Forense Digital envolve a recuperação e aquisição de qualquer tipo de evidência de dispositivos como discos rígidos, computadores e telefones celulares que podem armazenar qualquer tipo de dados. Uma autópsia é uma ferramenta utilizada pelas forças armadas, policiais e agências diferentes quando há uma necessidade forense. Uma autópsia é basicamente uma interface gráfica para o muito famoso O kit de detetive usado para recuperar evidências de uma unidade física e muitas outras ferramentas. Sleuth Kit leva apenas instruções de linha de comando. Por outro lado, a autópsia torna o mesmo processo fácil e amigável. A autópsia fornece vários recursos que ajudam a adquirir e analisar dados críticos e também usa ferramentas diferentes para trabalhos como Análise da linha do tempo, Filtrando hashes, dados de escultura, Dados exif,Aquisição de artefatos da web, pesquisa de palavras -chave, etc. A autópsia usa vários núcleos e executa os processos em segundo plano em paralelo e informa assim que algo de seu interesse aparecer, tornando -o uma ferramenta extremamente rápida e confiável para forense digital.
Instalação:
Primeiro de tudo, execute o seguinte comando em seu sistema Linux para atualizar seus repositórios de pacotes:
ubuntu@ubuntu: ~ update APT-Get Apt-Get
Agora execute o seguinte comando para instalar o pacote de autópsia:
ubuntu@ubuntu: ~ $ sudo apt install autópsia
Isso instalará Autopsia do kit de detetive em seu sistema Linux.
Para sistemas baseados no Windows, basta baixar Autópsia de seu site oficial https: // www.Sleuthkit.org/autópsia/.
Uso:
Vamos iniciar a autópsia digitando $ autópsia no terminal. Isso nos levará a uma tela com informações sobre a localização do armário de evidências, o horário de início, a porta local e a versão da autópsia que estamos usando.
Podemos ver um link aqui que pode nos levar a autópsia. Na navegação para http: // localhost: 9999/autópsia Em qualquer navegador da web, seremos recebidos pela página inicial e agora podemos começar a usar Autópsia.
Criando um caso:
A primeira coisa que precisamos fazer é criar um novo caso. Podemos fazer isso clicando em uma das três opções (abertura, nova caixa, ajuda) na página inicial da autópsia. Depois de clicar nele, veremos uma tela como esta:
Insira os detalhes como mencionado, eu.e., o nome do caso, os nomes do investigador e a descrição do caso para organizar nossas informações e evidências usando para esta investigação. Na maioria das vezes, há mais de um investigador realizando análise forense digital; Portanto, existem vários campos para preencher. Uma vez feito, você pode clicar no Novo caso botão.
Isso criará um caso com informações determinadas e mostrará o local em que o diretório de caso é criado i.e./var/lab/autópsia/ e a localização do arquivo de configuração. Agora clique em Adicione host, E uma tela como essa aparecerá:
Aqui não precisamos preencher todos os campos especificados. Só temos que preencher o campo do nome do host, onde o nome do sistema que está sendo investigado é inserido e a breve descrição dele. Outras opções são opcionais, como especificar caminhos onde os hashes ruins serão armazenados ou aqueles onde outros seguirão ou definirão o fuso horário de nossa escolha. Depois de concluir isso, clique no Adicione host botão para ver os detalhes que você especificou.
