USB Forensics

Cristyn De Santis
USB Forensics
L'impiego di USB I dispositivi per archiviare dati personali e informazioni sono di giorno in giorno a causa della portabilità e della natura plug-and-play di questi dispositivi. UN USB (Bus seriale universale) Il dispositivo fornisce una capacità di archiviazione che va da 2 GB a 128 GB o più. A causa della natura furtiva di questi dispositivi, le unità USB possono essere utilizzate per archiviare programmi e file dannosi e pericolosi, come sniffer di pacchetti, keylogger, file dannosi, ecc. Per svolgere compiti dannosi da hacker e script kiddies. Quando le informazioni incriminanti come il ricatto vengono eliminate da un dispositivo USB, la forense USB entrerà in gioco per recuperare le informazioni eliminate. Il recupero o il recupero dei dati eliminati dalle unità USB è ciò che chiamiamo USB Forensics. Questo articolo darà un'occhiata alla procedura professionale per eseguire l'analisi forense su un dispositivo USB.

Crea immagine di copia dell'unità USB

La prima cosa che faremo è fare una copia dell'unità USB. In questo caso, i backup regolari non funzionano. Questo è un passo molto cruciale, e se viene fatto male, tutto il lavoro andrà sprecato. Utilizzare il seguente comando per elencare tutte le unità allegate al sistema:

ubuntu@ubuntu: ~ $ sudo fdisk -l

In Linux, i nomi dell'unità sono diversi da Windows. In un sistema Linux, HDA E HDB sono usati (SDA, sdb, SDC, eccetera.) per SCSI, a differenza del sistema operativo Windows.

Ora che abbiamo il nome dell'unità, possiamo crearne .dd Immagine bit per bit con il dd utilità inserendo il seguente comando:

ubuntu@ubuntu: ~ $ sudo dd if =/dev/sdc1 di = usb.dd bs = 512 conteggio = 1

Se= la posizione dell'unità USB
Di= la destinazione in cui verrà memorizzata l'immagine copiata (può essere un percorso locale sul sistema, E.G. /home/utente/USB.DD)
Bs= il numero di byte che verranno copiati alla volta

Per proteggere la prova che abbiamo la copia dell'immagine originale dell'unità, useremo hashing Per mantenere l'integrità dell'immagine. Hashing fornirà un hash per l'unità USB. Se viene modificato un singolo bit di dati, l'hash verrà modificato completamente e si saprà se la copia è falsa o originale. Genereremo un hash MD5 dell'unità in modo che, rispetto all'hash originale dell'unità, nessuno può mettere in discussione l'integrità della copia.

ubuntu@ubuntu: ~ $ md5sum USB.dd

Questo fornirà un hash MD5 dell'immagine. Ora possiamo iniziare la nostra analisi forense su questa immagine appena creata dell'unità USB, insieme all'hash.

Layout del settore del boot

L'esecuzione del comando file restituirà il file system, nonché la geometria dell'unità:

ubuntu@ubuntu: ~ $ file usb.dd
OK.DD: settore di avvio DOS/MBR, OFFSET CODICE 0x58+2, OEM-ID "MSDOS5.0 ",
Settori/cluster 8, settori riservati 4392, descrittore di media 0xf8,
Settori/traccia 63, teste 255, settori nascosti 32, settori 1953760 (volumi> 32 mb),
Fat (32 bit), settori/grasso 1900, riservato 0x1, numero di serie 0x6efa4158, senza etichetta

