Autopsy je software používaný pro forenzní analýzu obrazu pevného disku. Jedná se o bezplatné a otevřené zdrojové rozhraní, které vám umožňuje vyhledávat a analyzovat oddíly nebo obrazy disků.
Nástroj Autopsy může fungovat na různých operačních systémech, jako například:
- Linux
- Okna
- Mac OSx
- Zdarma BSD
Autopsy je platforma pro digitální forenzní analýzu a grafické rozhraní Sleuthkit a další digitální forenzní nástroje. Používají ho vlády a veřejné a soukromé subjekty, bezpečnostní síly jako policie a armáda, stejně jako profesionálové a počítačoví experti k vyšetřování toho, co se stalo na počítači. Po incidentu, jako je útok nebo selhání, můžete procházet úložná zařízení a obnovovat soubory, vyhledávat manipulace se systémem, obnovovat fotografie, obrázky nebo videa.
Nejprve musíme nainstalovat Autopsy v Linuxu, který je dodáván v úložištích, ve Windows si jej můžete stáhnout zde:
STÁHNOUT AUTOPSY
V tomto tutoriálu uvidíme Pitevní instalace na Linuxu. Otevřeme okno terminálu a zadáme následující příkazy:
1. Instalujeme rámec TSK
sudo apt-get install sleuthkit2. Poté nainstalujeme Autopsy
apt-get pitvaRámec TSK obsahuje sadu knihoven a modulů, které lze použít k vývoji pluginů a příkazů pro dovednosti počítačové forenzní. Rámec TSK je rozhraní příkazového řádku, které k analýze obrazů disků používá různé moduly.
Poté můžeme spustit aplikaci z okna terminálu pomocí příkazu:
sudo pitva
Dále přejdeme do libovolného prohlížeče a napíšeme adresu URL http: // localhost: 9999 / pitva že Autopsy nám říká, že bude fungovat jako server, dokud ho budeme mít spuštěný.
Než budeme pokračovat, potřebujeme mít obrázek některých zařízení, můžeme buď vytvořit obraz našeho disku, nebo můžeme získat ukázkové obrázky na internetu, například na webových stránkách http://dftt.sourceforge.net/ můžeme stáhnout několik obrázky, které představují různé problémy k analýze.
Můžeme si stáhnout například některé z následujících obrázků.
Hledání JPEG.webp: Tento testovací obrázek je souborový systém Windwos XP NTFS s 10 obrázky jpg.webp v různých adresářích. Obrázky zahrnují soubory s nesprávnými příponami, obrázky vložené do souborů zip a soubory aplikace Word. Zde můžeme zapracovat na obnově obrazu. Odtud si můžeme stáhnout JPEG.webp Search.
Obnovení NTFS: Tento testovací obrázek je 6 MB souborový systém NTFS s osmi odstraněnými soubory, dvěma odstraněnými adresáři a odstraněným alternativním datovým proudem. Soubory se pohybují od rezidentních souborů, jednotlivých souborů klastru a více střepů. V tomto procesu nebyly upraveny žádné datové struktury, které by zmařily obnovu. Byly vytvořeny v systému Windows XP, odstraněny v systému XP a zobrazeny v systému Linux. Odtud můžeme stáhnout NTFS Undelete.
Můžeme také vytvořit obraz disku z Linuxu a zjistíme, které jsou oddíly, pomocí následujících příkazů:
sudo fdisk -l
Například pro vytvoření přesné kopie zaváděcího oddílu, který můžeme použít jako záložní soubor, použijeme následující příkazy:
dd if = /dev /partition-to-save of = /home/directory/copy-partition.imgV tomto případě to bude hlavní oddíl:
dd if = / dev / sda1 of = / home / myuser / partition-sda1-HDD.imgMůžeme také použít software, jako je Clonezilla, což je program pro vytváření diskových oddílů a diskových obrazů, záložních kopií a obnovy systému ze zálohy.
