Skelbimas
Nesvarbu, ar tai FTB įsigilinus į kompiuterį, priklausantį įsilaužėliui, bendrovei, atliekančiai vidinį kompiuterio auditą, ar tinklo administratoriui, bandančiam išsiaiškinti kodėl virusas kilo iš konkretaus kompiuterio - esmė ta, kad norint atlikti išsamią kompiuterinės kriminalistikos analizę, reikia programinės įrangos, kuri galėtų giliai kasti ir atlikti darbą teisingai.
Mano pačios patirtis rodo, kad retai galite rasti nemokamą programinę įrangą, kuri su tuo gerai dirba. Daugelis policijos agentūrų visame pasaulyje perka brangią programinę įrangą savo kompiuteriniam teismo ekspertizės skyriui.
Vis dėlto ten yra nemokami kompiuterio gedimų šalinimo ir taisymo įrankiai, tokie kaip duomenų atkūrimo programos 3 puikūs failų atkūrimo įrankiai Skaityti daugiau Vaikinas apėmė ir „Net Tools 2008“, administratoriaus įrankis, kurį apėmė Karlas. Dar vienas nemokamas įrankis, kuris yra toks pat galingas ir pajėgus kaip daugelis mokamų kompiuterinės kriminalistikos programinės įrangos paketų, yra žinomas kaip OSForensics.
Kriminalistikos analizės atlikimas
Geriausias būdas analizuoti ir šalinti kompiuterio sistemą iš viršaus į apačią yra lėtas ir metodiškas. Puikus „OSForensics“ dalykas yra tai, kad tai yra tarsi virtualus portfelis, kuriame galite laikyti visą jūsų atliekamą darbą. Jei turite kelis kompiuterius, kuriuose dirbate, galite nustatyti šią programinę įrangą savo darbo kompiuteryje ir parodyti nuotolinio kompiuterio standųjį diską analizei. Programinė įranga leis jums saugoti kiekvieno kompiuterio, kuriame dirbate, dėklą.
Kaip matote iš aukščiau esančio paveikslėlio, visi įrankiai yra išdėstyti kairėje meniu juostoje. Viskas, ką jums reikia padaryti, tai padaryti juos žemyn, jei nežinote, nuo ko pradėti. Jei turite tikslingesnį tikslą, tada pereikite prie kompiuterio srities, kurią norite atidžiau ištirti. Vienas iš geriausių įrankių pagalbos personalui, norinčiam nustatyti virusą ar trojanų failą, yra „maišos rinkiniai.”
![Ištirkite arba šalinkite kompiuterių sistemas naudodami „OSForensics“ [Windows] teismo ekspertizę2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Šioje srityje galite analizuoti ne tik failus, bet ir konkrečias jūsų apibrėžtas programas. Kiekvienoje programoje yra rinkinys failų, kuriuos galite peržiūrėti dukart spustelėję programą. „Hash Set Viewer“ pateikia visus kiekvieno failo skaičiavimus.
Kitas galimas įrankis yra galimybė sukurti „parašą“. Tai naudinga ilgą laiką kai įtariama, kad tam tikra veikla vykdoma tam tikroje vietoje kompiuteris.
Galite sukurti parašą, kuris nufotografuos failus ir katalogus. Tada galite naudoti „palyginti parašąĮrankis, skirtas patikrinti, ar pakeitimai buvo padaryti po kelių savaičių ar mėnesio. Programinė įranga taip pat tiekiama su failų paieškos įrankiu, kuriame galite filtruoti rezultatus pagal atvaizdus, biuro dokumentus ar suglaudintus failus.
Dar geriau, galite naudoti unikalų ir labai naudingą „Nesutampa failų paieškaĮrankis, skirtas atsijoti įtartinus katalogus ir identifikuoti visus failus, kuriuos kompiuterio savininkas galėjo pervardyti, kad tik būtų galima nuslėpti tikrąją failo tapatybę. Pavyzdžiui, pervardyti vaizdo failą su „txt“ plėtiniu arba įslaptintą dokumentą su „.jpg“ plėtiniu.