Ora possiamo usare il Minfo Strumento per ottenere il layout del settore di avvio NTFS e le informazioni sul settore dell'avvio tramite il seguente comando:

ubuntu@ubuntu: ~ $ minfo -i USB.dd
informazioni sul dispositivo:
====================
filename = "OK.dd "
Settori per traccia: 63
Heads: 255
Cilindri: 122
riga di comando mformat: mformat -t 1953760 -i ok.DD -H 255 -S 63 -H 32 ::
Informazioni sul settore dell'avvio
=======================
Banner: "MSDOS5.0 "
Dimensione del settore: 512 byte
Dimensione del cluster: 8 settori
Settori riservati (avvio): 4392
Grassi: 2
Slot della directory radice disponibile massimo: 0
dimensioni ridotte: 0 settori
Byte descrittore multimediale: 0xf8
Settori per grasso: 0
Settori per traccia: 63
Heads: 255
Settori nascosti: 32
Grandi dimensioni: settori 1953760
ID di unità fisica: 0x80
Riservato = 0x1
dos4 = 0x29
Numero di serie: 6EFA4158
Disk Label = "No Name"
Disk type = "fat32"
Big Fatlen = 1900
Flag estese = 0x0000
FS versione = 0x0000
rootcluster = 2
Posizione infosettore = 1
Settore di avvio di backup = 6
Infosettore:
firma = 0x41615252
cluster gratuiti = 243159
Ultimo cluster assegnato = 15

Un altro comando, il fstat comando, può essere utilizzato per ottenere informazioni generali conosciute, come strutture di allocazione, layout e blocchi di avvio, sull'immagine del dispositivo. Useremo il seguente comando per farlo:

ubuntu@ubuntu: ~ $ fstat usb.dd
--------------------------------------------
Tipo di file system: FAT32
Nome OEM: msdos5.0
Volume ID: 0x6EFA4158
Etichetta del volume (settore di avvio): nessun nome
Etichetta del volume (directory principale): Kingston
Etichetta del tipo di file system: FAT32
Next Sector gratuito (FS Info): 8296
Conteggio del settore gratuito (informazioni FS): 1945272
Settori prima del file system: 32
Layout del file system (in settori)
Range totale: 0 - 1953759
* Riservato: 0 - 4391
** Settore di avvio: 0
** Settore info FS: 1
** Settore di avvio di backup: 6
* Fat 0: 4392 - 6291
* Fat 1: 6292 - 8191
* Area dati: 8192 - 1953759
** Area del cluster: 8192 - 1953759
*** Directory radice: 8192 - 8199
Informazioni sui metadati
--------------------------------------------
Intervallo: 2 - 31129094
Directory principale: 2
Informazioni sui contenuti
--------------------------------------------
Dimensione del settore: 512
Dimensione del cluster: 4096
Gamma di cluster totali: 2 - 243197
Contenuto di grasso (nei settori)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF

File eliminati

IL Kit Sleuth fornisce il fls strumento, che fornisce tutti i file (soprattutto i file eliminati di recente) in ciascun percorso o nel file di immagine specificato. Qualsiasi informazione sui file eliminati è disponibile utilizzando il fls utilità. Immettere il comando seguente per utilizzare lo strumento FLS:

ubuntu@ubuntu: ~ $ fls -rp -f fat32 usb.dd
R/R 3: Kingston (voce dell'etichetta del volume)
D/D 6: Informazioni sul volume del sistema
R/R 135: Informazioni sul volume del sistema/Wpsettings.dat
R/R 138: Informazioni sul volume del sistema/indiceServolumeguid
R/R * 14: Game of Thrones 1 720p X264 DDP 5.1 Esub - XRG.mkv
R/R * 22: Game of Thrones 2 (pretcakalp) 720 x264 DDP 5.1 Esub - XRG.mkv
R/R * 30: Game of Thrones 3 720p X264 DDP 5.1 Esub - XRG.mkv
R/R * 38: Game of Thrones 4 720p X264 DDP 5.1 Esub - XRG.mkv
D/D * 41: Oceans Twelve (2004)
R/R 45: minuti di PC-I tenuti su 23.01.2020.docx
R/R * 49: minuti di LEC tenuto su 10.02.2020.docx
r/r * 50: windump.exe
R/R * 51: _WRL0024.tmp
R/R 55: minuti di LEC tenuto su 10.02.2020.docx
d/d * 57: nuova cartella
D/D * 63: Avviso di gara per apparecchiature per infrastrutture di rete
R/R * 67: Avviso di gara (Mega PC-I) Fase II.docx
r/r * 68: _wrd2343.tmp
R/R * 69: _WRL2519.tmp
R/R 73: Avviso di gara (Mega PC-I) Fase II.docx
V/V 31129091: $ MBR
V/V 31129092: $ fat1
V/V 31129093: $ fat2
d/d 31129094: $ orfanfiles
-/r * 22930439: $ BAD_CONTENT1
-/r * 22930444: $ BAD_CONTENT2
-/r * 22930449: $ BAD_CONTENT3