Agora o host é adicionado e temos a localização de todos os diretórios importantes, podemos adicionar a imagem que será analisada. Clique em Adicionar imagem Para adicionar um arquivo de imagem e uma tela como essa aparecerá:
Em uma situação em que você precisa capturar uma imagem de qualquer partição ou unidade desse sistema de computador em particular, a imagem de um disco pode ser obtida usando dcfldd Utilitário. Para obter a imagem, você pode usar o seguinte comando,
ubuntu@ubuntu: ~ $ dcfldd if = de bs = 512 contagem = 1 hash =
se =o destino da unidade que você deseja ter uma imagem de
de =o destino onde uma imagem copiada será armazenada (pode ser qualquer coisa, e.g., disco rígido, USB etc)
bs = Tamanho do bloco (número de bytes para copiar por vez)
hash =Tipo de hash (e.g md5, sha1, sha2, etc.) (opcional)
Também podemos usar dd utilidade para capturar uma imagem de uma unidade ou partição usando
ubuntu@ubuntu: ~ $ dd if = de = BS = 512 contagem = 1 hash =
Há casos em que temos alguns dados valiosos em bater Para uma investigação forense, então o que devemos fazer é capturar a RAM física para análise de memória. Faremos isso usando o seguinte comando:
ubuntu@ubuntu: ~ $ dd if =/dev/fmem of = BS = 512 contagem = 1 hash =
Podemos ainda dar uma olhada em dd As várias outras opções importantes da concessionária para capturar a imagem de uma partição ou RAM física usando o seguinte comando:
ubuntu@ubuntu: ~ $ dd -help Opções de ajuda DD bs = bytes Leia e grava até bytes bytes por vez (padrão: 512); substitui IBS e OBS CBS = bytes converte bytes bytes Conv = Convs converte o arquivo conforme a lista de símbolos separados por vírgula contagem = n cópia apenas n blocos de entrada IBS = bytes Leia até bytes bytes por vez (padrão: 512) se = arquivo lido do arquivo em vez de stdin iflag = sinalizadores lidos de acordo com a lista de símbolos separados por vírgula obs = bytes, escreva bytes bytes por vez (padrão: 512) de = gravação de arquivo no arquivo em vez de stdout OFLAG = sinalizadores escrevem de acordo com a lista de símbolos separados por vírgula Seek = n pular n blocos obscenos no início da saída Skip = n Skip n Blocos do tamanho de IBS no início da entrada status = nível o nível de informação para imprimir para stderr; 'Nenhum' suprime tudo, exceto mensagens de erro, 'Noxfer' suprime as estatísticas de transferência final, 'Progresso' mostra estatísticas de transferência periódicas N e bytes podem ser seguidos pelos seguintes sufixos multiplicativos: c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000*1000, m = 1024*1024, xm = m, Gb = 1000*1000*1000, g = 1024*1024*1024, e assim por diante para t, p, e, z, y. Cada símbolo de convulsão pode ser: ASCII de EBCDIC para ASCII EBCDIC de ASCII a EBCDIC IBM de ASCII a EBCDIC alternativo Block Pad Pad Newline terminou registros com espaços para o tamanho da CBS desbloquear os espaços à direita em registros de tamanho CBS por uma nova linha Altere a caixa superior para troca para minúsculas UCASCE Altere a caixa inferior para maiúsculas Sparso, tente procurar em vez de escrever a saída para blocos de entrada NUL Swab trocam cada par de bytes de entrada Sync Pad todos os blocos de entrada com Nuls para IBS-Size; quando usado com um bloco ou desbloqueio, bloco com espaços em vez de nuls excl falha se o arquivo de saída já existir Nocreat não crie o arquivo de saída NOTRUNC não truque o arquivo de saída Noerror continue após erros de leitura Fdatasync grava fisicamente os dados do arquivo de saída antes de terminar Fsync da mesma forma, mas também escreva metadados Cada símbolo de bandeira pode ser: Appender o modo de anexar (faz sentido apenas para saída; conv = notrunc sugerido) Uso direto E/S direto para dados Falha no diretório, a menos que um diretório DSYNC use a E/S sincronizada para dados Sincronizar da mesma forma, mas também por metadados O Fullblock acumula blocos completos de entrada (somente IFLAG) Uso de E/S não-bloqueado sem blocos Noatime não atualize o tempo de acesso Nocache Pedido para soltar o cache.
Estaremos usando uma imagem chamada 8-jpeg-search-dd Nós salvamos em nosso sistema. Esta imagem foi criada para casos de teste por Brian Carrier para usá -la com autópsia e está disponível na Internet para casos de teste. Antes de adicionar a imagem, devemos verificar o hash do MD5 desta imagem agora e compará -la mais tarde depois de colocá -la no armário de evidências, e ambos devem corresponder. Podemos gerar a soma do MD5 de nossa imagem digitando o seguinte comando em nosso terminal:
ubuntu@ubuntu: ~ $ md5sum 8-jpeg-search-dd
Isto irá fazer o truque. O local onde o arquivo de imagem é salvo é /ubuntu/desktop/8-jpeg-search-dd.
