Kriminalistika

Išsami „Sleuth Kit“ skrodimo pamoka

Išsami „Sleuth Kit“ skrodimo pamoka
Skaitmeninė kriminalistika apima bet kokio tipo įrodymų atkūrimą ir įgijimą iš tokių įrenginių kaip kietieji diskai, kompiuteriai, mobilieji telefonai, kuriuose gali būti saugomi bet kokie duomenys. Skrodimas yra įrankis, kurį naudoja kariškiai, teisėsauga ir įvairios agentūros, kai reikia teismo ekspertizės. Skrodimas iš esmės yra labai garsiojo grafinė sąsaja „Sleuth Kit“ naudojami norint gauti įrodymus iš fizinio disko ir daugelio kitų įrankių. „Sleuth Kit“ naudoja tik komandinės eilutės instrukcijas. Kita vertus, autopsija padaro tą patį procesą paprastą ir patogų naudoti.  Autopsija suteikia įvairias funkcijas, kurios padeda įgyti ir analizuoti svarbiausius duomenis, taip pat naudoja skirtingus įrankius tokiems darbams atlikti Laiko juostos analizė, Filtravimas maišos, drožybos duomenys, „Exif“ duomenys, Žiniatinklio artefaktų įsigijimas, raktinių žodžių paieška, ir pan. Autopsija naudoja kelis branduolius ir lygiagrečiai vykdo foninius procesus bei praneša, kai tik pasirodo kažkas, kas jus domina, todėl tai yra ypač greitas ir patikimas skaitmeninės kriminalistikos įrankis.

Diegimas:

Pirmiausia paleiskite šią komandą savo „Linux“ sistemoje, kad atnaujintumėte savo paketų saugyklas:

[apsaugotas el. paštu]: ~ $ sudo apt-get update

Dabar paleiskite šią komandą, kad įdiegtumėte autopsijos paketą:

[apsaugotas el. paštas]: ~ $ sudo apt install autopsy

Tai bus įdiegta „Sleuth Kit“ skrodimas savo „Linux“ sistemoje.

Jei naudojate „Windows“ sistemą, tiesiog atsisiųskite Skrodimas iš savo oficialios svetainės  https: // www.sleuthkit.org / skrodimas /.

Naudojimas:

Paleiskime skrodimą įvesdami tekstą skrodimas terminale. Nukreipsime mus į ekraną su informacija apie įrodymų spintelės vietą, pradžios laiką, vietinį prievadą ir naudojamą autopsijos versiją.

Čia galime pamatyti nuorodą, kuri mus gali nuvesti skrodimas. Apie naršymą http: // localhost: 9999 / autopsija bet kurioje interneto naršyklėje mus pasitiks pagrindinis puslapis ir dabar galėsime pradėti naudotis Skrodimas.

Atvejo kūrimas:

Pirmas dalykas, kurį turime padaryti, yra sukurti naują bylą. Tai galime padaryti skrodimo pagrindiniame puslapyje spustelėdami vieną iš trijų parinkčių („Open case“, „New case“, „Help“). Paspaudę ant jo, pamatysime tokį ekraną:

Įveskite išsamią informaciją, kaip minėta, t.e., bylos pavadinimas, tyrėjo pavardės ir bylos aprašymas, kad būtų galima sutvarkyti mūsų informaciją ir įrodymus naudojant šį tyrimą. Dažniausiai yra ne vienas tyrėjas, atliekantis skaitmeninės kriminalistikos analizę; todėl reikia užpildyti kelis laukus. Kai tai bus padaryta, galite spustelėti Nauja byla mygtuką.