Qui, abbiamo ottenuto tutti i file pertinenti. Sono stati utilizzati i seguenti operatori con il comando FLS:

-P = usato per visualizzare il percorso completo di ogni file recuperato
-R = usato per visualizzare i percorsi e le cartelle in modo ricorsivo
-F = il tipo di file system utilizzato (FAT16, FAT32, ecc.)

L'output sopra mostra che l'unità USB contiene molti file. I file eliminati recuperati sono annotati con "*" cartello. Puoi vedere che qualcosa non è normale con i file denominati $BAD_CONTENT1, $BAD_CONTENT2, $BAD_CONTENT3, E windump.exe. Windump è uno strumento di acquisizione del traffico di rete. Utilizzando lo strumento Windump, si possono acquisire dati non intesi per lo stesso computer. L'intento è mostrato nel fatto che il windump del software ha lo scopo specifico di acquisire il traffico di rete ed è stato intenzionalmente utilizzato per ottenere l'accesso alle comunicazioni personali di un utente legittimo.

Analisi della sequenza temporale

Ora che abbiamo un'immagine del file system, possiamo eseguire l'analisi della sequenza temporale MAC dell'immagine per generare una sequenza temporale e posizionare il contenuto con la data e l'ora in un formato sistematico e leggibile. Entrambi i fls E ils I comandi possono essere utilizzati per creare un'analisi della sequenza temporale del file system. Per il comando FLS, dobbiamo specificare che l'output sarà in formato output della sequenza temporale MAC. Per farlo, eseguiremo il fls comando con il -M flag e reindirizza l'output su un file. Useremo anche il -M bandiera con il ils comando.

ubuntu@ubuntu: ~ $ fls -m / -rp -f fat32 ok.DD> USB.fls
ubuntu@ubuntu: ~ $ cat usb.fls
0 |/Kingston (voce dell'etichetta del volume) | 3 | r/rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 |
0 |/Informazioni sul volume del sistema | 6 | D/DR-XR-XR-X | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 |/Informazioni sul volume del sistema/WPSettings.Dat | 135 | r/rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 15311555908 | 0 | 1531155906
0 |/Informazioni sul volume del sistema/indiceServolumeGuid | 138 | r/rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 Esub - XRG.mkv (cancellato) | 14 | r/rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 Esub - XRG.MKV (cancellato) | 22 | r/rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 |/Game of Thrones 3 720p x264 DDP 5.1 Esub - XRG.mkv (cancellato) | 30 | r/rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 |/Game of Thrones 4 720p x264 DDP 5.1 Esub - XRG.MKV (cancellato) | 38 | r/rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 |/Oceans Twelve (2004) (Eliminato) | 41 | d/drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 |/minuti di PC-I tenuti il ​​23.01.2020.Docx | 45 | r/rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 |/minuti di LEC tenuto su 10.02.2020.docx (eliminato) | 49 | r/rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/_wrd3886.TMP (cancellato) | 50 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 |/_WRL0024.TMP (Eliminato) | 51 | R/RR-XR-XR-X | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/minuti di LEC tenuto su 10.02.2020.docx | 55 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(Eliminato) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_wrd2343.TMP (cancellato) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_WRL2519.TMP (Eliminato) | 69 | R/RR-XR-XR-X | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Tender AVVISO (MEGA PC-I) Fase II.docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/nuova cartella (cancellata) | 57 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | windump.exe (eliminato) | 63 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 |/Tender AVVISO (MEGA PC-I) Fase II.DOCX (Eliminato) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_wrd2343.TMP (cancellato) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_WRL2519.TMP (Eliminato) | 69 | R/RR-XR-XR-X | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Tender AVVISO (MEGA PC-I) Fase II.docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ mbr | 31129091 | v/v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | v/v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ orphanfiles | 31129094 | d/d --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 |/$$ BAD_CONTENT 1 (Eliminato) | 22930439 |-/rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 2 (Eliminato) | 22930444 |-/rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ BAD_CONTENT 3 (Eliminato) | 22930449 |-/rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821

