans Twelve (2004) (gelöscht)|41|d/drwxrwxrwx|0|0|0|1532545200|1532627822|0|1532626832
0|/MINUTEN VON PC-I GEHALTEN AUF 23.01.2020.docx|45|r/rrwxrwxrwx|0|0|33180|1580410800|1580455238|0|1580455263
0|/MINUTEN LEC GEHALTEN AUF 10.02.2020.docx (gelöscht)|49|r/rrwxrwxrwx|0|0|46659|1581966000|1581932204|0|1582004632
0|/_WRD3886.tmp (gelöscht)|50|r/rrwxrwxrwx|0|0|38208|1581966000|1582006396|0|1582004632
0|/_WRL0024.tmp (gelöscht)|51|r/rr-xr-xr-x|0|0|46659|1581966000|1581932204|0|1582004632
0|/MINUTEN LEC GEHALTEN AUF 10.02.2020.docx|55|r/rrwxrwxrwx|0|0|38208|1581966000|1582006396|0|1582004632
(gelöscht)|67|r/rrwxrwxrwx|0|0|56775|1589482800|1589528598|0|1589528701
0|/_WRD2343.tmp (gelöscht)|68|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/_WRL2519.tmp (gelöscht)|69|r/rr-xr-xr-x|0|0|56775|1589482800|1589528598|0|1589528701
0|/AUSSCHREIBUNG (Mega PC-I) Phase-II.docx|73|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/$MBR|31129091|v/v---------|0|0|512|0|0|0|0
0|/$FAT1|31129092|v/v---------|0|0|972800|0|0|0|0
0|/$FAT2|31129093|v/v---------|0|0|972800|0|0|0|0
0|/Neuer Ordner (gelöscht)|57|d/drwxrwxrwx|0|0|4096|1589482800|1589528384|0|1589528382
0|Windluft.exe (gelöscht)|63|d/drwxrwxrwx|0|0|4096|1589482800|1589528384|0|1589528382
0|/AUSSCHREIBUNG (Mega PC-I) Phase-II.docx (gelöscht)|67|r/rrwxrwxrwx|0|0|56775|1589482800|1589528598|0|1589528701
0|/_WRD2343.tmp (gelöscht)|68|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/_WRL2519.tmp (gelöscht)|69|r/rr-xr-xr-x|0|0|56775|1589482800|1589528598|0|1589528701
0|/AUSSCHREIBUNG (Mega PC-I) Phase-II.docx|73|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/$MBR|31129091|v/v---------|0|0|512|0|0|0|0
0|/$FAT1|31129092|v/v---------|0|0|972800|0|0|0|0
0|/$FAT2|31129093|v/v---------|0|0|972800|0|0|0|0
0|/$OrphanFiles|31129094|d/d--------|0|0|0|0|0|0|0
0|/$$bad_content 1 (gelöscht)|22930439|-/rrwxrwxrwx|0|0|59|1532631600|1532627846|0|1532627821
0|/$$bad_content 2 (gelöscht)|22930444|-/rrwxrwxrwx|0|0|47|1532631600|1532627846|0|1532627821
0|/$$bad_content 3 (gelöscht)|22930449|-/rrwxrwxrwx|0|0|353|1532631600|1532627846|0|1532627821
Führen Sie die mactime Tool, um eine Timeline-Analyse mit dem folgenden Befehl zu erhalten:
[email protected]:~$ Katze usb.fls > usb.MacGeben Sie den folgenden Befehl ein, um diese Mactime-Ausgabe in eine lesbare Form zu konvertieren:
[email protected]:~$ mactime -b usb.mac > usb.mactime[email protected]:~$ Katze usb.mactime Do 26 Jul 2018 22:57:02 0 m… d/drwxrwxrwx 0 0 41 /Oceans Twelve (2004) (gelöscht)
Do 26 Jul 2018 22:57:26 59 m… -/rrwxrwxrwx 0 0 22930439 /Game of Thrones 4 720p x264 DDP 5.1 ESub -(gelöscht)
47 m… -/rrwxrwxrwx 0 0 22930444 /Game of Thrones 4 720p x264 DDP 5.1 ESub - (gelöscht)
353 m… -/rrwxrwxrwx 0 0 22930449 //Game of Thrones 4 720p x264 DDP 5.1 ESub - (gelöscht)
Fr 27 Jul 2018 00:00:00 12 .a… r/rrwxrwxrwx 0 0 135 /System Volume Information/WPSettings.dat
76 .a… r/rrwxrwxrwx 0 0 138 /System Volume Information/IndexerVolumeGuid
59 .a… -/rrwxrwxrwx 0 0 22930439 /Game of Thrones 3 720p x264 DDP 5.1 ESub 3(gelöscht)
47 .a… -/rrwxrwxrwx 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (gelöscht)