Tai sukurs atvejį su pateikta informacija ir parodys vietą, kurioje sukurtas bylų katalogas, t.e./ var / lab / skrodimas / ir konfigūracijos failo vietą. Dabar spustelėkite Pridėti pagrindinį kompiuterį, ir pasirodys toks ekranas:

Čia mes neturime užpildyti visų nurodytų laukų. Mes tiesiog turime užpildyti lauką „Hostname“, kuriame įrašomas tiriamos sistemos pavadinimas ir trumpas jo aprašymas. Kitos parinktys yra neprivalomos, pvz., Nurodyti kelius, kur bus saugomi blogi maišos, arba tuos, į kuriuos eis kiti, arba nustatyti mūsų pasirinktą laiko juostą. Baigę tai spustelėkite Pridėti pagrindinį kompiuterį mygtuką, kad pamatytumėte nurodytą informaciją.

Dabar pagrindinis kompiuteris pridėtas ir mes turime visų svarbių katalogų vietą, galime pridėti vaizdą, kurį ketiname analizuoti. Spustelėkite Pridėti vaizdą Norėdami pridėti vaizdo failą ir pasirodys toks ekranas:

Esant situacijai, kai turite užfiksuoti bet kurios tos konkrečios kompiuterinės sistemos skaidinio ar disko vaizdą, disko vaizdą galima gauti naudojant dcfldd naudingumas. Norėdami gauti vaizdą, galite naudoti šią komandą,

[apsaugotas el. paštas]: ~ $ dcfldd if = apie
bs = 512 skaičius = 1 maišos =

jei =disko tikslas, kurio atvaizdą norite turėti

iš =paskirties vieta, kur bus saugomas nukopijuotas vaizdas (gali būti bet kas, t.g., kietąjį diską, USB ir kt.)

bs = bloko dydis (vienu metu kopijuojamų baitų skaičius)

maišos =maišos tipas (el.g md5, sha1, sha2 ir kt.) (neprivaloma)

Mes taip pat galime naudoti dd įrankis, skirtas užfiksuoti disko ar skaidinio vaizdą naudojant

[apsaugotas el. paštas]: ~ $ dd if = iš = bs = 512
skaičius = 1 maišos =

Yra atvejų, kai turime vertingų duomenų avinas kriminalistiniam tyrimui, taigi, ką turime padaryti, tai užfiksuoti fizinį aviną atminties analizei. Tai padarysime naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ dd if = / dev / fmem iš = bs = 512 skaičius = 1
maišos =

Mes galime toliau pažvelgti dd įvairios kitos svarbios naudingos parinktys, kaip užfiksuoti skaidinio ar fizinio avino vaizdą naudojant šią komandą:

[apsaugotas el. paštas]: ~ $ dd --pagalba
dd pagalbos parinktys
 
bs = Baitai vienu metu skaito ir rašo iki Baitų baitų (numatytasis: 512);
nepaiso ibs ir obs
cbs = Baitai konvertuoja baitus baitais vienu metu
conv = CONVS konvertuoti failą pagal kableliais atskirtų simbolių sąrašą
count = N nukopijuokite tik N įvesties blokus
ibs = BYTES vienu metu nuskaito iki BYTES baitų (numatytasis: 512)
if = FILE skaitoma iš FILE vietoj stdin
iflag = FLAGS skaitoma pagal kableliais atskirtų simbolių sąrašą
obs = BYTES rašo BYTES baitus vienu metu (numatytasis: 512)
iš = FILE rašykite FILE vietoj stdout
oflag = FLAGS rašykite pagal kableliais atskirtų simbolių sąrašą
seek = N praleisti N obs dydžio dydžio blokus išvesties pradžioje
praleisti = N praleisti Nbs dydžio blokus įvesties pradžioje
status = LEVEL informacijos, kurią reikia spausdinti į LST, informacijos LYGIS;
„niekas“ neužgožia nieko, išskyrus klaidų pranešimus,
„noxfer“ slopina galutinio perdavimo statistiką,
„pažanga“ rodo periodinių pervedimų statistiką
 
Po N ir BYTES gali būti nurodytos šios dauginamosios priesagos:
c = 1, w = 2, b = 512, kB = 1000, K = 1024, MB = 1000 * 1000, M = 1024 * 1024, xM = M,
GB = 1000 * 1000 * 1000, G = 1024 * 1024 * 1024 ir kt. T, P, E, Z, Y.
 
