Autopsie ist eine Software zur forensischen Analyse von Festplatten-Images. Es ist eine kostenlose Open-Source-Schnittstelle, mit der Sie Partitionen oder Disk-Images durchsuchen und analysieren können.
Das Autopsie-Tool kann auf verschiedenen Betriebssystemen funktionieren, wie zum Beispiel:
- Linux
- Fenster
- Mac OS X
- Kostenlose BSD
Autopsy ist eine digitale forensische Analyseplattform und die grafische Benutzeroberfläche von Sleuthkit und andere digitale Forensik-Tools. Es wird von Regierungen und öffentlichen und privaten Einrichtungen, von Sicherheitskräften wie Polizei und Militär sowie von Fachleuten und Computerexperten verwendet, um zu untersuchen, was auf einem Computer passiert ist. Nach einem Vorfall wie einem Angriff oder einem Fehler können Sie Speichergeräte durchsuchen, um Dateien wiederherzustellen, nach Systemmanipulationen zu suchen, Fotos, Bilder oder Videos wiederherzustellen.
Zuerst müssen wir Autopsy in Linux installieren, es kommt in den Repositorys, in Windows können Sie es hier herunterladen:
AUTOPSY HERUNTERLADEN
In diesem Tutorial sehen wir die Autopsie-Installation unter Linux. Wir öffnen ein Terminalfenster und geben die folgenden Befehle ein:
1. Wir installieren das TSK-Framework
sudo apt-get install sleuthkit2. Dann installieren wir Autopsy
apt-get AutopsieDas TSK-Framework enthält eine Reihe von Bibliotheken und Modulen, die verwendet werden können, um Plugins und Befehle für Computerforensik-Fähigkeiten zu entwickeln. Das TSK-Framework ist eine Befehlszeilenschnittstelle, die verschiedene Module verwendet, um Disk-Images zu analysieren.
Dann können wir die Anwendung aus einem Terminalfenster mit dem Befehl starten:
Sudo-Autopsie
Als nächstes gehen wir zu einem beliebigen Browser und schreiben die URL http: // localhost: 9999 / Autopsie dass Autopsy uns sagt, dass es als Server funktioniert, solange wir es laufen lassen.
Bevor wir fortfahren, benötigen wir das Image einiger Geräte. Wir können entweder ein Image unserer Festplatte erstellen oder Beispielbilder im Internet abrufen, zum Beispiel auf der Website http://dftt.sourceforge.net/. Wir können mehrere herunterladen Bilder, die verschiedene Probleme bei der Analyse darstellen.
Wir können zum Beispiel einige der folgenden Bilder herunterladen.
JPEG.webp-Suche: Dieses Testbild ist ein Windows XP NTFS-Dateisystem mit 10 JPG.webp-Bildern in verschiedenen Verzeichnissen. Bilder umfassen Dateien mit falschen Erweiterungen, in ZIP eingebettete Bilder und Word-Dateien. Hier können wir an der Bildwiederherstellung arbeiten. Wir können die JPEG.webp-Suche hier herunterladen.
NTFS-Wiederherstellung: Dieses Testimage ist ein 6 MB NTFS-Dateisystem mit acht gelöschten Dateien, zwei gelöschten Verzeichnissen und einem gelöschten alternativen Datenstrom. Die Dateien reichen von residenten Dateien, einzelnen Cluster-Dateien und mehreren Shards. Dabei wurden keine Datenstrukturen verändert, um die Wiederherstellung zu vereiteln. Sie wurden unter Windows XP erstellt, unter XP entfernt und unter Linux abgebildet. Wir können NTFS Undelete von hier herunterladen.
Wir können auch ein Disk-Image von Linux erstellen. Wir finden die Partitionen mit den folgenden Befehlen heraus:
sudo fdisk -l
Um beispielsweise eine exakte Kopie der Bootpartition zu erstellen, die wir als Sicherungsdatei verwenden können, verwenden wir die folgenden Befehle:
dd if = /dev / zu speichernde Partition von = /home/directory/copy-partition.imgIn diesem Fall ist es die Hauptpartition:
dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.imgWir können auch Software wie Clonezilla verwenden, ein Programm zum Erstellen von Partitionen und Disk-Images, Sicherungskopien und Systemwiederherstellung aus einem Backup.
Sobald wir das Bild haben, um unsere forensische Untersuchung durchzuführen, gehen wir zu Autopsie, für dieses Tutorial verwenden wir NTSF-Wiederherstellung.