Corri il mactime strumento per ottenere l'analisi della sequenza temporale con il seguente comando:

ubuntu@ubuntu: ~ $ cat usb.FLS> USB.Mac

Per convertire questo output di mactime in forma leggibile dall'uomo, immettere il seguente comando:

ubuntu@ubuntu: ~ $ mactime -b USB.Mac> USB.mactime
ubuntu@ubuntu: ~ $ cat usb.mactime
THU 26 luglio 2018 22:57:02 0 m… d /drwxrwxrwx 0 0 41 /oceans dodici (2004) (cancellato)
THU 26 luglio 2018 22:57:26 59 M… - /rrwxrwxrwx 0 0 22930439 /Game of Thrones 4 720p X264 DDP 5.1 esub -(cancellato)
47 m… - /rrwxrwxrwx 0 0 22930444 /Game of Thrones 4 720p X264 DDP 5.1 esub - (cancellato)
353 m… -/rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p X264 DDP 5.1 esub - (cancellato)
Ven 27 luglio 2018 00:00:00 12 .A… r/rrwxrwxrwx 0 0 135/Informazioni sul volume di sistema/wpsettings.dat
76 .A… r/rrwxrwxrwx 0 0 138/Informazioni sul volume del sistema/indiceSerVolumeGuid
59 .A… - /rrwxrwxrwx 0 0 22930439 /Game of Thrones 3 720p x264 DDP 5.1 Esub 3 (cancellato)
47 .A… -/rrwxrwxrwx 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 Esub 3 (cancellato)
353 .A… - /rrwxrwxrwx 0 0 22930449 /Game of Thrones 3 720p x264 DDP 5.1 Esub 3 (cancellato)
Ven 31 gennaio 2020 00:00:00 33180 .A… r /rrwxrwxrwx 0 0 45 /minuti di PC-i tenuto su 23.01.2020.docx
Ven 31 gennaio 2020 12:20:38 33180 M ... r /rrwxrwxrwx 0 0 45 /minuti di PC-I tenuto il 23.01.2020.docx
Ven 31 gennaio 2020 12:21:03 33180… B r /rrwxrwxrwx 0 0 45 /minuti di PC-I tenuto il 23.01.2020.docx
Lun 17 febbraio 2020 14:36:44 46659 M ... r /rrwxrwxrwx 0 0 49 /minuti di LEC tenuto su 10.02.2020.docx (cancellato)
46659 M ... R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (cancellato)
Mar 18 febbraio 2020 00:00:00 46659 .A… r /rrwxrwxrwx 0 0 49 /game of troni 2 720p x264 ddp 5.1 esub -(cancellato)
38208 .A… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (cancellato)
Mar 18 febbraio 2020 10:43:52 46659… B r /rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p X264 DDP 5.1 Esub -
38208… b r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (cancellato)
46659… b r /rr-xr-xr-x 0 0 51 /_wrl0024.TMP (cancellato)
38208… b r /rrwxrwxrwx 0 0 55 /minuti di LEC tenuto su 10.02.2020.docx
Mar 18 febbraio 2020 11:13:16 38208 M… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (cancellato)
46659 .A… r /rr-xr-xr-x 0 0 51 /_wrl0024.TMP (cancellato)
38208 .A… r /rrwxrwxrwx 0 0 55 /minuti di LEC tenuto su 10.02.2020.docx
Mar 18 febbraio 2020 10:43:52 46659… B r /rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p X264 DDP 5.1 Esub -
38208… b r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (cancellato)
46659… b r /rr-xr-xr-x 0 0 51 /_wrl0024.TMP (cancellato)
38208… b r /rrwxrwxrwx 0 0 55 /minuti di LEC tenuto su 10.02.2020.docx
Mar 18 febbraio 2020 11:13:16 38208 M… r /rrwxrwxrwx 0 0 50 /_wrd3886.TMP (cancellato)
38208 M ... r /rrwxrwxrwx 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 Esub -
Ven 15 maggio 2020 00:00:00 4096 .A ... D /DRWXRWXRWX 0 0 57 /Nuova cartella (Eliminata)
4096 .A… D /DRWXRWXRWX 0 0 63 /Avviso di gara per apparecchiature per infrastrutture di rete per IIUI (cancellato)
56775 .A… r /rrwxrwxrwx 0 0 67 /Tender AVVISO (MEGA PC-I) Fase II.docx (cancellato)
56783 .A… r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (cancellato)
56775 .A… r /rr-xr-xr-x 0 0 69 /_wrl2519.TMP (cancellato)
56783 .A… r /rrwxrwxrwx 0 0 73 /Tender AVVISO (MEGA PC-I) Fase II.docx
Ven 15 maggio 2020 12:39:42 4096… B D /DRWXRWXRWX 0 0 57 /Nuova cartella (Eliminata)
4096… B D /DRWXRWXRWX 0 0 63 /Avviso di gara per apparecchiature per infrastrutture di rete per IIUI (Eliminata)
Ven 15 maggio 2020 12:39:44 4096 M… D/DRWXRWXRWX 0 0 57 $$ BAD_CONTENT 3 (Eliminato)
4096 M ... D /DRWXRWXRWX 0 0 63 /Avviso di gara per apparecchiature per infrastrutture di rete per IIUI (Eliminata)
Ven 15 maggio 2020 12:43:18 56775 M ... r/rrwxrwxrwx 0 0 67 $$ BAD_CONTENT 1 (Eliminato)
56775 M ... R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (cancellato)
Ven 15 maggio 2020 12:45:01 56775… B R/RRWXRWXRWX 0 0 67 $$ BAD_CONTENT 2 (Eliminato)
56783… b r /rrwxrwxrwx 0 0 68 /_wrd2343.TMP (cancellato)
56775… B R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (cancellato)
56783… B r /rrwxrwxrwx 0 0 73 /Tender AVVISO (MEGA PC-I) Fase-II.docx
Ven 15 maggio 2020 12:45:36 56783 M… r/rrwxrwxrwx 0 0 68 windump.exe (cancellato)
56783 M… r /rrwxrwxrwx 0 0 73 /Tender AVVISO (MEGA PC-I) Fase-II.docx