Kiekvienas CONV simbolis gali būti:
 
ascii nuo EBCDIC iki ASCII
ebcdic nuo ASCII iki EBCDIC
ibm nuo ASCII prie pakaitinio EBCDIC
blokuoti trinkeles su nauja eilute nutrauktais įrašais su tarpais iki cbs dydžio
atblokuoti pakeiskite galinius tarpus CBS dydžio įrašuose nauja eilute
didžiosios raidės pakeiskite mažosiomis raidėmis
pakeiskite mažąsias raides į didžiąsias
retas bandymas ieškoti, o ne rašyti išvestį NUL įvesties blokams
tamponu sukeiskite kiekvieną įvesties baitų porą
kiekvieno įvesties bloko sinchronizavimo bloką su NUL iki ibs dydžio; kai naudojamas
su bloku arba atblokavimu, padėkite tarpais, o ne NUL
išskyrus nesėkmę, jei išvesties failas jau yra
nocreat nekurkite išvesties failo
notrunc nenutrumpinkite išvesties failo
„Noerror“ tęsis po klaidų
„fdatasync“ fiziškai rašo išvesties failo duomenis prieš baigiant
„fsync“ taip pat rašo metaduomenis
 
Kiekvienas ŽVVG simbolis gali būti:
 
pridėti pridėjimo režimą (prasminga tik išvesties atveju; conv = notrunc siūloma)
tiesioginis duomenų tiesioginis įvestis / išvestis
katalogas nepavyksta, nebent katalogas
„dsync“ naudoja sinchronizuotą įvestį / išvestį duomenims
taip pat ir metaduomenims
„fullblock“ kaupia visus įvesties blokus (tik „iflag“)
nonblock naudoti neužblokuojantį įvestį / išvestį
„noatime“ neatnaujina prieigos laiko
nocache Prašymas mesti talpyklą.

Mes naudosime vaizdą pavadinimu 8-jpeg-search-dd mes sutaupėme savo sistemoje. Šį vaizdą bandymų atvejams sukūrė Brianas Carrieras, kad jį būtų galima panaudoti skrodimo metu, ir jis prieinamas internete bandymų atvejais. Prieš pridėdami vaizdą, turėtume dabar patikrinti šio paveikslėlio md5 maišos variantą ir palyginti jį vėliau, patekę į įrodymų spintelę, ir abu turėtų sutapti. Mes galime sugeneruoti md5 paveikslėlio sumą, įvesdami šią komandą mūsų terminale:

[apsaugotas el. pašto adresas]: ~ $ md5sum 8-jpeg-search-dd

Tai padarys apgauti. Vaizdo failo išsaugojimo vieta yra / ubuntu / Desktop / 8-jpeg-search-dd.

Svarbu tai, kad turime patekti į visą kelią, kuriame yra vaizdas, t.r / ubuntu / desktop / 8-jpeg-search-dd tokiu atveju. „Symlink“ yra pasirinktas, todėl vaizdo failas nėra pažeidžiamas problemų, susijusių su failų kopijavimu. Kartais gausite klaidos „netinkamas vaizdas“ klaidą, patikrinkite kelią į vaizdo failą ir įsitikinkite, kad priekinis pasvirasis brūkšnys/ “ yra ten. Spustelėkite Kitas parodys mums išsamią atvaizdo informaciją, kurioje yra Failų sistema tipo, Kalno pavara, ir md5 mūsų vaizdo failo vertė. Spustelėkite Papildyti įdėti atvaizdo failą į įrodymų spintelę ir spustelėkite Gerai. Bus rodomas toks ekranas:

Čia mes sėkmingai gauname įvaizdį ir pasirenkame savo Analizuokite analizuoti ir gauti vertingus duomenis skaitmeninės kriminalistikos prasme. Prieš pereidami prie „analizuoti“ dalies, galime patikrinti išsamią vaizdo informaciją spustelėdami išsamią parinktį.

