Az FTK Imager az AccessData nyílt forráskódú szoftvere, amelyet az eredeti bizonyítékok pontos másolatainak létrehozására használnak anélkül, hogy ténylegesen változtatnának rajta. Az eredeti bizonyíték képe ugyanaz marad, és lehetővé teszi, hogy sokkal gyorsabban másoljuk az adatokat, amelyek hamarosan megőrizhetők és tovább elemezhetők.
Az FTK imager a beépített integritásellenőrző funkciót is biztosítja, amely egy hash-jelentést készít, amely segít a bizonyítékok hash-jának összevetésében az eredeti bizonyítékok képének létrehozása előtt és után.
Tartalomjegyzék
- Törvényszéki képmás létrehozása
- Memória rögzítése
- A képdömping elemzése
- A képmás meghajtóra csatolása
- Egyéni tartalomkép AD segítségével titkosítás
- AD titkosítás visszafejtése
- Védett fájlok elérése
- EFS titkosítás felderítése
- Fájlok exportálása
Kezdjük az eredeti bizonyíték képmásolatának létrehozásával.
Törvényszéki képmás készítése
A digitális törvényszéki nyomozás egyik legfontosabb lépése a törvényszéki képalkotás. Ez a folyamat a teljes merevlemez archiválási vagy biztonsági másolatának elkészítése. Ez egy olyan tárolófájl, amely az operációs rendszer indításához szükséges összes információt tartalmazza. Ezt a leképezett lemezt azonban a működéshez fel kell helyezni a merevlemezre. A merevlemezt nem lehet helyreállítani a lemezképfájlok elhelyezésével, mivel azt egy képalkotó programmal kell megnyitni és telepíteni a meghajtóra. Egyetlen merevlemezen több lemezkép is tárolható. A lemezképek nagyobb kapacitású flash meghajtókon is tárolhatók.
A telepítés után nyissa meg az FTK Imager by AccessData programot, és látni fogja a felugró ablakot, amely az első oldal, amelyre ez az eszköz megnyílik.
Most, hogy létrehozzon egy lemezképet. Kattintson a Fájl > Lemezkép létrehozása.
Most kiválaszthatja a forrást a meghajtó alapján. Ez lehet fizikai vagy logikai meghajtó a bizonyítékoktól függően.
A fizikai meghajtó az elsődleges tároló hardver vagy az eszközön belüli komponens, amelyet az adatok tárolására, visszakeresésére és rendszerezésére használnak.
A logikai meghajtó általában egy fizikai merevlemez fölött létrehozott meghajtóhely. A logikai meghajtónak megvannak a maga paraméterei és funkciói, mivel önállóan működik.
Most válassza ki a meghajtó forrását, amelyről képmásolatot szeretne készíteni.
Adja meg a létrehozandó kép célútját. Törvényszéki szempontból egy külön merevlemezre kell másolni, és az eredeti bizonyítékról több másolatot kell készíteni a bizonyítékok elvesztésének megelőzése érdekében.
Válassza ki a létrehozni kívánt képmás formátumát. A képmás létrehozásának különböző formátumai a következők:
Raw(dd): Ez az eredeti bizonyíték bitenkénti másolata, amely mindenféle hozzáadás és vagy törlés nélkül jön létre. Nem tartalmaz semmilyen metaadatot.
SMART: Ez egy képformátum, amelyet Linux alatt használtak, de ma már nem használják széles körben.
E01: Ez az EnCase Evidence File rövidítése, amely egy általánosan használt képalkotási formátum, és hasonló a
AFF-hez: Ez az Advanced Forensic Format rövidítése, amely egy nyílt forráskódú formátumtípus.
Most adja meg a kép adatait a folytatáshoz.
Most végül adja meg a képfájl célját, nevezze el a képfájlt, majd kattintson a Befejezés gombra.
Mihelyt hozzáadta a rendeltetési útvonalat, most már elkezdheti a képalkotást, és a hash generálásához kattintson a verify opcióra is.
Várjunk most néhány percet a lemezkép létrehozására.
A lemezkép létrehozása után létrejön egy Hash eredmény, amely ellenőrzi az MD5 Hash, SHA1 Hash és az esetleges rossz szektorok jelenlétét.
Memória rögzítése
Ez egy illékony tartalom tartalmának rögzítésének és egy nem illékony tárolóeszközre történő dömpingelésének módszere, hogy azt további vizsgálat céljából megőrizze. A ram-elemzés csak akkor végezhető el sikeresen, ha a felvételt pontosan, az illékony memória képének megrongálása nélkül hajtották végre. Ebben a fázisban a vizsgálónak óvatosnak kell lennie az illékony adatok gyűjtésére vonatkozó döntéseivel, mivel azok nem fognak létezni, miután a rendszer újraindítása megtörtént.
