FTK Imager er en open source-software fra AccessData, der bruges til at skabe nøjagtige kopier af det originale bevismateriale uden at foretage nogen ændringer i det. Billedet af det originale bevis forbliver det samme og giver os mulighed for at kopiere data med en meget hurtigere hastighed, som snart kan bevares og kan analyseres yderligere.
FTK imager giver dig også den indbyggede integritetskontrolfunktion, der genererer en hash-rapport, som hjælper med at matche hash af beviset før og efter at have skabt billedet af det originale bevis.
Indholdsfortegnelse
- Skabelse af et retsmedicinsk image
- Optagelse af hukommelse
- Analyse af image dump
- Montering af image til drev
- Afbildning af brugerdefineret indhold ved hjælp af AD encryption
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
Lader os begynde med at oprette en image-kopi af det originale bevismateriale.
Skabelse af et kriminalteknisk billede
Kriminalteknisk billeddannelse er et af de mest afgørende trin i forbindelse med digital kriminalteknisk undersøgelse. Det er processen med at lave en arkiv- eller sikkerhedskopi af hele harddisken. Det er en lagringsfil, der indeholder alle de nødvendige oplysninger til at starte op til operativsystemet. Denne afbildede disk skal imidlertid anvendes på harddisken for at fungere. Man kan ikke gendanne en harddisk ved at placere diskimagefilerne på den, da den skal åbnes og installeres på drevet ved hjælp af et billedbehandlingsprogram. En enkelt harddisk kan gemme mange diskimages på den. Disk images kan også gemmes på flashdrev med en større kapacitet.
Åbn FTK Imager fra AccessData efter installation af det, og du vil se vinduet pop-up, som er den første side, som dette værktøj åbner.
Nu skal du oprette et Disk Image. Klik på File > Create Disk Image.
Nu kan du vælge kilden baseret på det drev, du har. Det kan være et fysisk eller et logisk drev afhængigt af dine beviser.
Et fysisk drev er den primære lagerhardware eller den komponent i en enhed, som bruges til at gemme, hente og organisere data.
Et logisk drev er generelt et drevplads, der er oprettet over en fysisk harddisk. Et logisk drev har sine egne parametre og funktioner, fordi det fungerer uafhængigt.
Vælg nu kilden til dit drev, som du vil oprette en image-kopi af.
Føj destinationsstien til det image, der skal oprettes. Fra det retsmedicinske perspektiv bør det kopieres på en separat harddisk, og der bør oprettes flere kopier af det originale bevismateriale for at forhindre tab af bevismateriale.
Vælg formatet for det billede, du vil oprette. De forskellige formater til oprettelse af billedet er:
Raw(dd): Det er en bit-for-bit-kopi af det originale bevis, som oprettes uden tilføjelser og eller sletninger. De indeholder ingen metadata.
SMART: Det er et billedformat, der blev brugt til Linux, som ikke længere er populært anvendt.
E01: Det står for EnCase Evidence File, som er et almindeligt anvendt format til billeddannelse og svarer til
AFF: Det står for Advanced Forensic Format, som er en open source-formattype.
Nu skal du tilføje detaljerne for billedet for at fortsætte.
Nu skal du endelig tilføje destinationen for billedfilen, navngive billedfilen og derefter klikke på Finish.
Når du har tilføjet destinationsstien, kan du nu starte med billeddannelsen og også klikke på indstillingen verificere for at generere en hash.
Lad os nu vente et par minutter på, at billedet oprettes.
Når billedet er oprettet, genereres et Hash-resultat, som verificerer MD5 Hash, SHA1 Hash og tilstedeværelsen af en eventuel dårlig sektor.
Capturing Memory
Det er metoden til at indfange og dumpe indholdet af et flygtigt indhold til en ikke-flygtig lagerenhed for at bevare det med henblik på yderligere undersøgelser. En ram-analyse kan kun gennemføres med succes, når optagelsen er blevet udført præcist uden at ødelægge billedet af den flygtige hukommelse. I denne fase skal efterforskeren være forsigtig med sine beslutninger om at indsamle de flygtige data, da de ikke vil eksistere, efter at systemet har været genstand for en genstart.