Tai suteiks mums informacijos apie vaizdo failą, pvz., Naudojamą failų sistemą (NTFS šiuo atveju), prijungimo skaidinį, paveikslėlio pavadinimą ir leidžia greičiau atlikti raktinių žodžių paiešką ir duomenų atkūrimą, išgaunant eilutes iš visų tomų ir nepaskirstytų vietų. Peržiūrėję visas parinktis, spustelėkite mygtuką Atgal. Dabar, prieš analizuodami savo vaizdo failą, turime patikrinti vaizdo vientisumą spustelėdami mygtuką Vaizdo vientisumas ir sugeneruodami md5 maišos vaizdą.

Svarbu atkreipti dėmesį į tai, kad ši maiša atitiks tą, kurią procedūros pradžioje sugeneravome iš md5 sumos. Kai tai bus padaryta, spustelėkite Uždaryti.

Analizė:

Dabar, kai sukūrėme savo atvejį, suteikėme pagrindinio kompiuterio pavadinimą, pridėjome aprašą, patikrinome vientisumą, analizės parinktį galime apdoroti spustelėdami Analizuokite mygtuką.

Mes galime pamatyti skirtingus analizės režimus, t.e., Failų analizė, raktinių žodžių paieška, failo tipas, išsami informacija apie vaizdą, duomenų vienetas. Pirmiausia, norėdami gauti informacijos apie failą, spustelėkite „Informacija apie vaizdą“.

Mes galime pamatyti svarbią informaciją apie mūsų atvaizdus, ​​pvz., Failų sistemos tipą, operacinės sistemos pavadinimą ir svarbiausią dalyką - serijos numerį. „Volume“ serijos numeris yra svarbus teisme, nes jis parodo, kad jūsų analizuojamas vaizdas yra tas pats arba jo kopija.

Pažvelkime į Failų analizė variantą.

Vaizdo viduje galime rasti daugybę katalogų ir failų. Jie išvardyti pagal numatytąją tvarką ir mes galime naršyti failų naršymo režimu. Kairėje pusėje matome nurodytą dabartinį katalogą, o jo apačioje - sritį, kurioje galima ieškoti konkrečių raktinių žodžių.

Prieš failo pavadinimą yra nurodyti 4 laukai parašyta, prieinama, pakeista, sukurta. Parašyta reiškia datą ir laiką, kada failas buvo paskutinį kartą parašytas,  Prieinama reiškia paskutinį kartą, kai buvo pasiekta byla (šiuo atveju vienintelė data yra patikima), Pasikeitė reiškia paskutinį kartą, kai buvo pakeisti failo aprašomieji duomenys, Sukurta reiškia failo sukūrimo datą ir laiką ir MetaData rodo informaciją apie failą, išskyrus bendrą informaciją.

Viršuje pamatysime variantą Generuojamas md5 maišos bylų. Vėlgi, tai užtikrins visų failų vientisumą, sugeneruodami visų dabartiniame kataloge esančių failų maišas md5.

Kairioji Failų analizė skirtuke yra keturios pagrindinės parinktys, t.e., Katalogų paieška, failų pavadinimų paieška, visi ištrinti failai, katalogų išplėtimas. Katalogų paieška leidžia vartotojams ieškoti norimų katalogų. Failo vardo paieška leidžia ieškoti konkrečių failų nurodytame kataloge,

Visi ištrinti failai yra ištrinti failai iš to paties formato vaizdo, t.e., užrašytos, prieinamos, sukurtos, metaduomenys ir pakeistos parinktys ir rodomos raudonai, kaip nurodyta toliau:

Matome, kad pirmasis failas yra a JPEG failą, tačiau antrojo failo plėtinys yra „Hmm“. Pažvelkime į šio failo metaduomenis spustelėdami metaduomenis dešinėje.

Mes nustatėme, kad metaduomenyse yra a JFIF įrašas, o tai reiškia JPEG failų mainų formatas, taigi gauname, kad tai tik vaizdo failas su plėtiniu „hmm“. Išskleisti katalogus išplečia visus katalogus ir leidžia didesnei sričiai dirbti su katalogais ir failais duotuose kataloguose.

