USB forense
Crie uma imagem de cópia da unidade USB
A primeira coisa que faremos é fazer uma cópia da unidade USB. Nesse caso, backups regulares não funcionarão. Este é um passo muito crucial e, se for feito errado, todo o trabalho será desperdiçado. Use o seguinte comando para listar todas as unidades anexadas ao sistema:
ubuntu@ubuntu: ~ $ sudo fdisk -l
No Linux, os nomes de acionamentos são diferentes do Windows. Em um sistema Linux, HDA e HDB são usados (SDA, sdb, sdc, etc.) para SCSI, diferentemente do sistema operacional Windows.
Agora que temos o nome da unidade, podemos criar seu .dd imagem bit-bit com o dd utilidade inserindo o seguinte comando:
ubuntu@ubuntu: ~ $ sudo dd if =/dev/sdc1 de = USB.dd bs = 512 contagem = 1
se= A localização da unidade USB
de= O destino onde a imagem copiada será armazenada (pode ser um caminho local no seu sistema, e.g. /Home/User/USB.dd)
bs= o número de bytes que serão copiados
Para garantir a prova de que temos a cópia de imagem original da unidade, usaremos Hashing Para manter a integridade da imagem. Hashing fornecerá um hash para a unidade USB. Se um único pedaço de dados for alterado, o hash será alterado completamente e um saberá se a cópia é falsa ou original. Vamos gerar um hash do MD5 da unidade para que, quando comparado com o hash original da unidade, ninguém possa questionar a integridade da cópia.
ubuntu@ubuntu: ~ $ md5sum USB.dd
Isso fornecerá um hash md5 da imagem. Agora, podemos iniciar nossa análise forense sobre esta imagem recém -criada da unidade USB, junto com o hash.
Layout do setor de inicialização
A execução do comando de arquivo devolverá o sistema de arquivos, bem como a geometria da unidade:
ubuntu@ubuntu: ~ $ arquivo USB.dd
OK.DD: setor de inicialização do DOS/MBR, compensação de código 0x58+2, OEM-ID "MSDOS5.0 ",
setores/cluster 8, setores reservados 4392, descritor de mídia 0xf8,
setores/faixa 63, cabeças 255, setores ocultos 32, setores 1953760 (volumes> 32 MB),
Gordura (32 bits), setores/gordura 1900, reservado 0x1, número de série 0x6efa4158, não marcado
Agora, podemos usar o Minfo ferramenta para obter o layout do setor de inicialização do NTFS e as informações do setor de inicialização através do seguinte comando:
ubuntu@ubuntu: ~ $ minfo -i USB.dd
informação de dispositivo:
===================
filename = "ok.dd "
setores por faixa: 63
Cabeças: 255
Cilindros: 122
Linha de comando mformat: mformat -t 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
Informações do setor de inicialização
=======================
banner: "msdos5.0 "
Tamanho do setor: 512 bytes
Tamanho do cluster: 8 setores
Seetores Reservados (Boot): 4392
Gorduras: 2
Max disponível no diretório raiz dos slots: 0
Tamanho pequeno: 0 setores
Descritor de mídia byte: 0xf8
setores por gordura: 0
setores por faixa: 63
Cabeças: 255
setores ocultos: 32
Grande Tamanho: 1953760 setores
ID da unidade física: 0x80
Reservado = 0x1
DOS4 = 0x29
Número de série: 6EFA4158
rótulo de disco = "sem nome"
Disco Tipo = "Fat32"
Big Fatlen = 1900
Bandeiras estendidas = 0x0000
Versão fs = 0x0000
rootcluster = 2
Localização do InfoSector = 1
Setor de inicialização de backup = 6
InfoSector:
assinatura = 0x41615252
Clusters grátis = 243159
último cluster alocado = 15
Outro comando, o fstat O comando, pode ser usado para obter informações conhecidas gerais, como estruturas de alocação, layout e blocos de inicialização, sobre a imagem do dispositivo. Usaremos o seguinte comando para fazer isso:
ubuntu@ubuntu: ~ $ fstat USB.dd