Nu skal vi begynde med at optage hukommelsen.
For at optage hukommelsen skal du klikke på File > Capture Memory.
Vælg destinationsstien og destinationsfilnavnet, og klik på Capture Memory.
Lad os nu vente et par minutter, indtil rammen er ved at blive opfanget.
Analyse af billeddump
Lad os nu analysere Dump RAW-billedet, når det er blevet opfanget ved hjælp af FTK imager. For at starte med analysen skal du klikke på File> Add Evidence Item.
Vælg nu kilden til den dump-fil, som du allerede har oprettet, så her skal du vælge billedfilen og klikke på Next.
Vælg stien til det billeddump, som du har optaget, ved at klikke på Gennemse.
Når billeddumpet er knyttet til analysedelen, vil du se et bevistræ, som har indholdet af filerne i billeddumpet. Dette kan have slettet såvel som overskrevet data.
For at analysere andre ting yderligere, vil vi nu fjerne dette bevismateriale ved at højreklikke på sagen og klikke på Fjern bevismateriale
Montering af image til drev
For at montere image som et drev i dit system, klikker du på File > Image Mounting
Når vinduet Mount Image to Drive vises, kan du tilføje stien til den billedfil, du vil montere, og klikke på Mount.
Nu kan du se, at billedfilen nu er blevet monteret som et drev.
Afbildning af brugerdefineret indhold med AD-kryptering
FTK imager har en funktion, der gør det muligt at kryptere filer af en bestemt type i henhold til eksaminatorens krav. Klik på de filer, som du vil tilføje til det brugerdefinerede indholdsbillede sammen med AD-kryptering.
Alle de valgte filer vises i et nyt vindue, og klik derefter på Opret billede for at fortsætte.
Udfyld de nødvendige oplysninger om det bevismateriale, der skal oprettes.
Føj nu destinationen for den billedfil, der skal oprettes, tilføj et navn til billedfilen, og marker derefter feltet med AD-kryptering, og klik derefter på Afslut.
Et nyt vindue vil poppe op for at kryptere billedet, Nu renter og indtaster du igen den adgangskode, som du vil tilføje til dit billede.
Nu skal du se de krypterede filer ved at klikke på File> Add Evidence Item…
Vinduet til dekryptering af de krypterede filer vises, når du har tilføjet filkilden. Indtast adgangskoden, og klik på OK.
Du vil nu se de to krypterede filer ved indtastning af de gyldige adgangskoder.
Dekrypter AD1-billede
For at dekryptere det brugerdefinerede indholdsbillede skal du klikke på Fil> Dekrypter AD1-billede.
Nu skal du indtaste adgangskoden til den billedfil, der blev krypteret, og klikke på Ok.
Venter nu et par minutter, indtil det dekrypterede billede er oprettet.
For at se det dekrypterede billede med brugerdefineret indhold skal du tilføje stien til den dekrypterede fil og klikke på Afslut.
Du vil nu kunne se de krypterede filer ved at bruge den korrekte adgangskode til at dekryptere den.
Indhent beskyttede filer
Visse filer er beskyttet ved genoprettelse, for at få disse filer skal du klikke på File> Obtain Protected Files
Et nyt vindue vil dukke op, og klik på Gennemse for at tilføje destinationen for den fil, der er beskyttet, og klik på den indstilling, der siger password recovery and all registry files, og klik på OK.
Nu vil du se alle de beskyttede filer på ét sted
Detekter EFS-kryptering
Når en mappe eller en fil er krypteret, kan vi opdage det ved hjælp af denne funktion i FTK Imager.
En fil er krypteret i en mappe for at sikre dens indhold.
For at detektere EFS-krypteringen skal du klikke på File >Detect EFS Encryption
Du kan se, at krypteringen er detekteret.
Exportér filer
For at eksportere filerne og mapperne fra den afbildede fil til din mappe kan du klikke på Fil > Eksportér filer.
Du kan nu se resultaterne af eksporten af antallet af filer og mapper, der er blevet kopieret til systemet.
Author: Jeenali Kothari er en Digital Forensics entusiast og nyder at skrive teknisk indhold. Du kan nå hende på Her