Реклама
Било да се ради о ФБИ-у који је копао у рачунару у власништву хакера, компаније која врши интерну рачунарску ревизију или мрежног администратора који покушава да схвати зашто је вирус настао са одређеног рачунара - суштина је да темељна анализа форензичких рачунара захтева софтвер који може дубоко да копа и ради посао. јел тако.
Према мојим сопственим искуствима, ретко је да можете наћи бесплатан софтвер који вам добро иде. Већина полицијских агенција широм света купује скупи софтвер за јединицу рачунарске форензике.
Међутим, тамо су бесплатни алати за отклањање проблема и поправке рачунара тамо, као што је апликације за опоравак података 3 изузетна алата за опоравак датотека Опширније Момак покривен и Нет Тоолс 2008, администраторски алат који је Карл покривао. Још један бесплатан алат који је подједнако моћан и способан као и многи плаћени рачунарски софтверски форензичари ОСФоренсицс.
Провођење анализе форензике
Најбољи начин за анализу и решавање проблема рачунарског система од врха до дна је спор и методичан начин. Сјајна ствар ОСФоренсицс-а је у томе што је она као виртуална актовка у коју можете сместити сав посао који обављате. Ако имате неколико рачунара на којима радите, можете да поставите овај софтвер на вашем радном рачунару и затим пресликате чврсти диск удаљеног рачунара на анализу. Софтвер ће вам омогућити да сачувате „футролу“ за сваки рачунар на којем радите.
Као што можете видети на горњој слици, сви алати су смјештени низ лијеву траку менија. Све што требате учинити је спустити их ако нисте баш сигурни одакле почети. Ако имате више фокусиран циљ, прескочите на подручје рачунара које желите да поближе истражите. Један од најбољих алата за свако помоћно особље које жели да идентификује вирус или тројанску датотеку су „сетови хасх-а.”
![Истражите или отклоните рачунарске системе помоћу ОСФоренсицс [Виндовс] форензике2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Ово подручје вам омогућава анализу одређених апликација које дефинирате, а не само датотека. Свака апликација има скуп датотека које можете прегледати када двоструко кликнете на апликацију. Хасх Сет Виевер приказује све прорачуне за сваку датотеку.
Следећи алат је могућност креирања „потписа“. Ово је корисно за дугорочно студије, кад се сумња да се одређене активности одвијају на одређеној локацији на рачунар.
Можете да креирате потпис који ће снимити датотеке и директоријуме. Тада можете користити „упоредите потпис„Алатка за проверу да ли су промене направљене неколико недеља или месец на путу. Софтвер такође долази са алатком за претраживање датотека, где можете филтрирати резултате по сликама, канцеларијским документима или компримованим датотекама.
Још боље, можете користити јединствени и веома корисни “Неусклађеност претраживања датотека„Алатка за просијавање сумњивих директоријума и идентификовање датотека које је власник рачунара можда преименовао да би прикрио истинску идентификацију датотеке. На пример, преименовање датотеке слике са екстензијом „ткт“ или класификованог документа са екстензијом „.јпг“.
![Истражите или отклоните рачунарске системе помоћу ОСФоренсицс [Виндовс] форензике5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Повратак на коришћење хасх приступа за анализу датотека,Потврдите / Креирајте Хасх„Услужни програм вам омогућава да упоредите познату хасх вредност за датотеку (која вредност има требало би бити) и израчунату хасх вредност за датотеку на овом рачунару.
Још једна област у којој се овај софтвер заиста истиче у форензичкој анализи је могућност да се брзо просијава на хиљаде датотека како би се идентификовале одређене текстуалне кључне речи. Први корак за убрзавање процеса је креирање индекса за било који директориј на рачунару. Када то учини, известиће о броју јединствених речи које се налазе у свим датотекама.
Када то учините, само користите „Сеарцх Индек"Алат за копање по датотекама, сликама и е-порукама за проналажење било које конкретне појаве или садржаја који тражите.
Још један алат за рачунарску форензику који ће препознати већина Виндовс корисника је „скорашња активност" оруђе. Иако изгледа слично као „Недавни документи"Алат, овај алат заправо копа прилично дубље, претражујући МРУ записе, УСБ записе, колачиће, преузимања и још много тога. Власник је можда већ покушао да очисти рачунар, али многи људи не разумеју сва места у којима је активност евидентирана - тако да овај алат може пронаћи било који преостали траг те активности.
Још једна одлицна карактеристика је „Избрисана претрага датотека“Алатка која вам омогућава пресејање записа за било какве назнаке сумњивих недавно избрисаних датотека. Приметио сам да та особина није сулуда. Покушаће да препозна елементе у траговима свих избрисаних датотека, али то није увек успешно.
Коначно, кад заиста очајнички тражите неке преостале доказе за злочин, можда ћете требати да узмете „прегледник меморије" за вожњу. Ова компјутерска апликација за форензику приказује све адресе тврде меморије и колико података је сачувано. Садржај меморије можете избацити у ЦСВ датотеку тако да можете покуцати около за било какве трагове или пушку за пушење.
Као што видите, ОСФоренсицс је прилично моћан софтвер за оне који то понекад имају несретан задатак да се мора испитати рачунарски систем некога ко је оптужен за то Нешто није у реду. Понекад правилна, темељна форензичка истрага рачунара може створити убедљиве доказе који могу створити или покренути случај.
Да ли сте икада користили ОСФоренсицс? Шта ти мислиш? Знате ли за неку другу сличну апликацију која је подједнако добра или боља? Поделите своје мисли у одељку за коментаре испод.
Кредитна слика: Петер Хостерманн
Риан је дипломирао електротехнику. Радио је 13 година у инжењерству аутоматизације, 5 година у ИТ-у, а сада је Аппс инжењер. Бивши главни уредник МакеУсеОф-а, говорио је на националним конференцијама о визуализацији података и био је приказан на националној телевизији и радију.
