Oglas
Bilo da se radi o FBI-u koji je kopao u računalu u vlasništvu hakera, tvrtke koja obavlja internu računalnu reviziju ili mrežnom administratoru koji pokušava shvatiti zašto virus potječe s određenog računala - suština je da temeljita analiza forenzike računala zahtijeva softver koji može duboko kopati i raditi posao pravo.
Prema mojim vlastitim iskustvima, rijetko je da možete pronaći besplatni softver koji vam dobro posluje. Većina policijskih agencija širom svijeta kupuje skupi softver za svoju računalnu jedinicu za forenzičku medicinu.
Međutim, tamo su besplatni alati za rješavanje problema i popravke vani, kao što je aplikacije za oporavak podataka 3 izuzetna alata za oporavak datoteka Čitaj više Momak pokriven i Net Tools 2008, administratorski alat koji je Karl pokrivao. Još jedan besplatan alat koji je jednako moćan i sposoban kao i mnogi plaćeni računalni softverski forenzičari OSForensics.
Provođenje analize forenzike
Najbolji način za analizu i rješavanje problema računalnog sustava odozgo prema dolje je spor i metodičan način. Sjajna stvar OSForensics-a je u tome što je ona poput virtualne aktovke u koju možete pohraniti sav posao koji obavljate. Ako imate nekoliko računala na kojima radite, možete postaviti ovaj softver na svoje radno računalo i zatim preslikati tvrdi disk udaljenog računala na analizu. Softver će vam omogućiti spremanje "futrole" za svako računalo na kojem radite.
Kao što možete vidjeti na gornjoj slici, svi su alati smješteni dolje na lijevoj traci izbornika. Sve što trebate učiniti je spustiti ih ako niste baš sigurni gdje započeti. Ako imate više fokusiran cilj, preskočite na područje računala koje želite pobliže istražiti. Jedan od najboljih alata za svako pomoćno osoblje koje želi identificirati virusnu ili trojansku datoteku su “setovi hash-a.”
![Istražite ili riješite računalne sustave pomoću OSForensics [Windows] forenzike2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Ovo područje vam omogućuje analizu specifičnih aplikacija koje definirate, a ne samo datoteka. Svaka aplikacija ima skup datoteka koje možete pregledati kad dvostruko kliknete aplikaciju. Preglednik za Hash Set View prikazuje sve izračune za svaku datoteku.
Sljedeći dostupni alat je mogućnost stvaranja "potpisa". Ovo je korisno za dugoročno studije, kad se sumnja da se određene aktivnosti odvijaju na određenom mjestu na Računalo.
Možete stvoriti potpis koji će snimiti datoteke i mape. Tada možete koristiti "usporediti potpis"Alat za provjeru jesu li promjene napravljene nekoliko tjedana ili mjesec dana na putu. Softver također dolazi s alatom za pretraživanje datoteka, gdje možete filtrirati rezultate po slikama, uredskim dokumentima ili komprimiranim datotekama.
Što je još bolje, možete koristiti jedinstvene i vrlo korisne “Neusklađeno pretraživanje datoteka"Alat za prosijavanje sumnjivih direktorija i identificiranje datoteka koje je vlasnik PC-a možda preimenovao jednostavno kako bi prikrio istinsku identifikaciju datoteke. Na primjer, preimenovanje slikovne datoteke s nastavkom "txt" ili klasificiranog dokumenta s nastavkom ".jpg".
![Istražite ili riješite računalne sustave pomoću OSForensics [Windows] forenzike5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Povratak na korištenje hash pristupa za analizu datoteka,Potvrdite / stvorite mjerenje"Uslužni program omogućuje vam da usporedite poznatu hash vrijednost za datoteku (što ima vrijednost Treba li biti) i izračunatu hash vrijednost za datoteku na ovom računalu.
Još jedno područje u kojem se ovaj softver stvarno ističe u forenzičkoj analizi je mogućnost proširivanja tisuća datoteka vrlo brzo kako bi se prepoznale određene tekstualne ključne riječi. Prvi korak za ubrzanje postupka je stvaranje indeksa za bilo koji direktorij na računalu. Kada to učini, izvijestit će o broju jedinstvenih riječi koje se nalaze u svim datotekama.
Kad to učinite, samo upotrijebite "Indeks pretraživanja"Alat za kopanje po datotekama, slikama i e-porukama za pronalaženje bilo koje specifične pojave ili sadržaja koji tražite.
Još jedan alat za računalnu forenziku koji će prepoznati većina Windows korisnika je "Nedavna aktivnost"Alat. Iako izgleda slično "Nedavni dokumenti"Alat, ovaj alat zapravo kopa prilično dublje, pretražujući MRU zapise, USB zapise, kolačiće, preuzimanja i još mnogo toga. Vlasnik je možda već pokušao očistiti računalo, ali mnogi ljudi ne razumiju sva mjesta na koja je zabilježena aktivnost - tako da ovaj alat može pronaći bilo koji preostali trag te aktivnosti.
Još jedna vrlo cool značajka je "Izbrisano pretraživanje datoteka"Alat koji vam omogućuje prosijavanje zapisa radi bilo kakvih naznaka sumnjivih nedavno izbrisanih datoteka. Primijetio sam da ta osobina nije bezumna. Pokušat će prepoznati elemente u tragovima bilo kojih izbrisanih datoteka, ali to nije uvijek uspješno.
Konačno, kad zaista očajnički želite pronaći neke preostale dokaze za zločin, možda ćete trebati uzeti „preglednik memorije" za vožnju. Ova računalna aplikacija za forenziku prikazuje sve adrese tvrde memorije i koliko je podataka pohranjeno. Sadržaj memorije možete izbaciti u CSV datoteku tako da možete pokositi tragove ili pušku za pušenje.
Kao što vidite, OSForensics je prilično moćan softver za one koji to ponekad imaju nesretna zadaća da mora istražiti računalni sustav nekoga tko je optužen za to Nešto nije u redu. Ponekad pravilna, temeljita forenzička istraga računala može stvoriti uvjerljive dokaze koji mogu stvoriti ili pokrenuti slučaj.
Jeste li ikada koristili OSForensics? Što misliš? Znate li za neku drugu sličnu aplikaciju koja je podjednako dobra ili bolja? Podijelite svoje misli u odjeljku s komentarima u nastavku.
Kreditna slika: Peter Hostermann
Ryan je diplomirao elektrotehniku. Radio je 13 godina u inženjerstvu automatizacije, 5 godina u IT-u, a sada je Apps inženjer. Bivši glavni urednik MakeUseOfa, govorio je na nacionalnim konferencijama o vizualizaciji podataka i bio je prikazan na nacionalnoj televiziji i radiju.