Die Autopsie-Schnittstelle ermöglicht es uns, mehrere Fälle mit verschiedenen Bildern und sogar mehreren Forschern zu analysieren, dann klicken wir auf die Schaltfläche Neuer Fall oder Neuer Fall.
Der Bildschirm wird geöffnet, um einen Fall zu erstellen, in dem wir den Namen des Falls ohne Leerzeichen zuweisen, da dieser Name zu einem Ordner wird, in dem die bei der Untersuchung gesammelten Informationen gespeichert werden. In diesem Fall lautet der Name EmpresaSA, dann fügen wir eine Beschreibung des Falls hinzu, wir fügen auch die Namen der für den Fall verantwortlichen Ermittler hinzu und klicken dann auf Neuer Fall.
Wir sehen einen Bildschirm, in dem wir darüber informiert werden, dass ein Ordner für den Fall und ein Konfigurationsverzeichnis erstellt wurden.
Als nächstes erstellen wir den Host, dh wir registrieren die Daten des zu untersuchenden Geräts oder Bildes.
Wir werden den Hostnamen, eine Beschreibung, die gmt-Zeit hinzufügen, falls wir aus einem anderen Land kommen, wir können auch die Offset-Zeit in Bezug auf den Computer hinzufügen und es gibt Datenbanken, die Hashes bekannter bösartiger Dateien enthalten.
Wenn wir eine Datenbank verwenden möchten, können wir die NIST NSRL verwenden, um bekannte Dateien zu erkennen. Die Datenbank der National Software Reference Library, die Hashes enthält, die je nach Klassifizierung gut oder schlecht sein können.
So kann beispielsweise die Existenz einer bestimmten Software erkannt werden und Autopsy behandelt die im NSRL gefundenen Dateien als bekannt und gut oder erkennt diese nicht und gibt nicht an, ob sie gut oder schlecht ist. Wir können auch eine Datenbank implementieren, die bekannte Dateien ignoriert.
Am Ende klicken wir auf HOST HINZUFÜGEN und wir gehen zu dem Bildschirm, der uns das Verzeichnis für diesen Host anzeigt. Im selben Fall können wir mehrere Hosts analysieren.
Als nächstes greifen wir für diesen speziellen Fall auf die Hostliste zu und somit Starten Sie die Recherche zu einem Host oder überprüfen Sie einen Host.
Wir klicken auf unseren Host PC031 und dann klicken wir auf Okay, ein Bildschirm wird geöffnet, in dem wir das Host-Bild hinzufügen, dafür klicken wir auf BILDDATEI HINZUFÜGEN.
Als nächstes suchen wir das Bild entsprechend dem Ordner, in dem wir es haben:
Wir können mit der rechten Maustaste klicken und die Option auswählen Kopieren, dann gehen wir zum Bildschirm Host hinzufügen und wir klicken mit der rechten Maustaste und die Option Einfügen, um den Pfad der Bilddatei hinzuzufügen, wir können ihn auch schreiben.
Darüber hinaus geben wir den Image-Typ an, wenn es sich um eine Festplatte oder eine Partition handelt, und die Importmethode. Das Image kann von seinem aktuellen Speicherort über einen symbolischen Link in Autopsy importiert, kopiert oder verschoben werden.
Die Bilddatei muss eine Leseberechtigung haben, sonst wird beim Klicken auf ein Fehler ausgegeben NÄCHSTE (Nächste)
In diesem Fall verwenden wir das Image, indem wir eine Kopie erstellen. Wenn wir den Symlink verwenden, der den Link zu dem Image darstellt, können wir das Problem haben, dass wir das Image beschädigen könnten. Wenn wir es kopieren, wird eine Kopie erstellt in das case-Verzeichnis, aber wir werden mehr Platz einnehmen, denken Sie daran, dass die von uns verwendeten Dateien Demos sind, die etwa 150 Megabyte belegen, ein echtes Abbild eines Computers oder eines Servers könnte mehrere Gigabyte belegen.
Unten zeigt es uns einige Details des von uns hinzugefügten Bildes und ermöglicht es uns, die Integrität mithilfe von zu berechnen oder zu ignorieren Prüfsumme MD5.
Endlich klicken wir auf HINZUFÜGEN o Hinzufügen, um zum letzten Bildschirm zu gelangen, in dem uns mitgeteilt wird, dass der Vorgang beendet ist, und wir drücken Okay , um für diesen Fall zum Host-Bildschirm zu gelangen.
Als nächstes wählen wir den Host aus, in diesem Fall haben wir einen und klicken auf Analysieren um die Bildanalyse zu starten. Der Analysebildschirm öffnet sich und wir werden Bilddetails Systeminformationen anzuzeigen.