Tutti i file devono essere recuperati con un timestamp su di esso in un formato leggibile dall'uomo nel file "USB.mactime."

Strumenti per l'analisi forense USB

Esistono vari strumenti che possono essere utilizzati per eseguire l'analisi forense su un'unità USB, come Autopsia del kit Sleuth, FTK Imager, Principale, eccetera. Innanzitutto, daremo uno sguardo allo strumento di autopsia.

Autopsia

Autopsia viene utilizzato per estrarre e analizzare i dati da diversi tipi di immagini, come le immagini AFF (Formato forense avanzato), .Immagini DD, immagini grezze, ecc. Questo programma è un potente strumento utilizzato dagli investigatori forensi e dalle diverse forze dell'ordine. L'autopsia consiste in molti strumenti che possono aiutare gli investigatori a svolgere il lavoro in modo efficiente e senza intoppi. Lo strumento di autopsia è disponibile per le piattaforme Windows e Unix gratuitamente.

Per analizzare un'immagine USB usando l'autopsia, è necessario prima creare un caso, incluso la scrittura dei nomi degli investigatori, la registrazione del nome del caso e altre attività informative. Il prossimo passo è importare l'immagine di origine dell'unità USB ottenuta all'inizio del processo utilizzando il dd utilità. Quindi, lasceremo che lo strumento di autopsia faccia ciò che fa meglio.

