FTK Imager is een open-source software van AccessData die wordt gebruikt voor het maken van nauwkeurige kopieën van het originele bewijsmateriaal zonder er daadwerkelijk iets aan te veranderen. Het beeld van het originele bewijsmateriaal blijft hetzelfde en stelt ons in staat om gegevens in een veel sneller tempo te kopiëren, die binnenkort kunnen worden bewaard en verder kunnen worden geanalyseerd.
De FTK imager biedt u ook de ingebouwde integriteitscontrolefunctie die een hash-rapport genereert dat helpt bij het matchen van de hash van het bewijsmateriaal voor en na het maken van het beeld van het originele Bewijsmateriaal.
Inhoudsopgave
- Een forensische image maken
- Geheugen vastleggen
- Analyseren van image dump
- Mounting image to drive
- Custom Content Image using AD encryption
- Decrypt AD Encryption
- Obtained Protected Files
- Detect EFS Encryption
- Export Files
Laten we beginnen met het maken van een image kopie van het originele bewijsmateriaal.
Een forensische image maken
Forensic Imaging is een van de meest cruciale stappen in digitaal forensisch onderzoek. Het is het proces van het maken van een archief- of reservekopie van de gehele harde schijf. Het is een opslagbestand dat alle nodige informatie bevat om het besturingssysteem op te starten. Deze geïmproviseerde schijf moet echter op de harde schijf worden aangebracht om te kunnen werken. Een harde schijf kan niet worden hersteld door de disk image-bestanden erop te plaatsen, omdat deze moeten worden geopend en op de schijf moeten worden geïnstalleerd met behulp van een imaging-programma. Op een enkele harde schijf kunnen veel schijfimages worden opgeslagen. Disk images kunnen ook worden opgeslagen op flash drives met een grotere capaciteit.
Open FTK Imager van AccessData nadat het is geïnstalleerd, en u zult het venster pop-up zien dat de eerste pagina is waarop dit hulpprogramma wordt geopend.
Nu, om een Disk Image te maken. Klik op Bestand > Schijfkopie maken.
Nu kunt u de bron kiezen op basis van de schijf die u hebt. Het kan een fysieke of een logische schijf zijn, afhankelijk van uw bewijs.
Een fysieke schijf is de primaire opslaghardware of het onderdeel binnen een apparaat, dat wordt gebruikt om gegevens op te slaan, op te halen en te ordenen.
Een logische schijf is in het algemeen een schijfruimte die over een fysieke harde schijf wordt gecreëerd. Een logische schijf heeft zijn eigen parameters en functies omdat hij onafhankelijk werkt.
Kies nu de bron van uw schijf waarvan u een image-kopie wilt maken.
Voeg het bestemmingspad toe van de image die zal worden gemaakt. Vanuit forensisch oogpunt moet de image op een aparte harde schijf worden gekopieerd en moeten er meerdere kopieën van het originele bewijsmateriaal worden gemaakt om verlies van bewijsmateriaal te voorkomen.
Selecteer het formaat van de image die u wilt maken. De verschillende formaten voor het maken van de afbeelding zijn:
Raw(dd): Het is een bit-voor-bit kopie van het originele bewijsmateriaal dat wordt gemaakt zonder toevoegingen en of verwijderingen. Ze bevatten geen metagegevens.
SMART: het is een image-formaat dat werd gebruikt voor Linux, dat niet meer in de volksmond wordt gebruikt.
E01: het staat voor EnCase Evidence File, dat een veelgebruikt formaat is voor imaging en lijkt op
AFF: Het staat voor Advanced Forensic Format dat een open-source formaat type is.
Nu voegt u de details van de afbeelding toe om verder te gaan.
Nu voegt u ten slotte de bestemming van het afbeeldingsbestand toe, geeft u het afbeeldingsbestand een naam en klikt u vervolgens op Voltooien.
Als u het bestemmingspad hebt toegevoegd, kunt u nu beginnen met de beeldverwerking en ook klikken op de verificatieoptie om een hash te genereren.
Nu een paar minuten wachten tot de image is gemaakt.
Nadat de image is gemaakt, wordt een Hash-resultaat gegenereerd dat de MD5 Hash, SHA1 Hash en de aanwezigheid van een slechte sector verifieert.
Capturing Memory
Het is de methode om de inhoud van een vluchtige inhoud vast te leggen en te dumpen naar een niet-vluchtig opslagmedium om deze te bewaren voor verder onderzoek. Een ram-analyse kan alleen met succes worden uitgevoerd wanneer de acquisitie nauwkeurig is uitgevoerd zonder het beeld van het vluchtige geheugen te corrumperen. In deze fase moet de onderzoeker voorzichtig zijn met zijn beslissingen om de vluchtige gegevens te verzamelen, omdat deze niet zullen bestaan nadat het systeem een reboot ondergaat.
