FTK Imager on AccessDatan avoimen lähdekoodin ohjelmisto, jota käytetään tarkkojen kopioiden luomiseen alkuperäisestä todistusaineistosta tekemättä siihen mitään muutoksia. Alkuperäisten todisteiden kuva pysyy samana ja sen avulla voidaan kopioida tietoja paljon nopeammin, jotka voidaan pian säilyttää ja analysoida edelleen.
FTK Imager tarjoaa myös sisäänrakennetun eheyden tarkistustoiminnon, joka luo hash-raportin, joka auttaa vertaamaan todisteiden hash-arvoa ennen ja jälkeen alkuperäisten todisteiden kuvan luomisen.
Sisällysluettelo
- Rikosteknisen kuvan luominen
- Muistin kaappaaminen
- Kuvan dumppauksen analysointi
- Kuvan liittäminen asemaan
- Tilaustyönä tehty sisältökuva AD:n avulla. salaus
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
Aloitetaan luomalla kuvakopio alkuperäisistä todisteista.
Rikosteknisen kuvakopion luominen
Rikostekninen kuvakopio on yksi digitaalisen rikostutkinnan tärkeimmistä vaiheista. Siinä tehdään arkisto- tai varmuuskopio koko kiintolevystä. Se on tallennustiedosto, joka sisältää kaikki käyttöjärjestelmän käynnistämiseen tarvittavat tiedot. Tämä kuvattu levy on kuitenkin sovellettava kiintolevylle toimiakseen. Kiintolevyä ei voi palauttaa sijoittamalla levyn kuvatiedostot siihen, koska se on avattava ja asennettava asemaan kuvantamisohjelmalla. Yhdelle kiintolevylle voidaan tallentaa useita levykuvia. Levykuvia voidaan tallentaa myös muistitikuille, joiden kapasiteetti on suurempi.
Avaa FTK Imager by AccessData sen asentamisen jälkeen, ja näet ponnahdusikkunan, joka on ensimmäinen sivu, johon tämä työkalu avautuu.
Nyt luoda levykuvan. Klikkaa File > Create Disk Image.
Nyt voit valita lähteen aseman perusteella. Se voi olla fyysinen tai looginen Asema riippuen todisteistasi.
Fyysinen Asema on ensisijainen tallennuslaitteisto tai laitteen sisällä oleva komponentti, jota käytetään tietojen tallentamiseen, hakemiseen ja järjestämiseen.
Looginen asema on yleensä fyysisen kiintolevyn päälle luotu asematila. Loogisella asemalla on omat parametrit ja toiminnot, koska se toimii itsenäisesti.
Valitse nyt aseman lähde, josta haluat luoda kuvakopion.
Lisää luotavan kuvan kohdepolku. Rikosteknisestä näkökulmasta se tulisi kopioida erilliselle kiintolevylle ja alkuperäisestä todistusaineistosta tulisi luoda useita kopioita todisteiden katoamisen estämiseksi.
Valitse luotavan kuvan muoto. Kuvan luomisen eri muodot ovat:
Raw(dd): Se on bittikohtainen kopio alkuperäisestä todisteesta, joka luodaan ilman lisäyksiä ja tai poistoja. Ne eivät sisällä metatietoja.
SMART: Se on Linuxissa käytetty kuvaformaatti, jota ei enää yleisesti käytetä.
E01: Se on lyhenne sanoista EnCase Evidence File (EnCase-todisteiden tiedosto), joka on yleisesti käytetty kuvaformaatti, ja se on samanlainen kuin
AFF: Se on lyhenne sanoista Advanced Forensic Format, joka on avoimen lähdekoodin formaattityyppi.
Nyt lisää kuvan tiedot jatkaaksesi.
Nyt lisää lopuksi kuvatiedoston määränpää, anna kuvatiedostolle nimi ja napsauta Finish.
Kun olet lisännyt kohdepolun, voit nyt aloittaa kuvankäsittelyn ja napsauttaa myös verify-vaihtoehtoa luodaksesi hashin.
Odotetaan nyt muutama minuutti, kunnes kuva on luotu.
Kuvan luomisen jälkeen luodaan Hash-tulos, jossa tarkistetaan MD5 Hash, SHA1 Hash ja mahdollisten huonojen sektorien olemassaolo.
Muistin kaappaaminen
Se on menetelmä, jolla haihtuvan sisällön sisältö kaapataan ja dumppataan haihtumattomaan tallennuslaitteeseen sen säilyttämiseksi myöhempää tutkimusta varten. Ram-analyysi voidaan suorittaa onnistuneesti vain, kun kaappaus on suoritettu tarkasti ilman, että haihtuvan muistin kuva turmeltuu. Tässä vaiheessa tutkijan on oltava varovainen haihtuvien tietojen keräämistä koskevien päätöstensä suhteen, koska niitä ei ole enää olemassa sen jälkeen, kun järjestelmä on käynnistetty uudelleen.