--------------------------------------------
Tipo de sistema de arquivos: FAT32
Nome do OEM: MSDOS5.0
ID do volume: 0x6efa4158
Rótulo de volume (setor de inicialização): sem nome
Rótulo de volume (diretório raiz): Kingston
Rótulo do tipo de sistema de arquivos: FAT32
Próximo setor gratuito (informação FS): 8296
Contagem gratuita do setor (FS Info): 1945272
Setores antes do sistema de arquivos: 32
Layout do sistema de arquivos (em setores)
Faixa total: 0 - 1953759
* Reservado: 0 - 4391
** Setor de inicialização: 0
** FS Setor de informações: 1
** Setor de inicialização de backup: 6
* Gordura 0: 4392 - 6291
* Gordura 1: 6292 - 8191
* Área de dados: 8192 - 1953759
** Área de cluster: 8192 - 1953759
*** Diretório raiz: 8192 - 8199
Informações sobre metadados
--------------------------------------------
Faixa: 2 - 31129094
Diretório raiz: 2
Informações sobre conteúdo
--------------------------------------------
Tamanho do setor: 512
Tamanho do cluster: 4096
Faixa total de cluster: 2 - 243197
Conteúdo de gordura (em setores)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Arquivos excluídos
O Kit de detetive fornece o fls ferramenta, que fornece todos os arquivos (especialmente arquivos excluídos recentemente) em cada caminho, ou no arquivo de imagem especificado. Qualquer informação sobre arquivos excluídos pode ser encontrada usando o fls Utilitário. Digite o seguinte comando para usar a ferramenta FLS:
ubuntu@ubuntu: ~ $ fls -rp -f fat32 usb.dd
R/R 3: Kingston (entrada de rótulo de volume)
D/D 6: Informação do volume do sistema
R/R 135: Informações sobre volume do sistema/wpsettings.dat
R/R 138: Informações sobre volume do sistema/IndexervolumEguid
R/R * 14: Game of Thrones 1 720p x264 DDP 5.1 ESUB - XRG.mkv
R/R * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESUB - XRG.mkv
R/R * 30: Game of Thrones 3 720p x264 DDP 5.1 ESUB - XRG.mkv
R/R * 38: Game of Thrones 4 720p x264 DDP 5.1 ESUB - XRG.mkv
D/D * 41: Oceans Twelve (2004)
R/R 45: Minutos do PC-I mantidos em 23.01.2020.Docx
R/R * 49: Ata de LEC mantida em 10.02.2020.Docx
R/R * 50: Windump.exe
r/r * 51: _wrl0024.TMP
R/R 55: Atas de LEC mantidas em 10.02.2020.Docx
d/d * 57: nova pasta
D/D * 63: Aviso de licitação para equipamentos de infraestrutura de rede
R/R * 67: Aviso de concurso (Mega PC-I) Fase II.Docx
r/r * 68: _wrd2343.TMP
r/r * 69: _WRL2519.TMP
R/R 73: Aviso de concurso (Mega PC-I) Fase II.Docx
v/v 31129091: $ MBR
v/v 31129092: $ gord1
v/v 31129093: $ fat2
D/D 31129094: $ Orphanfiles
-/r * 22930439: $ bad_content1
-/r * 22930444: $ bad_content2
-/r * 22930449: $ bad_content3
Aqui, obtivemos todos os arquivos relevantes. Os seguintes operadores foram usados com o comando FLS:
-p = usado para exibir o caminho completo de cada arquivo recuperado
-r = usado para exibir os caminhos e pastas recursivamente
-f = o tipo de sistema de arquivos usado (FAT16, FAT32, etc.)
A saída acima mostra que a unidade USB contém muitos arquivos. Os arquivos excluídos recuperados são notados com um “*" sinal. Você pode ver que algo não é normal com os arquivos nomeados $BAD_CONTENT1, $BAD_CONTENT2, $BAD_CONTENT3, e Windump.exe. O Windump é uma ferramenta de captura de tráfego de rede. Usando a ferramenta Windump, pode -se capturar dados não destinados ao mesmo computador. A intenção é mostrada no fato de que o software Windump tem o objetivo específico de capturar o tráfego da rede e foi intencionalmente usado para obter acesso às comunicações pessoais de um usuário legítimo.