O importante é que temos para entrar em todo o caminho onde a imagem está localizada.r /ubuntu/desktop/8-jpeg-search-dd nesse caso. Symlink é selecionado, o que torna o arquivo de imagem não vulnerável a problemas associados à cópia de arquivos. Às vezes, você recebe um erro de "imagem inválida", verifique o caminho para o arquivo de imagem e verifique se a slash para frente "/” existe. Clique em Próximo vai nos mostrar nossos detalhes de imagem contendo Sistema de arquivo tipo, Monte acionamento, e a MD5 valor do nosso arquivo de imagem. Clique em Adicionar para colocar o arquivo de imagem no armário de evidências e clicar OK. Uma tela como essa aparecerá:
Aqui nós obtemos a imagem com sucesso e saímos para o nosso Analisar parte para analisar e recuperar dados valiosos no sentido de forense digital. Antes de passar para a parte "analisar", podemos verificar os detalhes da imagem clicando na opção de detalhes.
Isso nos dará detalhes do arquivo de imagem como o sistema de arquivos usado (NTFS Nesse caso), a partição de montagem, o nome da imagem e permite fazer pesquisas de palavras -chave e recuperação de dados mais rapidamente, extraindo seqüências de volumes inteiros e também espaços não alocados. Depois de passar por todas as opções, clique no botão Voltar. Agora, antes de analisarmos nosso arquivo de imagem, precisamos verificar a integridade da imagem clicando no botão de integridade da imagem e gerando um hash md5 da nossa imagem.
O importante a ser observado é que este hash corresponderá ao que geramos através da soma do MD5 no início do procedimento. Depois de terminar, clique em Fechar.
Análise:
Agora que criamos nosso caso, demos um nome de host, acrescentou uma descrição, fiz a verificação de integridade, podemos processar a opção de análise clicando em Analisar botão.
Podemos ver diferentes modos de análise, eu.e., Análise de arquivo, pesquisa de palavras -chave, tipo de arquivo, detalhes da imagem, unidade de dados. Primeiro de tudo, clicamos nos detalhes da imagem para obter as informações do arquivo.
Podemos ver informações importantes sobre nossas imagens, como o tipo de sistema de arquivos, o nome do sistema operacional e a coisa mais importante, o número de série. O número de série do volume é importante no Tribunal de Direito, pois mostra que a imagem que você analisou é a mesma ou uma cópia.
Vamos dar uma olhada no Análise de arquivos opção.
Podemos encontrar um monte de diretórios e arquivos presentes dentro da imagem. Eles estão listados na ordem padrão e podemos navegar em um modo de navegação de arquivo. No lado esquerdo, podemos ver o diretório atual especificado e o fundo dele, podemos ver uma área onde palavras -chave específicas podem ser pesquisadas.
Na frente do nome do arquivo, existem 4 campos nomeados escrito, acessado, alterado, criado. Escrito significa a data e hora em que o arquivo foi escrito pela última vez, Acessado significa que a última vez foi acessada (neste caso, a única data é confiável), Mudado significa que a última vez que os dados descritivos do arquivo foram modificados, Criada significa a data e a hora em que o arquivo foi criado e Metadados Mostra as informações sobre o arquivo diferente de informações gerais.
No topo, veremos uma opção de Gerando hashes md5 dos arquivos. E novamente, isso garantirá a integridade de todos os arquivos, gerando os hashes MD5 de todos os arquivos no diretório atual.
O lado esquerdo do Análise de arquivos A guia contém quatro opções principais, eu.e., Seek Directory, pesquisa de nome do arquivo, todos os arquivos excluídos, expandir diretórios. Diretório buscando permite que os usuários pesquisem os diretórios que se deseja. Pesquisa de nome do arquivo permite pesquisar arquivos específicos no diretório especificado,
Todos os arquivos excluídos conter os arquivos excluídos de uma imagem com o mesmo formato, eu.e., Escrito, acessado, criado, metadados e opções alteradas e são mostradas em vermelho como dado abaixo:
Podemos ver que o primeiro arquivo é um JPEG arquivo, mas o segundo arquivo tem uma extensão de "hum". Vejamos os metadados deste arquivo clicando em metadados na maioria.