Aloitetaan nyt muistin kaappaaminen.
Muistin kaappaamiseksi napsauta File > Capture Memory.
Valitse kohdepolku ja kohdetiedoston nimi ja napsauta Capture Memory.
Odotetaan nyt muutama minuutti, kunnes muisti on kaapattu.
Kuvan dumppauskuvan analysointi
Analysoidaan nyt dumppauskuvan RAW-kuva sen jälkeen, kun se on hankittu FTK-kuvaajalla. Aloitetaan analyysi napsauttamalla File> Add Evidence Item.
Valitaan nyt jo luodun dumppitiedoston lähde, joten tässä on valittava kuvatiedostovaihtoehto ja napsautettava Next.
Valitse kaappaamasi kuvatallennustiedoston polku napsauttamalla Selaa.
Kun kuvatallennustiedosto on liitetty analyysiosaan, näet todisteiden puun, jossa on kuvatallennustiedoston tiedostojen sisältö. Siinä voi olla sekä poistettuja että ylikirjoitettuja tietoja.
Voidaksemme analysoida muita asioita tarkemmin, poistamme nyt tämän todiste-erän napsauttamalla tapausta hiiren kakkospainikkeella ja napsauttamalla Poista todiste-erä
Kuvan liittäminen asemalle
Voidaksemme liittää kuvan asemaksi järjestelmään, napsauta File > Image Mounting
Kun Mount Image to Drive -ikkuna tulee näkyviin, voit lisätä polun kuvatiedostoon, jonka haluat liittää, ja napsauttaa Mount.
Nyt näet, että kuvatiedosto on nyt asennettu asemaksi.
Custom Content Image with AD Encryption
FTK-kuvantamisohjelmassa on ominaisuus, jonka avulla se voi salata tietyntyyppisiä tiedostoja tutkijan vaatimuksen mukaan. Napsauta tiedostoja, jotka haluat lisätä mukautettuun sisältökuvaan yhdessä AD-salauksen kanssa.
Kaikki valitut tiedostot näkyvät uudessa ikkunassa ja jatka sitten valitsemalla Luo kuva.
Täytä tarvittavat tiedot luotavasta todisteesta.
Täydennä nyt luotavan kuvatiedoston määränpää, anna kuvatiedostolle nimi ja ruksaa valintaruutu AD-salauksen kanssa ja napsauta sitten Valmis.
Uusi ikkuna avautuu kuvan salausta varten, Nyt vuokraaja ja syötä uudelleen salasana, jonka haluat lisätä kuvalle.
Nyt nähdäksesi salatut tiedostot napsauta File> Add Evidence Item…
Ikkuna, jolla voit purkaa salatut tiedostot, tulee näkyviin sen jälkeen, kun olet lisännyt tiedostolähteen. Syötä salasana ja napsauta OK.
Näet nyt kaksi salattua tiedostoa syöttämällä voimassa olevat salasanat.
Purkaa AD1-kuva
Purkaaksesi mukautetun sisällön kuvan, napsauta Tiedosto> Purkaa AD1-kuva.
Nyt sinun täytyy syöttää salatun kuvatiedoston salasana ja napsauttaa Ok.
Odota nyt muutama minuutti, kunnes purettu kuva on luotu.
Katsoaksesi purettua mukautetun sisällön kuvaa, lisää puretun tiedoston polku ja napsauta Finish.
Pystyt nyt katsomaan salattuja tiedostoja käyttämällä oikeaa salasanaa sen purkamiseen.
Suojattujen tiedostojen hankkiminen
Tietyt tiedostot ovat suojattuja palautuksessa, jos haluat hankkia nämä tiedostot, napsauta Tiedosto> Hanki suojatut tiedostot
Uusi ikkuna aukeaa ja napsauta Selaa lisätäksesi suojattujen tiedostojen määränpään ja napsauta vaihtoehtoa, jossa lukee Salasanojen talteenotto ja kaikki rekisteritiedostot, ja napsauta OK.
Nyt näet kaikki suojatut tiedostot yhdessä paikassa
Havaitse EFS-salaus
Kun kansio tai tiedosto on salattu, voimme havaita sen käyttämällä tätä FTK Imagerin ominaisuutta.
Tiedosto salataan kansiossa sen sisällön suojaamiseksi.
Havaita EFS-salaus napsauttamalla Tiedosto >Havaitse EFS-salaus
Voit nähdä, että salaus on havaittu.
Vie tiedostot
Voit viedä kuvatun tiedoston tiedostot ja kansiot kansioon napsauttamalla Tiedosto > Vie tiedostot.
Näet nyt viennin tuloksena järjestelmään kopioitujen tiedostojen ja kansioiden määrän.
Author: Jeenali Kothari on digitaalisen rikostekniikan harrastaja ja nauttii teknisen sisällön kirjoittamisesta. Voit tavoittaa hänet osoitteessa Here