La quantità di informazioni fornite da Autopsia è enorme. L'autopsia fornisce i file di file originale e consente anche di esaminare le directory e i percorsi con tutte le informazioni sui file pertinenti, come ad esempio Accesso, modificata, cambiato, data, E tempo. Le informazioni sui metadati vengono anche recuperate e tutte le informazioni sono ordinate in modo professionale. Per semplificare la ricerca dei file, l'autopsia fornisce un Ricerca delle parole chiave Opzione, che consente all'utente di cercare in modo rapido ed efficiente una stringa o un numero tra i contenuti recuperati.

Nel pannello sinistro della sottocategoria di Tipi di file, Vedrai una categoria chiamata "File eliminati"Contenendo i file eliminati dall'immagine dell'unità desiderata con tutte le informazioni di analisi dei metadati e della sequenza temporale.

Autopsia È Graphic User Interface (GUI) per lo strumento di comando Kit Sleuth ed è ai massimi livelli nel mondo forense per l'integrità, la versatilità, la natura di facile utilizzo e la capacità di produrre risultati rapidi. Il dispositivo USB la forense può essere eseguita con la stessa facilità Autopsia Come su qualsiasi altro strumento a pagamento.

FTK Imager

FTK Imager è un altro ottimo strumento utilizzato per il recupero e l'acquisizione di dati da diversi tipi di immagini fornite. FTK Imager ha anche la possibilità di fare una copia di immagini bit per bit, in modo che nessun altro strumento come dd O dcfldd è necessario per questo scopo. Questa copia dell'unità include tutti i file e le cartelle, lo spazio non allocato e libero e i file eliminati lasciati nello spazio lento o nello spazio non allocato. L'obiettivo di base qui quando si esegue l'analisi forense sulle unità USB è ricostruire o ricreare lo scenario di attacco.

Daremo ora un'occhiata all'esecuzione dell'analisi forense USB su un'immagine USB usando lo strumento FTK Imager.

Innanzitutto, aggiungi il file di immagine a FTK Imager cliccando File >> Aggiungi elemento prove.

Ora seleziona il tipo di file che si desidera importare. In questo caso, è un file di immagine di un'unità USB.

Ora inserisci la posizione completa del file di immagine. Ricorda, devi fornire un percorso completo per questo passaggio. Clic Fine per iniziare l'acquisizione dei dati e lasciare il FTK Imager Fai il lavoro. Dopo qualche tempo, lo strumento fornirà i risultati desiderati.

Qui, la prima cosa da fare è verificare Integrità dell'immagine facendo clic con il pulsante destro del mouse sul nome dell'immagine e selezionando Verifica l'immagine. Lo strumento verificherà l'abbinamento di hash MD5 o Sha1 forniti con le informazioni sull'immagine e ti dirà anche se l'immagine è stata manomessa prima di essere importata nel FTK Imager attrezzo.

Ora, Esportare i risultati indicati sul percorso di tua scelta facendo clic con il pulsante destro del mouse sul nome dell'immagine e selezionando il Esportare Opzione per analizzarlo. IL FTK Imager creerà un registro dati completo del processo forense e inserirà questi registri nella stessa cartella del file di immagine.

Analisi

I dati recuperati possono essere in qualsiasi formato, come TAR, ZIP (per file compressi), PNG, JPEG, JPG (per file di immagini), MP4, formato AVI (per file video), codici a barre, PDF e altri formati di file. Dovresti analizzare i metadati dei file forniti e verificare i codici a barre sotto forma di a QR Code. Questo può essere in un file PNG e può essere recuperato utilizzando il Zbar attrezzo. Nella maggior parte dei casi, i file DOCX e PDF vengono utilizzati per nascondere i dati statistici, quindi devono essere non compressi. Kdbx I file possono essere aperti attraverso Keepass; La password potrebbe essere stata archiviata in altri file recuperati oppure possiamo eseguire BruteForce in qualsiasi momento.