Jakmile budeme mít obrázek k provedení našeho forenzního vyšetřování, jdeme na Pitvu, pro tento tutoriál použijeme Obnovení NTSF.
Rozhraní Autopsy nám umožňuje analyzovat několik případů s různými obrázky a dokonce i několika výzkumníky, poté klikneme na tlačítko Nový případ nebo Nový případ.
Otevře se obrazovka pro vytvoření případu, kde přiřadíme název případu bez mezer, protože z tohoto jména se stane složka, kam budou uloženy informace shromážděné při vyšetřování. V tomto případě bude název EmpresaSA, poté přidáme popis případu, přidáme také jména vyšetřovatelů odpovědných za případ a poté klikneme na Nový případ.
Uvidíme obrazovku, kde jsme informováni, že byla vytvořena složka pro případ a konfigurační adresář.
Dále vytvoříme hostitele, to znamená, že zaregistrujeme data vyšetřovaného zařízení nebo obrazu.
Přidáme název hostitele, popis, GMT čas v případě, že jsme z jiné země, můžeme přidat offsetový čas i s ohledem na počítač a existují databáze, které obsahují hashe známých škodlivých souborů.
Pokud chceme použít databázi, můžeme k detekci známých souborů použít NIST NSRL. Databáze National Software Reference Library, která obsahuje hashe, které mohou být dobré nebo špatné v závislosti na tom, jak jsou klasifikovány.
Lze například rozpoznat existenci určitého softwaru a Pitva zachází se soubory nalezenými v NSRL jako se známými a dobrými, nebo jej nerozpozná a neurčuje, zda je dobrý nebo špatný. Můžeme také implementovat databázi, která ignoruje známé soubory.
Na konci klikneme na PŘIDAT HOST a přejdeme na obrazovku, která nám ukazuje adresář pro tohoto hostitele, ve stejném případě můžeme analyzovat několik hostitelů.
Dále přistupujeme k seznamu hostitelů pro tento konkrétní případ a tím zahájit výzkum na nějakém hostiteli nebo zkontrolujte nějakého hostitele.
Klikneme na náš hostitelský počítač PC031 a poté klikneme na dobře, otevře se obrazovka, na kterou přidáme obrázek hostitele, na který klikneme PŘIDAT SOUBOR OBRÁZKU.
Dále budeme hledat obrázek podle složky, kde ho máme:
Můžeme kliknout pravým tlačítkem a vybrat možnost kopírovat, pak přejdeme na obrazovku přidat hostitele a kliknutím pravým tlačítkem myši a volbou Vložit přidáme cestu k souboru obrázku, můžeme jej také zapsat.
Kromě toho uvedeme typ obrázku, pokud se jedná o disk nebo oddíl, a způsob importu, obrázek lze importovat do Autopsy z jeho aktuálního umístění pomocí symbolického odkazu, zkopírovat jej nebo přesunout.
Soubor obrázku musí mít oprávnění ke čtení, jinak při kliknutí na něj dojde k chybě DALŠÍ (Další)
V tomto případě použijeme obrázek vytvořením kopie, pokud použijeme symbolický odkaz, který je odkazem na místo, kde je obrázek, můžeme mít problém, že bychom mohli obrázek poškodit, pokud jej zkopírujeme, kopie bude vytvořena v adresář případu, ale budeme zabírat více místa, pamatujte, že soubory, které používáme, jsou ukázky, které zabírají asi 150 megabajtů, skutečný obraz počítače nebo serveru může zabírat několik gigabajtů.
Níže ukazuje některé detaily obrázku, který jsme přidali, a umožňuje nám vypočítat nebo ignorovat integritu pomocí kontrolní součet MD5.
Nakonec klikneme na PŘIDAT o Přidat pro přechod na závěrečnou obrazovku, kde nám řekne, že proces skončil, a stiskneme dobře v tomto případě přejděte na hostitelskou obrazovku.
Dále vybereme hostitele, v tomto případě ho máme a klikneme na Analyzovat spusťte analýzu obrazu. Otevře se obrazovka analýzy a my ano Podrobnosti obrázku pro zobrazení systémových informací.