Nu beginnen we met het vastleggen van het geheugen.
Om het geheugen vast te leggen, klikt u op Bestand >Geheugen vastleggen.
Kies het bestemmingspad en de bestemmingsbestandsnaam, en klik op Geheugen vastleggen.
Wacht nu enkele minuten tot het geheugen is vastgelegd.
Analyse Image Dump
Nu gaan we de Dump RAW-afbeelding analyseren nadat deze is verkregen met de FTK-imager. Om met de analyse te beginnen, klikt u op Bestand> Bewijsmateriaal toevoegen.
Nu selecteert u de bron van het dumpbestand dat u al hebt gemaakt, dus hier moet u de optie afbeeldingsbestand selecteren en op Volgende klikken.
Kies het pad van de image dump die u hebt vastgelegd door op Bladeren te klikken.
Als de image dump eenmaal aan het analysegedeelte is gekoppeld, ziet u een boomstructuur met bewijsmateriaal waarin de inhoud van de bestanden van de image dump is opgenomen. Deze kan zowel verwijderde als overschreven gegevens bevatten.
Om andere zaken verder te analyseren, verwijderen we nu dit bewijsstuk door met de rechtermuisknop op de zaak te klikken en te klikken op Bewijsstuk verwijderen
Mounting Image to Drive
Om de image te mounten als een drive in uw systeem, klikt u op Bestand >Afbeelding mounten
Als het venster Afbeelding mounten naar station verschijnt, kunt u het pad toevoegen naar het imagebestand dat u wilt mounten en klikken op Mounten.
Nu kunt u zien dat het imagebestand nu als station is aangekoppeld.
Custom Content Image met AD Encryption
FTK-imager heeft een functie waarmee bestanden van een bepaald type kunnen worden gecodeerd, afhankelijk van de vereisten van de examinator. Klik op de bestanden die u wilt toevoegen aan de aangepaste inhoud Image samen met AD-encryptie.
Alle geselecteerde bestanden worden weergegeven in een nieuw venster en klik vervolgens op Afbeelding maken om verder te gaan.
Vul de vereiste gegevens in voor het aan te maken bewijs.
Voeg nu de bestemming van het aan te maken imagebestand in, geef het imagebestand een naam en vink vervolgens het vakje met AD-versleuteling aan en klik vervolgens op Voltooien.
Er verschijnt een nieuw venster om de afbeelding te versleutelen, Nu huurt u en voert u opnieuw het wachtwoord in dat u voor uw afbeelding wilt toevoegen.
Nu om de versleutelde bestanden te zien, klikt u op Bestand> Bewijsstuk toevoegen…
Het venster om de versleutelde bestanden te ontsleutelen verschijnt zodra u de bestandsbron hebt toegevoegd. Voer het wachtwoord in en klik op OK.
U ziet nu de twee versleutelde bestanden na het invoeren van de geldige wachtwoorden.
Decodeer AD1-afbeelding
Om de afbeelding met aangepaste inhoud te decoderen, klikt u op Bestand>Decodeer AD1-afbeelding.
Nu moet u het wachtwoord invoeren voor het afbeeldingsbestand dat was gecodeerd en op Ok klikken.
Nu moet u een paar minuten wachten totdat de gedecodeerde afbeelding is gemaakt.
Om de gedecodeerde afbeelding met aangepaste inhoud te bekijken, voegt u het pad van het gedecodeerde bestand toe en klikt u op Voltooien.
U kunt nu de gecodeerde bestanden bekijken door het juiste wachtwoord te gebruiken om deze te decoderen.
Obtained Protected Files
Zekere bestanden zijn beschermd bij herstel, om deze bestanden te verkrijgen klikt u op File> Obtained Protected Files
Er verschijnt een nieuw venster en klik op browse om de bestemming van het bestand dat beschermd is toe te voegen en klik op de optie die zegt password recovery and all registry files en klik op OK.
Nu ziet u alle beschermde bestanden op één plaats
Detect EFS Encryption
Wanneer een map of een bestand versleuteld is, kunnen we dit detecteren met deze functie van de FTK Imager.
Een bestand wordt in een map gecodeerd om de inhoud ervan te beveiligen.
Om de EFS-encryptie te detecteren, klikt u op Bestand >Detect EFS Encryption
U kunt zien dat de encryptie is gedetecteerd.
Bestanden exporteren
Om de bestanden en mappen van het geïmporteerde bestand naar uw map te exporteren, kunt u klikken op Bestand >Bestanden exporteren.
U kunt nu de resultaten zien van de export van het aantal bestanden en mappen dat naar het systeem is gekopieerd.
Auteur: Jeenali Kothari is een liefhebber van Digital Forensics en houdt van het schrijven van technische inhoud. U kunt haar bereiken op Here