Descobrimos que os metadados contém um Jfif entrada, o que significa Formato de intercâmbio de arquivos jpeg, Então, entendemos que é apenas um arquivo de imagem com uma extensão de “hum”. Expandir diretórios Expande todos os diretórios e permite que uma área maior contorna com diretórios e arquivos dentro dos diretórios especificados.
Classificando os arquivos:
Analisar os metadados de todos os arquivos não é possível; portanto, precisamos classificá -los e analisá -los classificando os arquivos existentes, excluídos e não alocados usando o Tipo de arquivo aba.'
Para classificar as categorias de arquivos para que possamos inspecionar aqueles com a mesma categoria com facilidade. Tipo de arquivo tem a opção de classificar o mesmo tipo de arquivos em uma categoria, eu.e., Arquivos, áudio, vídeo, imagens, metadados, arquivos EXEC, arquivos de texto, documentos, arquivos compactados, etc.
Uma coisa importante sobre a visualização de arquivos classificados é que a autópsia não permite visualizar arquivos aqui; Em vez disso, temos que navegar para o local onde estes são armazenados e vê -los lá. Para saber onde eles estão armazenados, clique no Exibir arquivos classificados opção no lado esquerdo da tela. O local que nos dará será o mesmo que o que especificamos ao criar o caso na primeira etapa i.e./var/lib/autópsia/.
Para reabrir o caso, basta abrir a autópsia e clicar em uma das opções “Caso aberto.”
Caso: 2
Vamos dar uma olhada na análise de outra imagem usando autópsia em um sistema operacional Windows e descobrir que tipo de informação importante podemos obter de um dispositivo de armazenamento. A primeira coisa que precisamos fazer é criar um novo caso. Podemos fazer isso clicando em uma das três opções (abertura, caso novo, caso aberto recente) na página inicial da autópsia. Depois de clicar nele, veremos uma tela como esta:
Forneça o nome do caso e o caminho para armazenar os arquivos e digite os detalhes como mencionado, eu.e., o nome do caso, os nomes do examinador e a descrição do caso para organizar nossas informações e evidências usando para esta investigação. Na maioria dos casos, há mais de um examinador fazendo a investigação.
Agora forneça a imagem que deseja examinar. E01(Formato de testemunha especialista), Aff(formato forense avançado), formato bruto (Dd) e imagens forenses de memória são compatíveis. Salvamos uma imagem do nosso sistema. Esta imagem será usada nesta investigação. Devemos fornecer o caminho completo para o local da imagem.
Ele solicitará a seleção de várias opções, como análise da linha do tempo, filtragem de hashes, dados de escultura, dados exif, adquirindo artefatos da web, pesquisa de palavras -chave, analisador de email, extração de arquivos incorporada, verificação de atividade recente, etc. Clique em Selecione tudo para a melhor experiência e clique no botão Avançar.
Depois de tudo bem, clique em terminar e aguarde o processo concluir.
Análise:
Existem dois tipos de análise, Análise Dead, e Análise ao vivo:
Um exame morto acontece quando uma estrutura de investigação comprometida é utilizada para analisar as informações de uma estrutura especulada. No ponto em que isso acontece, The Sleuth Kit Autopsy pode correr em uma área onde a chance de dano é erradicada. A autópsia e o kit de detetive oferecem ajuda para formatos brutos, de testemunhas especializadas e de AFF.
Uma investigação ao vivo acontece quando a estrutura presumida está sendo quebrada enquanto está funcionando. Nesse caso, The Sleuth Kit Autopsy pode ser executado em qualquer área (qualquer outra coisa que não um espaço confinado). Isso geralmente é utilizado durante a reação de ocorrência enquanto o episódio está sendo afirmado.
Agora, antes de analisarmos nosso arquivo de imagem, precisamos verificar a integridade da imagem clicando no botão de integridade da imagem e gerando um hash md5 da nossa imagem. O importante a ser observado é que esse hash corresponderá ao que tivemos para a imagem no início do procedimento. O hash da imagem é importante, pois diz se a imagem fornecida adultera ou não.
Enquanto isso, Autópsia concluiu seu procedimento e temos todas as informações de que precisamos.
Primeiro de tudo, começaremos com informações básicas como o sistema operacional usado, a última vez que o usuário entrou em frente e a última pessoa que acessou o computador durante o tempo de um acidente. Para isso, iremos para Resultados> Conteúdo extraído> Informações do sistema operacional no lado esquerdo da janela.
Para ver o número total de contas e todas as contas associadas, vamos para Resultados> Conteúdo extraído> Contas de usuário do sistema operacional. Veremos uma tela como esta:
As informações como a última pessoa acessando o sistema e, em frente ao nome de usuário, existem alguns campos nomeados acessado, alterado, criado.Acessado significa que a última vez que a conta foi acessada (neste caso, a única data é confiável) e Cretirado significa a data e hora em que a conta foi criada. Podemos ver que o último usuário para acessar o sistema foi nomeado Senhor. Mal.
Vamos para Arquivos de Programas pasta ligada C unidade localizada no lado esquerdo da tela para descobrir o endereço físico e da Internet do sistema de computador.
Podemos ver o IP (Protocolo da internet) e o endereço e o MAC endereço do sistema de computador listado.
Vamos para Resultados> Conteúdo extraído> Programas instalados, Podemos ver aqui o seguinte software usado na realização de tarefas maliciosas relacionadas ao ataque.
Caim & Abel: Uma poderosa ferramenta de cheirar de pacotes e ferramenta de rachaduras de senha usada para farejo de pacotes.
Anonimizador: uma ferramenta usada para ocultar faixas e atividades que o usuário malicioso executa.
Etéreo: uma ferramenta usada para monitorar o tráfego de rede e capturar pacotes em uma rede.
FTP fofo: um software FTP.
NetStumbler: uma ferramenta usada para descobrir um ponto de acesso sem fio
Winpcap: uma ferramenta de renome usada para acesso à rede de camada de link em sistemas operacionais Windows. Ele fornece acesso de baixo nível à rede.
No /Windows/System32 Localização, podemos encontrar os endereços de email que o usuário usou. Nós podemos ver Msn E -mail, hotmail, endereços de e -mail do Outlook. Também podemos ver o Smtp Endereço de e -mail aqui.
Vamos para um local onde Autópsia armazena possíveis arquivos maliciosos do sistema. Navegar para Resultados> Itens interessantes, e podemos ver uma bomba zip presente denominada unix_hack.TGZ.
Quando navegamos para o /Recycler Localização, encontramos 4 arquivos executáveis excluídos chamados DC1.EXE, DC2.EXE, DC3.exe e dc4.exe.
Etéreo, um renomado fungando Ferramenta que pode ser usada para monitorar e interceptar todos os tipos de tráfego de rede com fio e sem fio também é descoberto. Remontemos os pacotes capturados e o diretório onde é salvo é /Documentos, O nome do arquivo nesta pasta é Interceptação.
Podemos ver neste arquivo que os dados como a vítima do navegador estavam usando e o tipo de computador sem fio e descobrimos que era o Internet Explorer no Windows CE. Os sites que a vítima estava acessando foram Yahoo e Msn .com, e isso também foi encontrado no arquivo de interceptação.
Ao descobrir o conteúdo de Resultados> Conteúdo extraído> Histórico da Web,
Podemos ver explorando metadados de arquivos especificados, o histórico do usuário, os sites que ele visita e os endereços de email que ele forneceu para fazer login.
Recuperando arquivos excluídos:
Na parte anterior do artigo, descobrimos como extrair informações importantes de uma imagem de qualquer dispositivo que possa armazenar dados como telefones celulares, discos rígidos, sistemas de computador, etc. Entre os talentos necessários mais básicos para um agente forense, os registros apagados de recuperação são presumivelmente os mais essenciais. Como você provavelmente está ciente, os documentos que são "apagados" permanecem no dispositivo de armazenamento, a menos que seja substituído. Apagar esses registros basicamente torna o dispositivo acessível para ser substituído. Isso implica se o suspeito apagou os registros de prova até que sejam substituídos pela estrutura do documento, eles permanecem acessíveis a nós para recuperar.
Agora vamos ver como recuperar os arquivos ou registros excluídos usando The Sleuth Kit Autopsy. Siga todas as etapas acima e, quando a imagem for importada, veremos uma tela como esta:
No lado esquerdo da janela, se expandirmos ainda mais o Tipos de arquivo opção, veremos um monte de categorias nomeadas Arquivos, áudio, vídeo, imagens, metadados, arquivos EXEC, arquivos de texto, documentos (html, pdf, palavra, .ppx, etc.), arquivos compactados. Se clicarmos em imagens, Ele mostrará todas as imagens recuperadas.
Um pouco mais abaixo, na subcategoria de Tipos de arquivo, Veremos um nome de opção Arquivos excluídos. Ao clicar nisso, veremos algumas outras opções na forma de guias rotuladas para análise na janela inferior direita. As guias são nomeadas Hex, resultado, texto indexado, cordas, e Metadados. Na guia Metadata, veremos quatro nomes escrito, acessado, alterado, criado. Escrito significa a data e hora em que o arquivo foi escrito pela última vez, Acessado significa que a última vez foi acessada (neste caso, a única data é confiável), Mudado significa que a última vez que os dados descritivos do arquivo foram modificados, Criada significa a data e a hora em que o arquivo foi criado. Agora, para recuperar o arquivo excluído que queremos, clique no arquivo excluído e selecione Exportar. Ele solicitará um local onde o arquivo será armazenado, selecione um local e clique OK. Os suspeitos freqüentemente se esforçam para cobrir suas trilhas, apagando vários arquivos importantes. Sabemos como uma pessoa forense que, até que esses documentos sejam substituídos pelo sistema de arquivos, eles podem ser recuperados.
Conclusão:
Analisamos o procedimento para extrair as informações úteis de nossa imagem de destino usando The Sleuth Kit Autopsy em vez de ferramentas individuais. Uma autópsia é uma opção preferida para qualquer investigador forense e devido à sua velocidade e confiabilidade. A autópsia usa vários processadores principais que executam os processos em segundo plano em paralelo, o que aumenta sua velocidade e nos dá resultados em um tempo menor e exibe as palavras -chave pesquisadas assim que forem encontradas na tela. Em uma época em que as ferramentas forenses são uma necessidade, a autópsia fornece os mesmos recursos principais, sem custo que outras ferramentas forenses pagas pagas.
A autópsia precede a reputação de algumas ferramentas pagas e fornece alguns recursos extras, como análise do registro e análise de artefatos da web, que as outras ferramentas não. Uma autópsia é conhecida por seu uso intuitivo da natureza. Um clique com o botão direito abre o documento significativo. Isso implica ao lado de zero tempo de resistência para descobrir se os termos de busca explícita estão em nossa imagem, telefone ou PC que está sendo analisado. Os usuários também podem voltar quando missões profundas se transformam em becos sem saída, usando as capturas do histórico traseiro e para a frente para ajudar a seguir seus meios. O vídeo também pode ser visto sem aplicações externas, acelerando o uso.
Perspectivas de miniatura, registro e tipo de documento organizar filtrando os bons arquivos e sinalizando para terríveis, usando o conjunto de hash personalizado, separando -se apenas uma parte de diferentes destaques a serem encontrados em The Sleuth Kit Autopsy Versão 3 Oferecendo aprimoramentos significativos da versão 2.A tecnologia de base geralmente subsidia o trabalho na versão 3, onde Brian Carrier, que entregou uma grande parte do trabalho em interpretações anteriores de Autópsia, é CTO e Chefe de Criminologia Avançada. Ele também é visto como um mestre do Linux e compôs livros sobre o assunto da mineração de informações mensuráveis, e a tecnologia de base cria O kit de detetive. Portanto, os clientes provavelmente podem ter certeza de que estão recebendo um item decente, um item que não desaparecerá em nenhum momento do futuro próximo e que provavelmente será o que está por toda parte no que está por vir.