Failų rūšiavimas:

Visų failų metaduomenų analizuoti neįmanoma, todėl turime juos rūšiuoti ir analizuoti rūšiuodami esamus, ištrintus ir nepaskirstytus failus naudodami Failo tipas skirtuką."

Norėdami rūšiuoti failų kategorijas, kad galėtume lengvai patikrinti tos pačios kategorijos failus. Failo tipas turi galimybę rūšiuoti to paties tipo failus į vieną kategoriją, t.e., Archyvai, garso, vaizdo įrašai, vaizdai, metaduomenys, vykdomieji failai, tekstiniai failai, dokumentai, suglaudinti failai, ir pan.

Svarbus dalykas rūšiuotų failų peržiūroje yra tai, kad autopsija neleidžia čia peržiūrėti failų; Vietoj to, mes turime naršyti vietą, kurioje jie yra saugomi, ir ten juos peržiūrėti. Norėdami sužinoti, kur jie saugomi, spustelėkite Peržiūrėti išrūšiuotus failus kairėje ekrano pusėje. Vieta, kurią ji mums suteiks, bus ta pati, kurią nurodėme kurdami bylą pirmajame veiksme i.e./ var / lib / autopsy /.

Norėdami atnaujinti bylą, tiesiog atidarykite skrodimą ir spustelėkite vieną iš parinkčių „Atvira byla.“

Byla: 2

Pažvelkime į kito vaizdo analizavimą naudojant „Windows“ operacinės sistemos autopsiją ir sužinokime, kokią svarbią informaciją galime gauti iš atminties įrenginio. Pirmas dalykas, kurį turime padaryti, yra sukurti naują bylą. Tai galime padaryti spustelėdami vieną iš trijų variantų (Atviras atvejis, Naujas atvejis, neseniai Atviras atvejis) skrodimo pagrindiniame puslapyje. Paspaudę ant jo, pamatysime tokį ekraną:

Pateikite bylos pavadinimą ir kelią, kur saugoti failus, tada įveskite išsamią informaciją, kaip minėta, t.e., bylos pavadinimas, eksperto pavardės ir bylos aprašymas, kad būtų galima sutvarkyti mūsų informaciją ir įrodymus naudojant šį tyrimą. Daugeliu atvejų tyrimą atlieka ne vienas ekspertas.

Dabar pateikite vaizdą, kurį norite ištirti. E01(Eksperto liudytojo formatas), AFF(išplėstinis teismo ekspertizės formatas), neapdorotas formatas (DD), ir atminties kriminalistiniai vaizdai yra suderinami. Išsaugojome savo sistemos vaizdą. Šis vaizdas bus naudojamas atliekant tyrimą. Turėtume pateikti visą kelią iki vaizdo vietos.

Jis paprašys pasirinkti įvairias parinktis, tokias kaip laiko juostos analizė, filtrų maiša, duomenų drožyba, „Exif“ duomenys, žiniatinklio artefaktų gavimas, raktinių žodžių paieška, el. Pašto analizatorius, įterptųjų failų ištraukimas, naujausios veiklos patikrinimas ir kt. Norėdami pasirinkti geriausią patirtį, spustelėkite „Pažymėti viską“ ir spustelėkite kitą mygtuką.

Baigę spustelėkite „Baigti“ ir palaukite, kol procesas bus baigtas.

Analizė:

Yra dvi analizės rūšys, Negyvoji analizė, ir Tiesioginė analizė:

Negyvas patikrinimas įvyksta, kai panaudojama įsipareigota tyrimo sistema, kad būtų galima peržiūrėti informaciją iš spekuliuojamos sistemos. Tuo metu, kai taip atsitinka, „Sleuth“ rinkinio autopsija gali važiuoti vietovėje, kurioje yra pašalinta žalos tikimybė. Skrodimas ir „Sleuth Kit“ teikia pagalbą neapdorotiems, „Expert Witness“ ir AFF formatams.