![Ištirkite arba šalinkite kompiuterių sistemas naudodami „OSForensics“ [Windows] teismo ekspertizę5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Grįždami prie failų analizės naudodami maišos metodą, „Patikrinkite / sukurkite maištą“Leidžia palyginti žinomą failo maišos vertę (kokia jos vertė turėtų būti) ir apskaičiuota šio kompiuterio failo maišos vertė.
Kita sritis, kurioje ši programinė įranga tikrai išsiskiria kriminalistine analize, yra galimybė labai greitai persijoti tūkstančius failų, kad būtų galima nustatyti konkrečius teksto raktinius žodžius. Pirmasis žingsnis pagreitinti procesą yra sukurti bet kurio kompiuterio katalogo rodyklę. Kai tai bus padaryta, jis praneš apie unikalių žodžių, rastų visuose failuose, skaičių.
Kai tai bus padaryta, tiesiog naudokite „Paieškos indeksasĮrankis, skirtas naršyti failus, vaizdus ir el. Laiškus, kad būtų galima atsekti bet kokį konkretų įvykį ar jūsų ieškomą turinį.
Kitas kompiuterio kriminalistikos įrankis, kurį atpažins dauguma „Windows“ vartotojų, yra „Paskutiniai veiksmaiĮrankis. Nors jis atrodo panašus į „Naujausi dokumentaiĮrankis, ši programa iš tikrųjų gilinasi šiek tiek giliau, ieškodama MRU įrašų, USB įrašų, slapukų, atsisiuntimų ir dar daugiau. Galbūt savininkas jau bandė išvalyti asmeninį kompiuterį, tačiau daugelis žmonių nesupranta visų vietų, kur vykdoma veikla, taigi šis įrankis gali rasti likusių šios veiklos pėdsakų.
Kitas labai puikus bruožas yra „Ištrinta failų paieškaĮrankis, leidžiantis atsijoti įrašus, kuriuose nurodomos abejotinos neseniai ištrintos bylos. Pastebėjau, kad ši ypatybė nėra apsaugota nuo kvailio. Jis bandys nustatyti ištrintų failų mikroelementus, tačiau ne visada tai pavyksta.
Galiausiai, kai tikrai norisi rasti likusių nusikaltimo įrodymų, jums gali tekti paimti „atminties žiūrėtojas“Pasivažinėjimui. Šioje kompiuterinėje kriminalistikos programoje pateikiami visi kietosios atminties adresai ir saugoma informacija. Galite perkelti atminties turinį į CSV failą, kad galėtumėte spustelėti bet kokius įkalčius ar rūkyti.
Kaip matote, „OSForensics“ yra gana galinga programinė įranga tiems, kurie kartais turi apgailėtina užduotis, kai reikia ištirti asmens, kuris kaltinamas tuo, kompiuterinę sistemą kažkas negerai. Kartais tinkamas, nuodugnus kompiuterio teismo ekspertizės tyrimas gali pateikti įtikinamų įrodymų, kurie gali sudaryti ar nutraukti bylą.
Ar jūs kada nors naudojote OSForensics? Ką tu manai? Ar žinote apie kitas panašias programas, kurios yra tokios pat geros ar geresnės? Pasidalykite savo mintimis komentarų skiltyje žemiau.
Vaizdo kreditas: Peteris Hostermannas
Ryanas turi elektros inžinerijos bakalauro laipsnį. Jis 13 metų dirbo automatikos inžinerijoje, 5 metus IT srityje, o dabar yra programų inžinierius. Buvęs „MakeUseOf“ generalinis redaktorius, jis kalbėjo nacionalinėse duomenų vizualizacijos konferencijose ir buvo rodomas per nacionalinę televiziją ir radiją.