353 .a… -/rrwxrwxrwx 0 0 22930449 /Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (gelöscht)
Fr 31. Jan. 2020 00:00:00 33180 .a… r/rrwxrwxrwx 0 0 45 /MINUTEN PC-I GEHALTEN AUF 23.01.2020.docx
Fr 31. Januar 2020 12:20:38 33180 m… r/rrwxrwxrwx 0 0 45 /MINUTES PC-I HELD ON 23.01.2020.docx
Fr 31. Januar 2020 12:21:03 33180… b r/rrwxrwxrwx 0 0 45 /MINUTES PC-I HELD ON 23.01.2020.docx
Mo 17 Feb 2020 14:36:44 46659 m… r/rrwxrwxrwx 0 0 49 /MINUTES OF LEC HELD ON 10.02.2020.docx (gelöscht)
46659 m… r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (gelöscht)
Di 18. Feb. 2020 00:00:00 46659 .a… r/rrwxrwxrwx 0 0 49 /Game of Thrones 2 720p x264 DDP 5.1 ESub -(gelöscht)
38208 .a… r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (gelöscht)
Di 18. Februar 2020 10:43:52 46659… b r/rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (gelöscht)
46659… b r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (gelöscht)
38208… b r/rrwxrwxrwx 0 0 55 /MINUTEN LEC GEHALTEN AUF 10.02.2020.docx
Di 18. Feb 2020 11:13:16 38208 m… r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (gelöscht)
46659 .a… r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (gelöscht)
38208 .a… r/rrwxrwxrwx 0 0 55 /MINUTEN LEC GEHALTEN AUF 10.02.2020.docx
Di 18. Februar 2020 10:43:52 46659… b r/rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208… b r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (gelöscht)
46659… b r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (gelöscht)
38208… b r/rrwxrwxrwx 0 0 55 /MINUTEN LEC GEHALTEN AUF 10.02.2020.docx
Di 18. Feb 2020 11:13:16 38208 m… r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (gelöscht)
38208 m… r/rrwxrwxrwx 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 ESub -
Fr. 15. Mai 2020 00:00:00 4096 .a… d/drwxrwxrwx 0 0 57 /Neuer Ordner (gelöscht)
4096 .a… d/drwxrwxrwx 0 0 63 /Ausschreibung für Netzinfrastrukturausrüstung für IIUI (gestrichen)
56775 .a… r/rrwxrwxrwx 0 0 67 /AUSSCHREIBUNG (Mega PC-I) Phase-II.docx (gelöscht)
56783 .a… r/rrwxrwxrwx 0 0 68 /_WRD2343.tmp (gelöscht)
56775 .a… r/rr-xr-xr-x 0 0 69 /_WRL2519.tmp (gelöscht)
56783 .a… r/rrwxrwxrwx 0 0 73 /AUSSCHREIBUNG (Mega PC-I) Phase-II.docx
Fr 15. Mai 2020 12:39:42 4096… b d/drwxrwxrwx 0 0 57 /Neuer Ordner (gelöscht)
4096… b d/drwxrwxrwx 0 0 63 /Ausschreibung für Netzinfrastrukturausrüstung für IIUI (gestrichen)
Fr 15. Mai 2020 12:39:44 4096 m… d/drwxrwxrwx 0 0 57 $$bad_content 3(gelöscht)
4096 m… d/drwxrwxrwx 0 0 63 /Ausschreibung für Netzinfrastrukturausrüstung für IIUI (gestrichen)
Fr 15. Mai 2020 12:43:18 56775 m… r/rrwxrwxrwx 0 0 67$$bad_content 1 (gelöscht)
56775 m… r/rr-xr-xr-x 0 0 69 /_WRL2519.tmp (gelöscht)
Fr 15. Mai 2020 12:45:01 56775… b r/rrwxrwxrwx 0 0 67 $$bad_content 2 (gelöscht)
56783… b r/rrwxrwxrwx 0 0 68 /_WRD2343.tmp (gelöscht)
56775… b r/rr-xr-xr-x 0 0 69 /_WRL2519.tmp (gelöscht)
56783… b r/rrwxrwxrwx 0 0 73 /AUSSCHREIBUNG (Mega PC-I) Phase-II.docx
Fr 15. Mai 2020 12:45:36 56783 m… r/rrwxrwxrwx 0 0 68 windump.exe (gelöscht)
56783 m… r/rrwxrwxrwx 0 0 73 /AUSSCHREIBUNG (Mega PC-I) Phase-II.docx
Alle Dateien sollten mit einem Zeitstempel in einem für Menschen lesbaren Format in der Datei wiederhergestellt werdenUSB.mactime.”
