Статья Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя

usbForensics_GBHackers.jpg


Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.

Обработка образа диска – криминалистический анализ USB:

  • Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
  • Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
  • Однако широкий ассортимент известных инструментов используется в суде для проведения анализа.
  • Стандартные инструменты разрешены исключительно в соответствии с законом. Криминалистические эксперты не разрешают выполнять обработку образа с помощью неизвестных инструментов, или новых инструментов.
  • : Encase Forensic Imager и его расширение (Imagename.E01) Инструменты Судебно-медицинской экспертизы и анализ:
  • Т.к. Encase forensic software стоит около $2,995.00 – $3,594.00, то в этой статье обработка данных и анализ будут проведены при помощи программного обеспечения для криминалистического анализа FTK (FTK Forensic software), созданного AccessData.

FTK Включает автономный дисковод, простой, но четкий инструмент.

FTK блок формирования изображений

Untitled-2-1.png


Изображение, приведенное выше, является панелью Access data FTK Imager.


Дерево доказательств


Untitled-2-1.png


  • Нажмите на зеленую кнопку в верхнем левом углу, чтобы добавить данные в панель и выбрать тип источника данных.
  • Источник данных - логический диск (USB).

Логический диск

  • Проверьте выпадающее меню, для того, чтобы выбрать HP USB для анализа
Untitled1.png


Untitled3-1.png



Данные дерева данных

Untitled4.png


  • Расширение дерева данных устройства USB будет представлять общий вид данных, удаленных в прошлом.
  • Прокрутите еще раз, чтобы проверить и исследовать тип удаленных данных.

Предупреждение: рекомендуется не работать с оригинальными данными в ходе расследования, потому что случайное копирование новых данных на USB будет накладываться на прошлые удаленные файлы на USB-диске. Целостность данных не срабатывает, поэтому всегда работайте с криминалистической копией образа.

Создание образа USB:

Выберите и создайте образ диска из меню файла.

Untitled5.png


Формат образа диска

Нажмите кнопку «Добавить» и выберите соответствующий тип формата образ E01.

Untitled7.png


Рисунок, изображенный выше, иллюстрирует, что выбранный тип образа - E01.

Информация о данных

Следует обязательно добавить дополнительную информацию о типе USB, размере, цвете и больше идентификационной информации о данных.

Untitled8.png


Адрес назначения образов

Выберите путь назначения USB-файла C:\Users\Balaganesh\Desktop\New folder, а название файла образа - HP Thumb Drive.

Untitled6.png


Untitled9.png


Создание образа – криминалистический анализ USB

Untitled11.png


  • Данное изображение показывает, что образ USB формата .E01 находится в процессе обработки.
  • Создание образа файла может занять от нескольких минут до нескольких часов.

Криминалистический образ:

Отключите USB-накопитель и храните оригинальные данные в безопасности, а всегда работайте с образом, специально сделанным для криминалистического анализа.

Untitled12.png


Данное изображение показывает, что должна быть выбрана криминалистическая копия или образ. В данном случае образ для криминалистического анализа - HP.E01

Анализ цифровых данных:

1-2.png


Изображение иллюстрирует некоторую сомнительную деятельность на USB-накопителе, которая могут быть обнаружена.
Удалены антивирус, незаконные материалы и другие папки.

Восстановление удаленных файлов и папок:

Здесь мы выяснили, что USB содержит некоторые подозрительные названия файлов в формате pdf.

1-2.png


Извлечение данных:

Unt.png


Uno.png


Наконец, мы восстановили вредоносные ссылки Tor в .onion в формате pdf в качестве доказательства. Счастливого расследования!!!


Примечание: В некоторых случаях извлеченный файл может быть пустым, он показывает, что на новые файлы была произведена запись. В этом случае атрибуты файлов будут являться доказательством.



Источник:
 

Igor_Mich

Green Team
13.05.2019
17
8
BIT
0
Реву кровавыми слезами от автоматического перевода текста Гуглом. "Инструменты Судебно-медицинской экспертизы", "автономный дисковод", "дерево данных" и т.д.
 
Последнее редактирование:
  • Нравится
Реакции: Rocoss_10 и g00db0y
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!