Tiesioginis tyrimas įvyksta, kai tariama sistema yra sugadinta, kol ji veikia. Tokiu atveju, „Sleuth“ rinkinio autopsija gali važiuoti bet kurioje srityje (ne tik uždaroje erdvėje). Tai dažnai naudojama įvykio reakcijos metu, kol patvirtinamas epizodas.

Dabar, prieš analizuodami savo vaizdo failą, turime patikrinti vaizdo vientisumą spustelėdami mygtuką Vaizdo vientisumas ir sugeneruodami md5 maišos vaizdą. Svarbu atkreipti dėmesį į tai, kad ši maiša atitiks tą, kurią turėjome vaizdui procedūros pradžioje. Vaizdo maiša yra svarbi, nes ji nurodo, ar pateiktas vaizdas buvo sugadintas, ar ne.

Tuo tarpu, Skrodimas baigė savo procedūrą, ir mes turime visą reikiamą informaciją.

  • Pirmiausia pradėsime nuo pagrindinės informacijos, pvz., Naudotos operacinės sistemos, paskutinio vartotojo prisijungimo laiko ir paskutinio asmens, kuris prie kompiuterio prisijungė per nesėkmę. Dėl to mes eisime į Rezultatai> Išgautas turinys> Operacinės sistemos informacija kairėje lango pusėje.

Norėdami peržiūrėti bendrą sąskaitų skaičių ir visas susietas paskyras, einame į Rezultatai> Ištrauktas turinys> Operacinės sistemos vartotojo abonementai. Pamatysime tokį ekraną:

Informacija, pvz., Paskutinis asmuo, prisijungęs prie sistemos, ir prieš vartotojo vardą yra keli pavadinti laukai prieiti, pakeisti, sukurti. Prieinama reiškia paskutinį kartą, kai buvo pasiekta sąskaita (šiuo atveju vienintelė data yra patikima) ir created reiškia paskyros sukūrimo datą ir laiką. Mes matome, kad paskutinis vartotojas, prisijungęs prie sistemos, buvo pavadintas Ponas. Velnias.

Eikime į Programos failus aplankas įjungtas C disko, esančio kairėje ekrano pusėje, kad atrastumėte kompiuterio sistemos fizinį ir interneto adresą.

Mes galime pamatyti IP (Interneto protokolo) adresą ir MAC nurodytos kompiuterinės sistemos adresas.

Eime Rezultatai> Ištrauktas turinys> Įdiegtos programos, matome, kad yra ši programinė įranga, naudojama vykdant kenkėjiškas užduotis, susijusias su ataka.

  • „Cain & abel“: galingas paketų uostymo įrankis ir slaptažodžių nulaužimo įrankis, naudojamas paketams uostyti.
  • Anonimizatorius: įrankis, naudojamas paslėpti piktybinio vartotojo atliekamus takelius ir veiklą.
  • Ethereal: įrankis, naudojamas tinklo srautui stebėti ir paketams užfiksuoti tinkle.
  • Mielas FTP: FTP programinė įranga.
  • „NetStumbler“: įrankis, naudojamas norint rasti belaidį prieigos tašką
  • „WinPcap“: žinomas įrankis, naudojamas „Windows“ operacinėse sistemose prisijungti prie tinklų. Tai suteikia žemo lygio prieigą prie tinklo.

Viduje konors / „Windows“ / sistema32 vietą, galime rasti naudotojo el. pašto adresus. Mes matome MSN paštas, „Hotmail“, „Outlook“ el. pašto adresai.  Taip pat galime pamatyti SMTP pašto adresą čia.

Eikime į vietą, kur Skrodimas saugo galimus kenkėjiškus failus iš sistemos. Eikite į Rezultatai> Įdomūs daiktai, ir mes galime pamatyti pavadintą zombinę bombą unix_hack.tgz.

Kai mes naršėme / Perdirbėjas vietą, radome 4 ištrintus vykdomuosius failus, pavadintus DC1.exe, DC2.exe, DC3.exe ir DC4.exe.

  • Eterinis, garsus uostydamas Taip pat atrandamas įrankis, kuris gali būti naudojamas visų rūšių laidinio ir belaidžio tinklo srautams stebėti ir perimti. Mes surinkome užfiksuotus paketus ir katalogą, kuriame jie yra / Dokumentai, failo pavadinimas šiame aplanke yra Perėmimas.

Šiame faile matome duomenis, kuriuos naudojo auka Naršyklė, belaidžio kompiuterio tipą ir sužinojome, kad tai buvo „Internet Explorer“ sistemoje „Windows CE“.  Buvo internetinės svetainės, kuriose lankėsi auka YAHOO ir MSN .com, ir tai taip pat buvo rasta perėmimo byloje.

Atrandant Rezultatai> Ištrauktas turinys> Žiniatinklio istorija,

Tai galime pamatyti tyrinėdami pateiktų failų metaduomenis, vartotojo istoriją, aplankytas svetaines ir el. Pašto adresus, kuriuos jis pateikė prisijungdamas.

Ištrintų failų atkūrimas:

Ankstesnėje straipsnio dalyje mes atradome, kaip iš bet kurio įrenginio, kuriame galima saugoti duomenis, pvz., Mobiliuosius telefonus, kietuosius diskus, kompiuterines sistemas ir kt., Atvaizdą, išskleisti svarbią informaciją. Tarp pačių būtiniausių teismo medicinos agento talentų, tikriausiai, yra svarbiausia atkurti ištrintus įrašus. Kaip tikriausiai žinote, „ištrinti“ dokumentai lieka saugojimo įrenginyje, nebent jis perrašomas. Ištrynus šiuos įrašus, prietaisas iš esmės tampa prieinamas ir perrašomas. Tai reiškia, kad jei įtariamasis ištrina įrodymų įrašus, kol juos perrašo dokumentų sistema, jie lieka mums prieinami, kad susigrąžintume.

Dabar mes pažvelgsime, kaip atkurti ištrintus failus ar įrašus naudojant „Sleuth“ rinkinio autopsija. Atlikite visus anksčiau nurodytus veiksmus, o kai vaizdas bus importuotas, pamatysime tokį ekraną:

Kairėje lango pusėje, jei dar labiau išplėsime Failų tipai parinktį, pamatysime daugybę kategorijų Archyvai, garso, vaizdo įrašai, vaizdai, metaduomenys, vykdomieji failai, tekstiniai failai, dokumentai (html, pdf, word, .ppx ir kt.), suglaudintus failus. Jei spustelėsime vaizdai, jame bus rodomi visi atkurti vaizdai.

Šiek tiek toliau, subkategorijoje Failų tipai, pamatysime pasirinkimo pavadinimą Ištrinti failai. Spustelėję tai, apatiniame dešiniajame lange pamatysime keletą kitų parinkčių analizuojamų etikečių skirtukų pavidalu. Skirtukai yra pavadinti Šešiakampis, rezultatas, indeksuotas tekstas, eilutės, ir Metaduomenys. Skirtuke Metaduomenys pamatysime keturis pavadinimus parašyta, prieinama, pakeista, sukurta. Parašyta reiškia datą ir laiką, kada failas buvo paskutinį kartą parašytas,  Prieinama reiškia paskutinį kartą, kai buvo pasiekta byla (šiuo atveju vienintelė data yra patikima), Pasikeitė reiškia paskutinį kartą, kai buvo pakeisti failo aprašomieji duomenys, Sukurta reiškia failo sukūrimo datą ir laiką. Dabar, norėdami atkurti norimą ištrintą failą, spustelėkite ištrintą failą ir pasirinkite Eksportuoti. Jis paprašys vietos, kurioje bus saugomas failas, pasirinks vietą ir spustelės Gerai. Įtariamieji dažnai stengsis aprėpti savo takelius ištrindami įvairius svarbius failus. Kaip teismo ekspertas žinome, kad tol, kol tuos dokumentus neperrašys bylų sistema, juos galima atgauti.