Tools für die USB-Forensik-Analyse
Es gibt verschiedene Tools, die verwendet werden können, um eine forensische Analyse auf einem USB-Laufwerk durchzuführen, wie z Detektiv-Kit-Autopsie, FTK-Imager, An erster Stelle, usw. Zuerst schauen wir uns das Autopsie-Tool an.
Autopsie
Autopsie wird verwendet, um Daten aus verschiedenen Arten von Bildern zu extrahieren und zu analysieren, z. B. AFF-Bilder (Advance Forensic Format), .dd-Bilder, Rohbilder usw. Dieses Programm ist ein leistungsstarkes Werkzeug, das von forensischen Ermittlern und verschiedenen Strafverfolgungsbehörden verwendet wird. Die Autopsie besteht aus vielen Werkzeugen, die Ermittlern helfen können, ihre Arbeit effizient und reibungslos zu erledigen. Das Autopsie-Tool ist sowohl für Windows- als auch für UNIX-Plattformen kostenlos erhältlich.
Um ein USB-Image mit Autopsie zu analysieren, müssen Sie zuerst einen Fall erstellen, einschließlich des Schreibens der Namen der Ermittler, des Aufzeichnens des Fallnamens und anderer Informationsaufgaben. Der nächste Schritt besteht darin, das Quell-Image des USB-Laufwerks zu importieren, das zu Beginn des Prozesses erhalten wurde dd Nützlichkeit. Dann lassen wir das Autopsie-Tool das tun, was es am besten kann.
Die Menge der bereitgestellten Informationen von Autopsie ist riesig. Autopsy liefert die ursprünglichen Dateinamen und ermöglicht Ihnen auch, die Verzeichnisse und Pfade mit allen Informationen zu den relevanten Dateien zu untersuchen, wie z zugegriffen, geändert, geändert, Datum, und Zeit. Die Metadaten-Informationen werden ebenfalls abgerufen und alle Informationen werden professionell sortiert. Um die Dateisuche zu erleichtern, bietet Autopsy eine Schlagwortsuche Option, die es dem Benutzer ermöglicht, schnell und effizient eine Zeichenfolge oder Zahl aus den abgerufenen Inhalten zu suchen.
Im linken Bereich der Unterkategorie von Datentypen, Sie sehen eine Kategorie namens „Gelöschte Dateien” enthält die gelöschten Dateien aus dem gewünschten Laufwerks-Image mit allen Metadaten- und Timeline-Analyseinformationen.
Autopsie ist die grafische Benutzeroberfläche (GUI) für das Befehlszeilentool Detektiv-Kit und ist aufgrund seiner Integrität, Vielseitigkeit, Benutzerfreundlichkeit und der Fähigkeit, schnelle Ergebnisse zu erzielen, auf dem höchsten Niveau in der forensischen Welt. Die Forensik von USB-Geräten kann genauso einfach durchgeführt werden Autopsie wie bei jedem anderen kostenpflichtigen Tool.
FTK-Imager
FTK Imager ist ein weiteres großartiges Tool zum Abrufen und Erfassen von Daten aus verschiedenen bereitgestellten Bildern. FTK Imager hat auch die Möglichkeit, eine Bit-für-Bit-Bildkopie zu erstellen, so dass kein anderes Tool wie dd oder dcfldd wird dafür benötigt. Diese Kopie des Laufwerks enthält alle Dateien und Ordner, den nicht zugewiesenen und freien Speicherplatz und die gelöschten Dateien, die im freien oder nicht zugewiesenen Speicherplatz verbleiben. Das grundlegende Ziel bei der forensischen Analyse von USB-Laufwerken besteht hier darin, das Angriffsszenario zu rekonstruieren oder neu zu erstellen.
Wir werfen nun einen Blick auf die Durchführung einer USB-Forensik-Analyse eines USB-Images mit dem FTK Imager-Tool.
Fügen Sie zunächst die Bilddatei zu . hinzu FTK-Imager Beim Klicken Datei >> Beweiselement hinzufügen.
Wählen Sie nun den Dateityp aus, den Sie importieren möchten. In diesem Fall handelt es sich um eine Image-Datei eines USB-Laufwerks.
Geben Sie nun den vollständigen Speicherort der Bilddatei ein. Denken Sie daran, dass Sie für diesen Schritt einen vollständigen Pfad angeben müssen. Klicken Fertig um mit der Datenerfassung zu beginnen, und lassen Sie die FTK-Imager mach den Job. Nach einiger Zeit liefert das Tool die gewünschten Ergebnisse.
Hier ist das erste, was Sie tun müssen, um zu überprüfen Bildintegrität indem Sie mit der rechten Maustaste auf den Bildnamen klicken und auswählen Bild überprüfen. Das Tool sucht nach passenden md5- oder SHA1-Hashes, die mit den Bildinformationen bereitgestellt werden, und teilt Ihnen auch mit, ob das Bild manipuliert wurde, bevor es in das importiert wird FTK-Imager Werkzeug.