Kezdjük most a memória rögzítését.
A memória rögzítéséhez kattintson a Fájl > Memória rögzítése gombra.
Válassza ki a célútvonalat és a célfájl nevét, majd kattintson a Memória rögzítése gombra.
Várjunk most néhány percet, amíg a ram rögzítése megtörténik.
Analyzing Image Dump
Most elemezzük a Dump RAW képet, miután azt az FTK imager segítségével megszereztük. Az elemzés megkezdéséhez kattintson a Fájl> Bizonyítékelem hozzáadása
Most válassza ki a már létrehozott dump fájl forrását, tehát itt a képfájl opciót kell kiválasztania, majd kattintson a Tovább gombra.
A Tallózás gombra kattintva válassza ki a rögzített képdömping elérési útvonalát.
Mihelyt a képdömpinget az elemzési részhez csatolta, egy bizonyítékfát fog látni, amely a képdömping fájljainak tartalmát tartalmazza. Ez tartalmazhat törölt és felülírt adatokat is.
Az egyéb dolgok további elemzéséhez most eltávolítjuk ezt a bizonyítékelemet, ha jobb gombbal kattintunk az ügyre, és a Bizonyítékelem eltávolítása
A képmás meghajtóra csatolása
A képmás meghajtóként való csatolása a rendszerben, kattintson a File > Image Mounting
Amikor megjelenik a Mount Image to Drive ablak, megadhatja a csatlakoztatni kívánt képfájl elérési útvonalát, és kattintson a Mount gombra.
Most láthatja, hogy a lemezképfájl már meghajtóként lett csatolva.
Egyéni tartalomkép AD titkosítással
AzFTK imager rendelkezik egy olyan funkcióval, amely lehetővé teszi, hogy a vizsgáló követelményeinek megfelelően titkosítani tudja az adott típusú fájlokat. Kattintson azokra a fájlokra, amelyeket AD titkosítással együtt szeretne hozzáadni az egyéni tartalomképhez.
A kiválasztott fájlok egy új ablakban jelennek meg, majd kattintson a Kép létrehozása gombra a folytatáshoz.
Töltse ki a létrehozandó bizonyíték szükséges adatait.
Most adja meg a létrehozandó képfájl célját, nevezze el a képfájlt, majd jelölje be az AD titkosítással együtt négyzetet, majd kattintson a Befejezés gombra.
Egy új ablak fog felugrani a kép titkosításához, Most bérelje ki és adja meg újra a képhez hozzáadni kívánt jelszót.
Most a titkosított fájlok megtekintéséhez kattintson a File> Add Evidence Item…
A fájlforrás hozzáadása után megjelenik a titkosított fájlokat dekódoló ablak. Adja meg a jelszót, és kattintson az OK gombra.
Az érvényes jelszavak megadásakor most megjelenik a két titkosított fájl.
AD1 kép visszafejtése
Az egyéni tartalmú kép visszafejtéséhez kattintson a Fájl> AD1 kép visszafejtése
Most adja meg a titkosított képfájl jelszavát, és kattintson az Ok gombra.
Most várjon néhány percet, amíg a dekódolt kép létrejön.
A dekódolt egyéni tartalomkép megtekintéséhez adja meg a dekódolt fájl elérési útvonalát, és kattintson a Befejezés gombra.
A helyes jelszóval a dekódoláshoz most már megtekintheti a titkosított fájlokat.
Védett fájlok megszerzése
A helyreállításkor bizonyos fájlok védettek, ezek megszerzéséhez kattintson a Fájl> Védett fájlok megszerzése
Egy új ablak fog megjelenni, és a böngészés gombra kattintva adja meg a védett fájl célját, majd kattintson a jelszó helyreállítása és az összes registry fájl jelszóra és az OK gombra.
Most látni fogja az összes védett fájlt egy helyen
Efs titkosítás felismerése
Ha egy mappa vagy fájl titkosított, akkor az FTK Imager ezen funkciójával felismerhetjük.
Egy fájl titkosítása egy mappában történik a tartalma védelme érdekében.
Az EFS titkosítás észleléséhez kattintson a File >Detect EFS Encryption
A titkosítás észlelését láthatja.
Fájlok exportálása
A képmásolt fájlból a fájlok és mappák mappába történő exportálásához kattintson a Fájl > Fájlok exportálása gombra.
Most láthatja az exportálás eredményét a rendszerbe másolt fájlok és mappák számát.
Author: Jeenali Kothari a digitális kriminalisztika szerelmese, és szeret műszaki tartalmakat írni. Elérheti őt itt