In diesem Fall können wir sehen, dass es sich um eine Windwos XP NTFS-Partition und andere Daten zu Festplattengröße und Sektoren handelt. Dann können wir gehen Datenanalyse, um die Datei- und Verzeichnisstruktur anzuzeigen.
Wir sehen in den Verzeichnissen das Boot-Verzeichnis, das die Boot-Protokolle dieser Partition enthält. Wenn wir auf klicken, sehen wir das Protokoll und können es in verschiedenen Formaten wie ASCII, Hexadezimal und Text sehen. In diesem Fall sehen wir den folgenden Fehler:
Ein Datenträgerlesefehler ist aufgetreten - NTLDR fehlt
Die Windows XP NTLDR-Datei ist eine wesentliche Komponente des Windows XP-Bootsektors und -Starts. Der Computer startet nicht, er beendet den Bootvorgang nicht, wenn diese Datei beschädigt ist.
Wenn wir dann auf den dir-Link in der Spalte klicken Typ, können wir durch die Verzeichnisse navigieren und gelöschte Dateien anzeigen, um zu versuchen, sie wiederherzustellen.
Computerforensik ermöglicht das Identifizieren und Auffinden relevanter Informationen in Datenquellen B. Images von Festplatten, USB-Sticks, Snapshots des Netzwerkverkehrs oder Computerspeicherauszüge.
Wenn wir alles zusammenfassen, was mit Autopsie gemacht wurde, können wir einen Fall erneut öffnen, da wir speichern, oder einen neuen Fall erstellen, bei dem ein Fall mehrere Hosts oder Computer oder Partitionen einer logischen Einheit enthält, die alles enthalten, was mit der Untersuchung zu tun hat.
Daher werden bei der Erstellung eines Falls Informationen wie Ihr identifizierender Name und die Person, die die Daten untersucht, eingegeben. Der nächste Schritt besteht darin, dem Fall einen oder mehrere Hosts zuzuordnen, die den Bildern entsprechen, die wir der Analyse unterbreiten werden, oder einem forensischen Bild, das zuvor von dem zu analysierenden Computer oder Server aufgenommen wurde.
Als nächstes schließen wir diesen Fall, indem wir auf Schließen und dann auf Host schließen klicken, und wir werden einen neuen Host innerhalb des Falls hinzufügen, dafür benötigen wir das Bild JPEG.webp-Suche, Bild, das wir bereits erwähnt haben.
Wir klicken auf HOST HINZUFÜGEN Um einen neuen Host hinzuzufügen, den wir analysieren werden, suchen wir in diesem Fall auf einem Computer im Grafikdesignbereich nach verlorenen oder beschädigten Bildern.
Nachdem wir den Host hinzugefügt haben, müssen wir das Bild wie zuvor hinzufügen.
Nach Abschluss des Vorgangs gehen wir zur Liste der für diesen Fall verfügbaren Hosts.
Als nächstes wählen wir den zu untersuchenden Host aus und klicken auf Okay.
Dann klicken wir auf Analysieren um die Partitionsansicht zu starten. In diesem Fall handelt es sich um eine Windows XP-Partition mit einem NTFS-Dateisystem mit insgesamt 10 JPG.webp-Bildern darauf. Die Bilder enthalten Dateien mit falschen Erweiterungen, Bilder, die in Zip- und Word-Dateien eingebettet sind, und Fehler, die wir finden und reparieren müssen, um diese Dateien wiederherzustellen.
Der Zweck dieses Partitionsimages besteht darin, die Fähigkeiten automatisierter Tools zu testen, die nach JPG.webp-Bildern suchen.
Wir gehen die Verzeichnisse durch und wir sehen eine Schaltfläche in der linken Spalte unten ALLE DATEIEN LÖSCHEN um uns alle gelöschten Dateien zu zeigen.
Wir können auch Dateien exportieren und herunterladen, um sie zu analysieren oder wiederherzustellen, indem wir auf den Link klicken, den wir herunterladen möchten, und dann auf klicken Export
Im Inneren finden wir ein Bild und einige Datendateien. Wir können auch nach Wörtern suchen von Schlagwortsuche als Dateierweiterungen wie doc oder Programme, die wie Crack, Viren oder alles, was seltsam erscheinen kann, funktionieren können.
Alle die erhaltenen Ergebnisse können in HTML-Dokumente exportiert werden klick auf die links Prüfbericht jeder Art von ASCI-, Hexadezimal- oder Textansicht, um unseren Kunden einen Bericht zu präsentieren oder eine Datenbank mit Vorfällen zu führen.
Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben