Как да заснемете вашето изображение на диска за криминалистични разследвания?
Процедури за разследване и развитие:
За провеждане на цифрови разследвания и съдебномедицински експертизи на устройството на заподозрения. Нашият основен изследователски фокус е да изследваме диск. В този раздел трябва да прегледаме съдържанието му и да извършим следните дейности на устройството, като използваме олекотения инструмент за преглед на изображения FTK [1].
1. Документирайте веригата от доказателства за устройството, което планирате да придобиете.
2. Премахнете устройството от компютъра на заподозрения.
3. За IDE устройства конфигурирайте джъмперите на подозрителното устройство според нуждите. (Забележка: Тази стъпка не се отнася за SATA или USB устройства.)
4. Свържете съмнителното устройство към USB или FireWire устройство за блокиране на запис.
5. Създайте папка за съхранение на целевото устройство. За тази дейност използвате работната си папка (C:\Work\Chap03\Chapter), но в реалния живот бихте използвали име на папка като C:\Evidence.
Стъпка 1: Първо отворете прозореца на началния екран на „FTK Imager Lite tool“ на вашия компютър. Както е показано на фигура 1.
Стъпка 2:В главния прозорец на FTK Imager щракнете върху Файл, Създаване на изображение на дискот менюто.
Стъпка 3:В диалоговия прозорец Избор на източник щракнете върху бутона за опция Физическо устройство, ако е необходимо, и след това щракнете върху Напред.
Стъпка 4:В диалоговия прозорец Създаване на изображение щракнете, за да поставите отметка в квадратчето Проверка на изображенията, след като са създадени, ако е необходимо, и след това щракнете върху Добавяне. В диалоговия прозорец Избор на тип изображение, който се отваря (вижте Фигура 3–4), щракнете върху бутона за опции Необработен (dd)акое необходимо, и след това щракнете върху Напред.
В стъпка 4 се натъкваме на типовете изображения на дестинацията. В следващия раздел описахме изчерпателно типовете формати на изображения. Ние използваме Raw(dd) за този проект.
Типове целеви изображения:
Стъпка 5:В диалоговия прозорец Информация за доказателствен елемент попълнете информацията за случая, както е показано на Фигура 3–5, и след това щракнете върху Напред.
Стъпка 6:В диалоговия прозорец Избор на дестинация за изображение (вижте Фигура 3–6), щракнете върху Преглед, навигирайте до местоположението на файла с изображение (вашата работна папка) и щракнете, за да премахнете отметката от квадратчето Използване на AD Encryption, ако е необходимо. В текстовото поле Име на файл с изображение (без разширение) въведете InChp03-ftk и след това щракнете върху Край.
Стъпка 7: След това в диалоговия прозорец Създаване на изображение щракнете върху Старт, за да започнете придобиването.
Стъпка 8: Когато FTK Imager завърши придобиването, прегледайте информацията в диалоговия прозорец Drive/ Image Verify Results и след това щракнете върху Затваряне. Щракнете върху Затварянеотново в диалоговия прозорец Създаване на изображение.
Стъпка 9: Излезте от FTK Imager Lite, като щракнете върху Файл, Изходот менюто.
Заключение:
Научихме придобиването на изображения чрез следните дейности на диска на заподозрения, как да проведем разследване на диска, като създадем диск за копия на изображения и съхраняваме изображението в целевата папка с един том или разделени томове. Например в този процес на получаване на изображение използвахме стандартни сегменти от обем от 1500 MB, за да получим изображението и да го съхраним на криминалистичната работна станция.
Практически проект 4–3, Разглеждане на дело за патент M57
Процедури за разследване и развитие:
В този проект трябва да проведем вътрешни дигитални разследвания и криминалистични експертизи на USB устройство, принадлежащо на Тери, това USB може да съдържа информация за патент M57 на компанията. Нашият основен фокус на разследването е да изследваме USB устройство, за да установим дали Тери е замесен в нещо незаконно или против политиката на компанията. Всички необходими процедури като идентифициране, анализиране, разследване, разработване, тестване на различни операции са документирани с инструмента OSForensics от Demoware [3].
Стъпка 1: Първо отворете прозореца на началния екран на „OSForensics tool“ на вашия компютър. Както е показано на фигура 1. Ако е необходимо, щракнете върху OKили Yesв полето за съобщение на UAC. В полето за съобщение OSForensics щракнете върху Продължете да използвате пробна версия.
Стъпка 2: Кликнете върху Стартв левия панел, ако е необходимо. В десния панел щракнете върху Създаване на случай.
Стъпка 3: В диалоговия прозорец Нов случай въведете вашето име в текстовото поле Investigator. В текстовото поле Име на случай въведете M57-Terrys USB устройство. Попълнете данните за контакт и организацията и след това щракнете върху Проучване на диск(ове) от друга машина.
Стъпка 4: Щракнете върху Персонализирано местоположениеза папката на случая. Щракнете върху бутона Прегледдолу вдясно, отворете и щракнете върху работната си папка и след това щракнете върху ОКдва пъти. Трябва да видите прозореца Управление на случай.
Стъпка 5:Щракнете върху бутона Добавяне на устройство, за да отворите диалоговия прозорец „Избор на устройство за добавяне“, след което щракнете върху бутона за опции Файл с изображение. Щракнете върху бутона за преглед, навигирайте до папката, в която сте копирали изображения, и щракнете върху terry-work-usb-2009–12–11.E01. Кликнете върху Отвори.
Стъпка 6:В полето за съобщение кой дял да използвате, оставете настройката по подразбиране за използване на целия файл с изображение и след това щракнете върху OK. Щракнете върху OK, за да затворите диалоговия прозорец „Избор на устройство за добавяне“.
Стъпка 7:Щракнете върху името на файла terry-work-usb-2009–12–11.E01долу вдясно и след това щракнете върху Отвори бутон отляво, за да отворите прозореца на браузъра на файловата система.
Стъпка 8: Щракнете върху иконата Търсене на име на файлв прозореца на браузъра на файловата система или в левия панел на главния прозорец. В текстовото поле за низ за търсене въведете коте*. Най-вдясно щракнете върху бутона Търсене. Забележете, че „котешкото порно“ не е на неговото USB устройство.
Стъпка 9:Щракнете върху бутона Създаване на индексв левия панел. (Забележка: Може да се наложи да щракнете върху Нов индекс, ако прозорецът показва резултатите от индекса на USB устройството на Чарли.) В прозореца Стъпка 1 от 5 щракнете върху Използване на предварително зададени Типове файлове, щракнете върху всички изброени типове файлове и след това щракнете върху Напред.
Стъпка 10:В прозореца Стъпка 2 от 5 щракнете върху USB изображението на Чарлии щракнете върху Премахване, за да го изтриете от списъчното поле, ако е необходимо. Щракнете върху Добавяне, щракнете върху terry-work-usb-2009–12–11.E01, щракнете върху OK и след това щракнете върху Напред.
Стъпка 11: В прозореца Стъпка 3 от 5 въведете Индексиране на всички типове файловев текстовото поле Заглавие на индекса и след това щракнете върху Стартиране на индексирането. Когато индексирането приключи, което може да отнеме до един час, щракнете върху OKв полето за съобщение.
Стъпка 12: Щракнете върху бутона Отваряне на дневникадолу вдясно и прегледайте дневника. Забележете дали са докладвани грешки и броя на обработените файлове, след което затворете регистрационния файл.
Стъпка 13:Щракнете върху бутона Управление на случайв левия прозорец. В долния десен панел щракнете двукратно върху Terrys USBпод заглавието Devices, отворете текстови или картинни файлове и ги прегледайте.
Стъпка 14:Превъртете до дъното на левия панел и щракнете върху бутона Изход. Напишете документ от една до две страници, в който обяснявате важността на файловете, които сте прегледали. Как могат да повлияят на патентно дело? Когато приключите, излезте от OSForensics.
Заключение:
В този проект проведохме вътрешни дигитални разследвания и криминалистични експертизи на USB устройство, принадлежащо на Тери, това USB съдържа информация за патент M57 на компанията. В стъпка 8 се натъкнахме на проблем, иконата за търсене на име на файл в прозореца на браузъра на файловата система, използвахме kitty*. И го претърси. Забелязахме в резултатите, че „котешкото порно“ не е на неговото USB устройство. Вследствие на това наследихме различен подход, започнахме да създаваме нов индекс и индексирахме всички типове файлове на USB устройството. В резултат на това идентифицирахме двадесет и четири файла, свързани с патент M57. Установено е, че Тери е участвал в действия за кражба на интелектуална собственост (IP), което противоречи на политиката на компанията. Всички производни от това разследване ще бъдат използвани срещу Тери с помощта на този доклад и USB устройство. Следващата стъпка в това разследване е предоставена на правния отдел, за да продължи по-нататък със законовите задължения.
- - - - - - - - - - - - - КРАЙ - - - - - - - - - - - -
Цитат на деня: 猿も木から落ちる(saru mo ki kara ochiru)
Обяснение: Ако отначало не успеете, опитайте и опитайте отново
Благодаря за четенето!
Приятен ден!
Не забравяйте да проверите тези статии ⬇️ Най-доброто в града 😉
„Как да създадете екип за сигурност за управление на уязвимости, роли и отговорности във вашите организации?“
Топ-14 практики за сигурно кодиране на OWASP за разработчици на софтуер
„Как вътрешната сигурност (DHS) събира, използва, защитава личните данни на граждани на САЩ, жители, B1/B2 посетители?“