Análise da linha do tempo
Agora que temos uma imagem do sistema de arquivos, podemos executar a análise da linha do tempo do Mac da imagem para gerar uma linha do tempo e colocar o conteúdo com a data e a hora em um formato sistemático e legível. Ambos fls e Ils Os comandos podem ser usados para criar uma análise da linha do tempo do sistema de arquivos. Para o comando FLS, precisamos especificar que a saída estará no formato de saída da linha do tempo MAC. Para fazer isso, vamos executar o fls comando com o -m sinalizar e redirecionar a saída para um arquivo. Também usaremos o -m bandeira com o Ils comando.
ubuntu@ubuntu: ~ $ fls -m / -rp -f gord32 ok.dd> USB.fls
ubuntu@ubuntu: ~ $ CAT USB.fls
0 |/Kingston (entrada de rótulo de volume) | 3 | r/rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 |/Informação do volume do sistema | 6 | D/DR-XR-XR-X | 0 | 0 | 4096 | 1531076400 | 1531155908 |
0 |/Informações de volume do sistema/wpsettings.dat | 135 | r/rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 |/Informações sobre volume do sistema/IndexervolumEguid | 138 | r/rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESUB - XRG.MKV (excluído) | 14 | r/rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 ESUB - XRG.MKV (excluído) | 22 | r/rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 |/Game of Thrones 3 720p x264 DDP 5.1 ESUB - XRG.MKV (excluído) | 30 | r/rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 |/Game of Thrones 4 720p x264 DDP 5.1 ESUB - XRG.MKV (excluído) | 38 | r/rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 |/Oceans Twelve (2004) (excluído) | 41 | d/drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 |/Minutos do PC-i mantidos em 23.01.2020.Docx | 45 | r/rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 |/Ata de lec mantida em 10.02.2020.DOCX (excluído) | 49 | r/rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/_wrd3886.tmp (excluído) | 50 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 |/_wrl0024.tmp (excluído) | 51 | r/rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/Ata de lec mantida em 10.02.2020.Docx | 55 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(excluído) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_WRD2343.tmp (excluído) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_wrl2519.tmp (excluído) | 69 | r/rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/AVISO DE TENÇA (MEGA PC-I) Fase II.Docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ FAT1 | 31129092 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ FAT2 | 31129093 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/nova pasta (excluída) | 57 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.EXE (excluído) | 63 | D/DRWXRWXRWX | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 |/AVISO DE TENÇA (MEGA PC-I) Fase II.DOCX (excluído) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_WRD2343.tmp (excluído) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_wrl2519.tmp (excluído) | 69 | r/rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/AVISO DE TENÇA (MEGA PC-I) Fase II.Docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ FAT1 | 31129092 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ FAT2 | 31129093 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ orphanfiles | 31129094 | D/D --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 |/$$ BAD_CONTENT 1 (Excluído) | 22930439 |-/RRWXRWXRWX | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 2 (Excluído) | 22930444 |-/RRWXRWXRWX | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 3 (Excluído) | 22930449 |-/RRWXRWXRWX | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Execute o MATIMA ferramenta para obter análise da linha do tempo com o seguinte comando:
ubuntu@ubuntu: ~ $ CAT USB.FLS> USB.Mac
Para converter esta saída do Mactime em forma legível pelo homem, digite o seguinte comando:
ubuntu@ubuntu: ~ $ mactime -b usb.Mac> USB.MATIMAQui, 26 de julho de 2018 22:57:02 0 m… d /drwxrwxrwx 0 0 41 /oceans doze (2004) (excluído)
ubuntu@ubuntu: ~ $ CAT USB.MATIMA
Qui 26 de julho de 2018 22:57:26 59 m… - /rrwxrwxrwx 0 0 22930439 /Game of Thrones 4 720p x264 DDP 5.1 ESUB -(excluído)
47 m… - /rrwxrwxrwx 0 0 22930444 /Game of Thrones 4 720p x264 DDP 5.1 ESUB - (excluído)
353 m… -/rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 ESUB - (excluído)
Sex 27 de julho de 2018 00:00:00 12 .a… r/rrwxrwxrwx 0 0 135/Informações de volume do sistema/wpsettings.dat
76 .a… r/rrwxrwxrwx 0 0 138/Informações de volume do sistema/IndexervolumEguid
59 .a… - /rrwxrwxrwx 0 0 22930439 /Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (excluído)
47 .a… -/rrwxrwxrwx 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (excluído)
353 .a… - /rrwxrwxrwx 0 0 22930449 /Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (excluído)
Sex 31 de janeiro de 2020 00:00:00 33180 .a… r /rrwxrwxrwx 0 0 45 /minutos de pc-i mantido em 23.01.2020.Docx
Sex 31 de janeiro de 2020 12:20:38 33180 m… r /rrwxrwxrwx 0 0 45 /minutos do pc-i mantido em 23.01.2020.Docx
Sex 31 de janeiro de 2020 12:21:03 33180… b r /rrwxrwxrwx 0 0 45 /minutos do pc-i mantido no 23.01.2020.Docx
Seg 17 de fevereiro de 2020 14:36:44 46659 m… r /rrwxrwxrwx 0 0 49 /minutos de lec mantido em 10.02.2020.DOCX (excluído)
46659 m… r /rr-xr-xr-x 0 0 51 /_wrl0024.TMP (excluído)
Ter 18 de fevereiro de 2020 00:00:00 46659 .a… r /rrwxrwxrwx 0 0 49 /Game of Thrones 2 720p x264 DDP 5.1 ESUB -(excluído)
38208 .a… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (excluído)
Ter fevereiro de 1820 10:43:52 46659… b r /rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESUB -
38208… b r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (excluído)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (excluído)
38208… b r /rrwxrwxrwx 0 0 55 /minutos de lec mantido em 10.02.2020.Docx
Ter 18 de fevereiro de 2020 11:13:16 38208 m… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (excluído)
46659 .a… r /rr-xr-xr-x 0 0 51 /_wrl0024.TMP (excluído)
38208 .a… r /rrwxrwxrwx 0 0 55 /minutos de lec mantido em 10.02.2020.Docx
Ter fevereiro de 1820 10:43:52 46659… b r /rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESUB -
38208… b r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (excluído)
46659… B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (excluído)
38208… b r /rrwxrwxrwx 0 0 55 /minutos de lec mantido em 10.02.2020.Docx
Ter 18 de fevereiro de 2020 11:13:16 38208 m… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (excluído)
38208 m… r /rrwxrwxrwx 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 ESUB -
FRI 15 de maio de 2020 00:00:00 4096 .a… d /drwxrwxrwx 0 0 57 /nova pasta (excluída)
4096 .A… D /DRWXRWXRWX 0 0 63 /Aviso de licitação para equipamentos de infraestrutura de rede para IIUI (excluído)
56775 .a… r /rrwxrwxrwx 0 0 67 /aviso de concurso (mega pc-i).DOCX (excluído)
56783 .a… r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (excluído)
56775 .A… R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (excluído)
56783 .a… r /rrwxrwxrwx 0 0 73 /aviso de concurso (mega pc-i) fase ii.Docx
FRI 15 de maio 2020 12:39:42 4096… B D /DRWXRWXRWX 0 0 57 /Nova pasta (excluída)
4096… B D /DRWXRWXRWX 0 0 63 /AVISO DE BENÇA PARA O EQUIPAMENTO DE INFRASTRUTURA DE REDE PARA IIUI (Excluído)
FRI 15 de maio de 2020 12:39:44 4096 m… d/drwxrwxrwx 0 0 57 $$ bad_content 3 (excluído)
4096 M… D /DRWXRWXRWX 0 0 63 /AVISO DE TENHADA PARA O EQUIPAMENTO DE INFRASTRUTURA DE REDE PARA IIUI (excluído)
FRI 15 de maio de 2020 12:43:18 56775 m… r/rrwxrwxrwx 0 0 67 $$ bad_content 1 (excluído)
56775 m… r /rr-xr-xr-x 0 0 69 /_wrl2519.TMP (excluído)
FRI 15 de maio de 2020 12:45:01 56775… B R/RRWXRWXRWX 0 0 67 $$ BAD_CONTENT 2 (excluído)
56783… b r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (excluído)
56775… B R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (excluído)
56783… b r /rrwxrwxrwx 0 0 73 /aviso de concurso (mega pc-i) fase ii.Docx
FRI 15 de maio de 2020 12:45:36 56783 m… r/rrwxrwxrwx 0 0 68 windump.EXE (excluído)
56783 m… r /rrwxrwxrwx 0 0 73 /aviso de concurso (mega pc-i) fase ii.Docx
Todos os arquivos devem ser recuperados com um registro de data e hora em um formato legível por humanos no arquivo “USB.MATIMA.”