Principale

Foremost è uno strumento utilizzato per recuperare file e cartelle eliminati da un'immagine di unità usando intestazioni e piè di pagina. Daremo un'occhiata alla pagina Man di ForeMost per esplorare alcuni potenti comandi contenuti in questo strumento:

ubuntu@ubuntu: ~ $ man
-A Abilita scrivere tutte le intestazioni, eseguire alcun rilevamento di errori in termini
di file corrotti.
-Numero B
Consente di specificare la dimensione del blocco utilizzata in più. Questo è
rilevante per la denominazione dei file e le ricerche rapide. Il valore predefinito è
512. cioè. Foremost -B 1024 Immagine.dd
-Q (modalità rapida):
Abilita modalità rapida. In modalità rapida, solo l'inizio di ciascun settore
è cercato per le intestazioni abbinate. Cioè, l'intestazione è
Cercato solo fino alla lunghezza dell'intestazione più lunga. Il riposo
del settore, di solito circa 500 byte, viene ignorato. Questa modalità
fa funzionare più velocemente più velocemente, ma potrebbe causare
Miss file che sono incorporati in altri file. Ad esempio, usando
modalità rapida non sarai in grado di trovare immagini jpeg incorporate
Documenti di Microsoft Word.
La modalità rapida non deve essere utilizzata quando si esaminano i file system NTFS.
Perché NTFS archiverà piccoli file all'interno del file master ta
ble, questi file ci mancheranno durante la modalità rapida.
-A Abilita scrivere tutte le intestazioni, eseguire alcun rilevamento di errori in termini
di file corrotti.
-I (input) file:
Il file utilizzato con l'opzione i viene utilizzato come file di input.
Nel caso in cui non viene specificato alcun file di input viene utilizzato per C.

Il file utilizzato con l'opzione i viene utilizzato come file di input.

Nel caso in cui non viene specificato alcun file di input viene utilizzato per C.

Per fare il lavoro, useremo il seguente comando:

ubuntu@ubuntu: ~ $ foremost USB.dd

Dopo il completamento del processo, ci sarà un file in /produzione cartella denominata testo contenente i risultati.

Conclusione

USB Drive Forensics è una buona abilità per recuperare prove e recuperare i file eliminati da un dispositivo USB, nonché per identificare ed esaminare quali programmi per computer potrebbero essere stati utilizzati nell'attacco. Quindi, è possibile mettere insieme i passi che l'attaccante potrebbe aver intrapreso per dimostrare o smentire le richieste presentate dall'utente legittimo o vittima. Per garantire che nessuno se ne vada con un crimine informatico che coinvolge i dati USB, USB Forensics è uno strumento essenziale. I dispositivi USB contengono prove chiave nella maggior parte dei casi forensi e, a volte, i dati forensi ottenuti da un'unità USB possono aiutare a recuperare dati personali importanti e preziosi.

Golang
Quali sono le costanti di Golang?
Nella lingua GO, le costanti sono variabili con valori fissi che non possono essere modificate duran...
Dr. Ursula Marini
Oracle Database
Cos'è Oracle Apex?
Oracle Apex è un IDE basato sul Web per creare e distribuire applicazioni Web e mobili sui database ...
Sig. Valdo Marchetti
AWS
AWS EC2 Elastic IPS Uso di larghezza di banda e cariche
Gli EIP sono collegati all'istanza EC2 per renderli IP pubblici statici delle istanze. Un EIP non co...
Sarita Negri
Pitone
Python Stringio
Dr. Folco Leone
Golang
Introduzione al linguaggio di programmazione di Golang
Nick Marini
Comandi Linux
Come far installare la versione di CUDA su Linux
Nestore Caruso
Comandi Linux
Come installare e abilitare l'autenticazione multi-fattore SSH per i sistemi Linux
Sig. Valdo Marchetti
html
Come utilizzare la proprietà CSS Flex-Grow?
Sarita Negri
Docker
Plug -in motore Docker
Dr. Ursula Marini
JavaScript
Cosa fa W Metacharacter in Regexp di JavaScript
Sig. Valdo Marchetti
Dattiloscritto
Cos'è TypeScript e come usarlo?
Domiziano Conte
Docker
Come accedere a Docker tramite il prompt dei comandi?
Cristyn De Santis
c affilato
Come usare l'eredità in C#
Dr. Folco Leone