Išvada:

Mes išnagrinėjome procedūrą, kaip naudingą informaciją išgauti iš tikslinio vaizdo „Sleuth“ rinkinio autopsija vietoj atskirų įrankių. Skrodimas yra pasirinkimas bet kuriam teismo tyrėjui ir dėl jo greičio bei patikimumo. Autopsijoje naudojami keli pagrindiniai procesoriai, kurie lygiagrečiai vykdo foninius procesus, o tai padidina jo greitį ir suteikia mums rezultatus per trumpesnį laiką ir pateikia ieškomus raktinius žodžius, kai tik jie randami ekrane. Laikmetyje, kai teismo medicinos įrankiai yra būtini, skrodimas suteikia tas pačias pagrindines funkcijas nemokamai, kaip ir kiti mokami teismo medicinos įrankiai.

Skrodimas yra prieš kai kurių mokamų įrankių reputaciją, taip pat suteikia keletą papildomų funkcijų, tokių kaip registro analizė ir žiniatinklio artefaktų analizė, kurių kiti įrankiai neturi.  Skrodimas yra žinomas dėl intuityvaus gamtos naudojimo. Spartus dešiniuoju pelės mygtuku spustelėkite svarbų dokumentą. Tai reiškia, kad šalia nulio yra ištvermės laikas norint sužinoti, ar mūsų įvaizdyje, telefone ar asmeniniame kompiuteryje yra aiškūs užsiėmimo terminai, į kuriuos žiūrima. Vartotojai taip pat gali grįžti atgal, kai gilūs ieškojimai virsta aklavietėmis, naudodamiesi atgaline ir pirmine istorijos gaudyklėmis, kad padėtų sekti jų galimybes. Vaizdo įrašą taip pat galima pamatyti be išorinių programų, todėl greitesnis naudojimas.

Miniatiūrų perspektyvos, įrašų ir dokumentų tipo išdėstymas, filtruojant gerus failus ir pažymint baisius, naudojant atskirų maišos rinkinių atskyrimą, yra tik dalis skirtingų akcentų, kuriuos galite rasti „Sleuth“ rinkinio autopsija 3 versija siūlo reikšmingus patobulinimus iš 2 versijos.„Basis Technology“ paprastai parėmė darbą dėl 3 versijos, kur Brianas Carrieris, atlikęs didelę darbo dalį dėl ankstesnių Skrodimas, yra CTO ir pažangiosios kriminologijos vadovas. Jis taip pat vertinamas kaip „Linux“ meistras ir sukūrė knygas apie išmatuojamą informacijos gavybą, o „Basis Technology“ kuria „Sleuth Kit“. Todėl klientai greičiausiai gali būti tikrai tikri, kad jie gauna padorų daiktą, daiktą, kuris artimiausiu metu niekur nedings, ir tą, kuris greičiausiai bus palaikomas kas bus ateityje.

Peržiūrėkite pelės mygtukus skirtingai programinei įrangai naudodami „X-Mouse Button Control“
Galbūt jums reikia įrankio, kuris galėtų pakeisti jūsų pelės valdymą kiekvienoje jūsų naudojamoje programoje. Tokiu atveju galite išbandyti programą, ...
„Microsoft Sculpt Touch“ belaidžio pelės apžvalga
Neseniai skaičiau apie „Microsoft Sculpt Touch“ belaidę pelę ir nusprendė ją nusipirkti. Kurį laiką naudojęs, nusprendžiau pasidalinti savo patirtimi....
„AppyMouse“ ekrano „Trackpad“ ir pelės žymeklis, skirtas „Windows“ tabletėms
Planšetinių kompiuterių vartotojai dažnai praleidžia pelės žymeklį, ypač kai įprasta naudoti nešiojamus kompiuterius. Jutiklinio ekrano išmanieji tele...