Ferramentas para análise forense USB
Existem várias ferramentas que podem ser usadas para realizar análises forenses em uma unidade USB, como Autopsia do kit de detetive, FTK Imager, Principal, etc. Primeiro, vamos dar uma olhada na ferramenta de autópsia.
Autópsia
Autópsia é usado para extrair e analisar dados de diferentes tipos de imagens, como o AFF (Formato Forense Avançado), .Imagens DD, imagens cruas, etc. Este programa é uma ferramenta poderosa usada por investigadores forenses e diferentes agências policiais. A autópsia consiste em muitas ferramentas que podem ajudar os investigadores a realizar o trabalho de maneira eficiente e suave. A ferramenta de autópsia está disponível para plataformas Windows e Unix, sem custo.
Para analisar uma imagem USB usando autópsia, você deve primeiro criar um caso, incluindo escrever os nomes dos investigadores, gravar o nome do caso e outras tarefas informativas. O próximo passo é importar a imagem de origem da unidade USB obtida no início do processo usando o dd Utilitário. Então, deixaremos a ferramenta de autópsia fazer o que faz de melhor.
A quantidade de informações fornecidas por Autópsia é enorme. A autópsia fornece os nomes de arquivos originais e também permite examinar os diretórios e caminhos com todas as informações sobre os arquivos relevantes, como acessado, modificado, mudado, data, e tempo. As informações de metadados também são recuperadas e todas as informações são classificadas de uma maneira profissional. Para facilitar a pesquisa de arquivos, a autópsia fornece um Pesquisa de palavras -chave opção, que permite ao usuário pesquisar de maneira rápida e eficiente uma string ou número dentre os conteúdos recuperados.
No painel esquerdo da subcategoria de Tipos de arquivo, Você verá uma categoria chamada “Arquivos excluídos”Contendo os arquivos excluídos da imagem desejada de unidade com todos os metadados e informações de análise da linha do tempo.
Autópsia é interface gráfica do usuário (GUI) para a ferramenta de linha de comando Kit de detetive e está no nível superior no mundo forense devido à sua integridade, versatilidade, natureza fácil de usar e a capacidade de produzir resultados rápidos. O dispositivo USB forense pode ser executado tão facilmente Autópsia Como em qualquer outra ferramenta paga.
FTK Imager
O FTK Imager é outra ótima ferramenta usada para a recuperação e aquisição de dados de diferentes tipos de imagens fornecidas. O FTK Imager também tem a capacidade de fazer uma cópia de imagem um pouco bit, para que nenhuma outra ferramenta seja dd ou dcfldd é necessário para esse fim. Esta cópia da unidade inclui todos os arquivos e pastas, o espaço não alocado e livre e os arquivos excluídos deixados no espaço de folga ou no espaço não alocado. O objetivo básico aqui ao realizar análises forenses em unidades USB é reconstruir ou recriar o cenário de ataque.
Agora vamos dar uma olhada na realização da análise forense USB em uma imagem USB usando a ferramenta FTK Imager.
Primeiro, adicione o arquivo de imagem a FTK Imager Clicando Arquivo >> Adicione o item de evidência.
Agora, selecione o tipo de arquivo que você deseja importar. Nesse caso, é um arquivo de imagem de uma unidade USB.
Agora, insira o local completo do arquivo de imagem. Lembre -se, você deve fornecer um caminho completo para esta etapa. Clique Terminar para iniciar a aquisição de dados e deixar o FTK Imager faça o trabalho. Depois de algum tempo, a ferramenta fornecerá os resultados desejados.