Jetzt, Export die angegebenen Ergebnisse in den Pfad Ihrer Wahl, indem Sie mit der rechten Maustaste auf den Bildnamen klicken und das Export Möglichkeit, es zu analysieren. Das FTK-Imager erstellt ein vollständiges Datenprotokoll des forensischen Prozesses und legt diese Protokolle im selben Ordner wie die Bilddatei ab.
Analyse
Die wiederhergestellten Daten können in jedem Format vorliegen, wie z. B. tar, zip (für komprimierte Dateien), png, jpeg, jpg (für Bilddateien), mp4, avi-Format (für Videodateien), Barcodes, PDFs und andere Dateiformate. Sie sollten die Metadaten der angegebenen Dateien analysieren und auf Barcodes in Form von a QR-Code. Dies kann in einer PNG-Datei sein und kann mit dem abgerufen werden ZBAR Werkzeug. In den meisten Fällen werden docx- und pdf-Dateien verwendet, um statistische Daten zu verbergen, daher müssen sie unkomprimiert sein. Kdbx Dateien können geöffnet werden durch Keepass; das Passwort wurde möglicherweise in anderen wiederhergestellten Dateien gespeichert, oder wir können jederzeit Bruteforce durchführen.
An erster Stelle
Foremost ist ein Tool zum Wiederherstellen gelöschter Dateien und Ordner aus einem Laufwerksabbild mithilfe von Kopf- und Fußzeilen. Wir werden einen Blick auf die Manpage von Foremost werfen, um einige leistungsstarke Befehle in diesem Tool zu erkunden:
[email protected]:~$ Mann zuerst-a Ermöglicht das Schreiben aller Header, führt keine Fehlererkennung in Bezug auf
von beschädigten Dateien.
-b Zahl
Ermöglicht Ihnen, die in erster Linie verwendete Blockgröße anzugeben. Das ist
relevant für Dateibenennung und Schnellsuche. Die Standardeinstellung ist
512. dh. vor allem -b 1024 Bild.dd
-q (Schnellmodus):
Aktiviert den Schnellmodus. Im Schnellmodus nur der Anfang jedes Sektors
wird nach passenden Headern gesucht. Das heißt, der Header ist
nur bis zur Länge des längsten Headers gesucht. Der Rest
des Sektors, normalerweise etwa 500 Byte, wird ignoriert. Dieser Modus
lässt den Ersten erheblich schneller laufen, aber es kann dazu führen, dass Sie
verpassen Sie Dateien, die in andere Dateien eingebettet sind. Zum Beispiel mit
Im Schnellmodus können Sie keine eingebetteten JPEG-Bilder finden
Microsoft Word-Dokumente.
Der Schnellmodus sollte nicht verwendet werden, wenn NTFS-Dateisysteme untersucht werden.
Da NTFS kleine Dateien im Master File Ta speichert
ble, werden diese Dateien im Schnellmodus übersehen.
-a Ermöglicht das Schreiben aller Header, führt keine Fehlererkennung in Bezug auf
von beschädigten Dateien.
-i (Eingabe) Datei:
Die mit der Option i verwendete Datei wird als Eingabedatei verwendet.
Falls keine Eingabedatei angegeben ist, wird stdin verwendet, um c.
Die mit der Option i verwendete Datei wird als Eingabedatei verwendet.
Falls keine Eingabedatei angegeben ist, wird stdin verwendet, um c.
Um die Arbeit zu erledigen, verwenden wir den folgenden Befehl:
[email protected]:~$ vor allem usb.ddNachdem der Vorgang abgeschlossen ist, befindet sich eine Datei im /Ausgabe Ordner namens Text die Ergebnisse enthalten.
Fazit
Forensik von USB-Laufwerken ist eine gute Fähigkeit, Beweise abzurufen und gelöschte Dateien von einem USB-Gerät wiederherzustellen sowie zu identifizieren und zu untersuchen, welche Computerprogramme bei dem Angriff verwendet wurden. Anschließend können Sie die Schritte zusammenstellen, die der Angreifer möglicherweise unternommen hat, um die Behauptungen des rechtmäßigen Benutzers oder Opfers zu beweisen oder zu widerlegen. Damit niemand einer Cyberkriminalität mit USB-Daten davonkommt, ist USB-Forensik ein unverzichtbares Werkzeug. USB-Geräte enthalten in den meisten Fällen der Forensik wichtige Beweise und manchmal können die von einem USB-Laufwerk erhaltenen Forensikdaten bei der Wiederherstellung wichtiger und wertvoller persönlicher Daten helfen.
