FTK Imager jest oprogramowaniem open-source firmy AccessData, które jest używane do tworzenia dokładnych kopii oryginalnych dowodów bez wprowadzania w nich jakichkolwiek zmian. Obraz oryginalnego dowodu pozostaje taki sam i pozwala nam na kopiowanie danych w znacznie szybszym tempie, które mogą być wkrótce zachowane i mogą być dalej analizowane.
FTK Imager zapewnia również wbudowaną funkcję sprawdzania integralności, która generuje raport hash, który pomaga w dopasowaniu hash dowodu przed i po utworzeniu obrazu oryginalnego dowodu.
Table of Contents
- Tworzenie obrazu kryminalistycznego
- Przechwytywanie pamięci
- Analiza zrzutu obrazu
- Montowanie obrazu na dysku
- Obraz zawartości przy użyciu szyfrowania AD encryption
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
Zacznijmy od stworzenia kopii obrazu oryginalnego dowodu.
Tworzenie obrazu kryminalistycznego
Obrazowanie kryminalistyczne jest jednym z najbardziej kluczowych kroków związanych z cyfrowym dochodzeniem kryminalistycznym. Jest to proces tworzenia archiwalnej lub zapasowej kopii całego dysku twardego. Jest to plik pamięci masowej, który zawiera wszystkie informacje niezbędne do uruchomienia systemu operacyjnego. Jednak aby ten obraz został wykonany, musi zostać umieszczony na dysku twardym. Nie można przywrócić dysku twardego poprzez umieszczenie na nim plików obrazu dysku, ponieważ musi on zostać otwarty i zainstalowany na dysku za pomocą programu do tworzenia obrazów. Na jednym dysku twardym można przechowywać wiele obrazów dysków. Obrazy dysków mogą być również przechowywane na dyskach flash o większej pojemności.
Otwórz FTK Imager by AccessData po zainstalowaniu go, a zobaczysz okno pop-up, które jest pierwszą stroną, na którą otwiera się to narzędzie.
Teraz, aby utworzyć Obraz dysku. Kliknij na Plik > Utwórz obraz dysku.
Teraz możesz wybrać źródło w oparciu o dysk, który masz. Może to być fizyczny lub logiczny dysk w zależności od Twoich dowodów.
Dysk fizyczny jest podstawowym sprzętem pamięci masowej lub składnikiem w urządzeniu, który jest używany do przechowywania, pobierania i organizowania danych.
Dysk logiczny to ogólnie przestrzeń dyskowa, która jest tworzona nad fizycznym dyskiem twardym. Dysk logiczny ma swoje parametry i funkcje, ponieważ działa niezależnie.
Teraz wybierz źródło dysku, którego kopię obrazu chcesz utworzyć.
Dodaj ścieżkę docelową obrazu, który ma zostać utworzony. Z punktu widzenia kryminalistyki kopia powinna zostać umieszczona na oddzielnym dysku twardym i należy utworzyć wiele kopii oryginalnego dowodu, aby zapobiec utracie dowodów.
Wybierz format obrazu, który chcesz utworzyć. Różne formaty tworzenia obrazu to:
Raw(dd): Jest to kopia bit po bicie oryginalnego dowodu, która jest tworzona bez żadnych dodatków i lub usunięć. Nie zawierają one żadnych metadanych.
SMART: Jest to format obrazu, który był używany w systemie Linux, który nie jest już popularnie używany.
E01: Jest to skrót od EnCase Evidence File, który jest powszechnie używanym formatem do obrazowania i jest podobny do
AFF: Jest to skrót od Advanced Forensic Format, który jest typem formatu open-source.
Teraz dodaj szczegóły obrazu, aby kontynuować.
Teraz ostatecznie dodaj miejsce docelowe pliku obrazu, nazwij plik obrazu, a następnie kliknij przycisk Zakończ.
Po dodaniu ścieżki docelowej można teraz rozpocząć obrazowanie, a także kliknąć opcję weryfikacji, aby wygenerować hash.
Teraz poczekajmy kilka minut na utworzenie obrazu.
Po utworzeniu obrazu, generowany jest wynik Hash, który weryfikuje MD5 Hash, SHA1 Hash, oraz obecność jakichkolwiek bad sectorów.
Capturing Memory
Jest to metoda przechwytywania i zrzucania zawartości pamięci lotnej do nieulotnego urządzenia magazynującego w celu zachowania jej do dalszego badania. Analiza barana może być pomyślnie przeprowadzona tylko wtedy, gdy akwizycja została wykonana dokładnie, bez uszkodzenia obrazu pamięci lotnej. W tej fazie, badacz musi być ostrożny w swoich decyzjach dotyczących zbierania lotnych danych, ponieważ nie będą one istniały po ponownym uruchomieniu systemu.