Aqui, a primeira coisa a fazer é verificar Integridade da imagem Clicando com o botão direito do mouse no nome da imagem e selecionando Verifique a imagem. A ferramenta verificará a correspondência de Hashes MD5 ou SHA1 fornecida com as informações da imagem e também dirá se a imagem foi adulterada antes de ser importada para o FTK Imager ferramenta.
Agora, Exportar os resultados fornecidos no caminho de sua escolha clicando com o botão direito do mouse no nome da imagem e selecionando o Exportar opção para analisá -lo. O FTK Imager criará um log de dados completo do processo forense e colocará esses logs na mesma pasta que o arquivo de imagem.
Análise
Os dados recuperados podem estar em qualquer formato, como TAR, ZIP (para arquivos compactados), PNG, JPEG, JPG (para arquivos de imagem), MP4, AVI Format (para arquivos de vídeo), códigos de barras, PDFs e outros formatos de arquivo. Você deve analisar os metadados dos arquivos fornecidos e verificar códigos de barras na forma de um Código QR. Isso pode estar em um arquivo png e pode ser recuperado usando o Zbar ferramenta. Na maioria dos casos, os arquivos DOCX e PDF são usados para ocultar dados estatísticos, para que eles sejam descompactados. Kdbx Os arquivos podem ser abertos através Keepass; A senha pode ter sido armazenada em outros arquivos recuperados, ou podemos executar a Bruteforce a qualquer momento.
Principal
O principal é uma ferramenta usada para recuperar arquivos e pastas excluídas de uma imagem de unidade usando cabeçalhos e rodapés. Vamos dar uma olhada na página do Man Man para explorar alguns comandos poderosos contidos nessa ferramenta:
ubuntu@ubuntu: ~ $ homem mais importante
-a Ativa a escreva todos os cabeçalhos, não execute a detecção de erros em termos
de arquivos corrompidos.
-Número B
Permite especificar o tamanho do bloco usado em primeiro lugar. Isso é
relevante para nomeação de arquivos e pesquisas rápidas. O padrão é
512. ou seja. Imagem mais importante -B 1024.dd
-Q (modo rápido):
Ativa o modo rápido. No modo rápido, apenas o início de cada setor
é pesquisado por cabeçalhos correspondentes. Isto é, o cabeçalho é
pesquisado apenas até o comprimento do cabeçalho mais longo. O resto
do setor, geralmente cerca de 500 bytes, é ignorado. Este modo
faz com que seja mais importante uma corrida consideravelmente mais rápida, mas pode fazer com que você
Miss arquivos que estão incorporados em outros arquivos. Por exemplo, usando
modo rápido, você não poderá encontrar imagens JPEG incorporadas em
Microsoft Word Documents.
O modo rápido não deve ser usado ao examinar os sistemas de arquivos NTFS.
Porque o NTFS armazenará pequenos arquivos dentro do arquivo mestre ta-
ble, esses arquivos serão perdidos durante o modo rápido.
-a Ativa a escreva todos os cabeçalhos, não execute a detecção de erros em termos
de arquivos corrompidos.
-i (entrada) arquivo:
O arquivo usado com a opção I é usado como o arquivo de entrada.
No caso de nenhum arquivo de entrada especificado, o stdin é usado para c.
O arquivo usado com a opção I é usado como o arquivo de entrada.
No caso de nenhum arquivo de entrada especificado, o stdin é usado para c.
Para fazer o trabalho, usaremos o seguinte comando:
ubuntu@ubuntu: ~ $ mais importante.dd
Após a conclusão do processo, haverá um arquivo no /saída pasta chamada texto contendo os resultados.
Conclusão
O USB Drive Forensics é uma boa habilidade para recuperar evidências e recuperar arquivos excluídos de um dispositivo USB, bem como identificar e examinar quais programas de computador podem ter sido usados no ataque. Em seguida, você pode reunir as etapas que o atacante pode ter tomado para provar ou refutar as reivindicações feitas pelo usuário ou vítima legítima. Para garantir que ninguém se dê um crime cibernético envolvendo dados USB, o USB Forensics é uma ferramenta essencial. Os dispositivos USB contêm evidências importantes na maioria dos casos forenses e, às vezes, os dados forenses obtidos de uma unidade USB podem ajudar a recuperar dados pessoais importantes e valiosos.