V tomto případě vidíme, že se jedná o oddíl NTFS Windwos XP a další data o velikosti disku a sektorech. Pak můžeme jít do Analýza souborů, chcete -li zobrazit strukturu souborů a adresářů.
V adresářích vidíme spouštěcí adresář, který obsahuje spouštěcí protokoly daného oddílu, pokud klikneme, uvidíme protokol a můžeme jej vidět v různých formátech, jako je ASCII, hexadecimální a textový, v tomto případě vidíme následující chybu:
Došlo k chybě čtení disku - chybí NTLDR
Soubor Windows XP NTLDR je základní součástí zaváděcího sektoru a spouštění systému Windows XP. Počítač se nespustí, pokud je soubor poškozen, nedokončí bootování.
Pokud pak klikneme na odkaz dir ve sloupci Typ, můžeme procházet adresáře a vidět smazané soubory a pokusit se je obnovit.
Počítačová kriminalistika umožňuje identifikaci a objevování relevantních informací ve zdrojích dat jako jsou obrázky pevných disků, USB klíčů, snímky síťového provozu nebo skládky paměti počítače.
Shrneme -li vše, co bylo provedeno pomocí pitvy, můžeme případ znovu otevřít, protože to, co děláme, je uloženo nebo vytvoříme nový případ, kde případ obsahuje několik hostitelů nebo počítačů nebo oddílů logické jednotky, která bude obsahovat vše, co souvisí s vyšetřováním.
Při vytváření případu se proto zadávají informace, jako je vaše identifikační jméno a osoba, která bude data vyšetřovat. Další krok spočívá v přiřazení jednoho nebo více hostitelů k případu, které odpovídají obrázkům, které se chystáme předložit k analýze, nebo forenznímu obrazu, který byl dříve získán z analyzovaného počítače nebo serveru.
Dále tento případ uzavřeme kliknutím na Zavřít a poté na Zavřít hostitele a do případu přidáme nového hostitele, k tomu potřebujeme obrázek Hledání JPEG.webp, obrázek jsme zmínili dříve.
Klikneme na PŘIDAT HOST Abychom přidali nového hostitele, kterého budeme analyzovat, v tomto případě budeme hledat ztracené nebo poškozené obrázky na počítači v oblasti grafického designu.
Po přidání hostitele musíme přidat obrázek jako dříve.
Po dokončení procesu přejdeme na seznam hostitelů dostupných pro tento případ.
Dále vybereme hostitele, který se má prozkoumat, a klikneme na něj dobře.
Poté klikneme na Analyzovat spusťte zobrazení oddílu. V tomto případě se jedná o oddíl Windows XP se souborovým systémem NTFS, na kterém je celkem 10 obrázků JPG.webp. Obrázky obsahují soubory s nesprávnými příponami, obrázky vložené do souborů zip a Word a chyby, které musíme najít a opravit, abychom tyto soubory obnovili.
Účelem tohoto obrazu oddílu je otestovat schopnosti automatizovaných nástrojů, které vyhledávají obrázky JPG.webp.
Procházíme adresáře a v levém sloupci níže vidíme tlačítko VŠECHNY SMAZAT SOUBORY aby nám ukázal všechny odstraněné soubory.
Můžeme také exportovat a stahovat soubory a analyzovat je nebo je obnovit kliknutím na odkaz, který chceme stáhnout, a poté klikneme na Vývozní
Uvnitř najdeme obrázek a některé datové soubory. Můžeme také hledat slova od Hledání klíčových slov jako přípony souborů, jako je doc nebo programy, které mohou fungovat jako crack, virus nebo cokoli, co se může zdát divné.
Všechno získané výsledky lze exportovat do dokumentů HTML kliknutím na odkazy Zpráva každého typu ASCI, hexadecimálního nebo textového zobrazení, za účelem prezentace zprávy našim klientům nebo vedení databáze incidentů.
Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