Zacznijmy teraz od przechwycenia pamięci.
Aby przechwycić pamięć, kliknij na File > Capture Memory.
Wybierz ścieżkę docelową i nazwę pliku docelowego, a następnie kliknij na capture memory.
Teraz poczekajmy kilka minut, aż pamięć ram zostanie przechwycona.
Analiza zrzutu obrazu
Teraz przeanalizujmy zrzut obrazu RAW po jego pozyskaniu za pomocą wywoływarki FTK. Aby rozpocząć analizę, kliknij na Plik> Dodaj element dowodowy.
Teraz wybierz źródło pliku zrzutu, który już utworzyłeś, więc tutaj musisz wybrać opcję pliku obrazu i kliknij na Dalej.
Wybierz ścieżkę do zrzutu obrazu, który przechwyciłeś, klikając na Przeglądaj.
Po dołączeniu zrzutu obrazu do części analitycznej, zobaczysz drzewo dowodów, które ma zawartość plików zrzutu obrazu. Mogą to być zarówno dane usunięte, jak i nadpisane.
Aby móc dalej analizować inne rzeczy, usuniemy teraz ten element dowodowy, klikając prawym przyciskiem myszy na sprawie i klikając na Usuń element dowodowy
Montaż obrazu na dysku
Aby zamontować obraz jako dysk w systemie, kliknij na Plik > Montowanie obrazu
Po pojawieniu się okna Montowanie obrazu na dysku możesz dodać ścieżkę do pliku obrazu, który chcesz zamontować i kliknąć na Montuj.
Teraz widać, że plik obrazu został zamontowany jako dysk.
Custom Content Image with AD Encryption
WywoływarkaFTK posiada funkcję, która pozwala na szyfrowanie plików określonego typu zgodnie z wymaganiami egzaminatora. Kliknij na pliki, które chcesz dodać do obrazu zawartości niestandardowej wraz z szyfrowaniem AD.
Wszystkie wybrane pliki zostaną wyświetlone w nowym oknie, a następnie kliknij na Utwórz obraz, aby kontynuować.
Wypełnij wymagane szczegóły dotyczące tworzonego dowodu.
Następnie dodaj miejsce docelowe tworzonego pliku obrazu, nadaj mu nazwę, a następnie zaznacz pole z szyfrowaniem AD, po czym kliknij Zakończ.
Wyskakuje nowe okno do szyfrowania obrazu, Teraz renter i ponownie wprowadź hasło, które chcesz dodać dla obrazu.
Teraz, aby zobaczyć zaszyfrowane pliki, kliknij na Plik> Dodaj element dowodowy…
Okno do odszyfrowania zaszyfrowanych plików pojawi się po dodaniu źródła pliku. Wprowadź hasło i kliknij OK.
Po wprowadzeniu poprawnych haseł zobaczysz teraz dwa zaszyfrowane pliki.
Odszyfruj Obraz AD1
Aby odszyfrować obraz zawartości niestandardowej, kliknij na Plik>Odszyfruj Obraz AD1.
Teraz musisz wprowadzić hasło do pliku obrazu, który został zaszyfrowany i kliknij na Ok.
Teraz, poczekaj kilka minut aż odszyfrowany obraz zostanie utworzony.
Aby zobaczyć odszyfrowany obraz zawartości niestandardowej, dodaj ścieżkę odszyfrowanego pliku i kliknij na Zakończ.
Teraz będziesz mógł zobaczyć zaszyfrowane pliki używając prawidłowego hasła do odszyfrowania.
Obtain Protected Files
Certain files are protected on recovery, to obtain those files, click on File> Obtain Protected Files
A new window will pop and click on browse to add the destination of the file that is protected and click on the option that says password recovery and all registry files and click on OK.
Teraz zobaczysz wszystkie chronione pliki w jednym miejscu
Detect EFS Encryption
Gdy folder lub plik jest zaszyfrowany, możemy to wykryć używając tej funkcji FTK Imager.
Plik jest szyfrowany w folderze w celu zabezpieczenia jego zawartości.
Aby wykryć szyfrowanie EFS, kliknij Plik >Detect EFS Encryption
Możesz zobaczyć, że szyfrowanie zostało wykryte.
Eksportuj pliki
Aby wyeksportować pliki i foldery z pliku obrazowanego do folderu, można kliknąć Plik >Eksportuj pliki.
Możesz teraz zobaczyć wyniki eksportu liczby plików i folderów, które zostały skopiowane do systemu.
Autor: Jeenali Kothari jest entuzjastą Digital Forensics i lubi pisać treści techniczne. Możesz się z nią skontaktować tutaj
.