FTK Imager on AccessDatan valmistama avoimen lähdekoodin ohjelmisto, jota käytetään tarkkojen kopioiden luomiseen alkuperäisestä todistusaineistosta tekemättä siihen varsinaisesti mitään muutoksia. Alkuperäisten todisteiden kuva pysyy samana ja sen avulla voidaan kopioida tietoja paljon nopeammin, jotka voidaan pian säilyttää ja analysoida edelleen.
FTK Imager tarjoaa myös sisäänrakennetun eheyden tarkistustoiminnon, joka luo hash-raportin, joka auttaa todisteiden hash:n täsmäyttämisessä ennen ja jälkeen alkuperäisten todisteiden kuvan luomisen.
Sisällysluettelo
- Rikosteknisen kuvan luominen
- Muistin kaappaaminen
- Kuvan dumppauksen analysointi
- Kuvan liittäminen asemaan
- Tilaustyönä laadittu sisältökuva AD:n avulla. salaus
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
Aloitetaan luomalla kuvakopio alkuperäisistä todisteista.
Rikosteknisen kuvan luominen
Rikostekninen kuvantaminen on yksi digitaalisen rikostutkinnan tärkeimmistä vaiheista. Siinä tehdään arkisto- tai varmuuskopio koko kiintolevystä. Se on tallennustiedosto, joka sisältää kaikki käyttöjärjestelmän käynnistämiseen tarvittavat tiedot. Tämä kuvattu levy on kuitenkin sovellettava kiintolevylle toimiakseen. Kiintolevyä ei voi palauttaa sijoittamalla levyn kuvatiedostot siihen, koska se on avattava ja asennettava asemaan kuvantamisohjelmalla. Yhdelle kiintolevylle voidaan tallentaa useita levykuvia. Levykuvia voidaan tallentaa myös muistitikuille, joiden kapasiteetti on suurempi.
Avaa FTK Imager by AccessData sen asentamisen jälkeen, ja näet ponnahdusikkunan, joka on ensimmäinen sivu, johon tämä työkalu avautuu.
Nyt luoda levykuvan. Klikkaa File > Create Disk Image.
Nyt voit valita lähteen aseman perusteella. Se voi olla fyysinen tai looginen Asema riippuen todisteistasi.
Fyysinen Asema on ensisijainen tallennuslaitteisto tai laitteen sisällä oleva komponentti, jota käytetään tietojen tallentamiseen, hakemiseen ja järjestämiseen.
Looginen asema on yleensä fyysisen kiintolevyn päälle luotu asematila. Loogisella asemalla on omat parametrit ja toiminnot, koska se toimii itsenäisesti.
Valitse nyt aseman lähde, josta haluat luoda kuvakopion.
Lisää luotavan kuvan kohdepolku. Rikosteknisestä näkökulmasta se tulisi kopioida erilliselle kiintolevylle ja alkuperäisestä todistusaineistosta tulisi luoda useita kopioita todisteiden katoamisen estämiseksi.
Valitse luotavan kuvan muoto. Kuvan luomisen eri muodot ovat:
Raw(dd): Se on bittikohtainen kopio alkuperäisestä todisteesta, joka luodaan ilman lisäyksiä ja tai poistoja. Ne eivät sisällä metatietoja.
SMART: Se on Linuxissa käytetty kuvaformaatti, jota ei enää yleisesti käytetä.
E01: Se on lyhenne sanoista EnCase Evidence File (EnCase-todisteiden tiedosto), joka on yleisesti käytetty kuvaformaatti, ja se on samanlainen kuin
AFF: Se on lyhenne sanoista Advanced Forensic Format, joka on avoimen lähdekoodin formaattityyppi.
Nyt lisää kuvan tiedot jatkaaksesi.
Nyt lisää lopuksi kuvatiedoston määränpää, anna kuvatiedostolle nimi ja napsauta lopuksi Finish.
Kun olet lisännyt kohdepolun, voit nyt aloittaa kuvantamisen ja napsauttaa myös verify-vaihtoehtoa luodaksesi hashin.
Odotetaan nyt muutama minuutti, kunnes kuva on luotu.
Kun kuva on luotu, luodaan Hash-tulos, joka tarkistaa MD5 Hashin, SHA1 Hashin ja mahdollisten huonojen sektorien olemassaolon.
Muistin kaappaaminen
Se on menetelmä, jolla haihtuvan sisällön sisältö kaapataan ja dumppataan haihtumattomaan tallennuslaitteeseen sen säilyttämiseksi myöhempää tutkimusta varten. Ram-analyysi voidaan suorittaa onnistuneesti vain, kun kaappaus on suoritettu tarkasti ilman, että haihtuvan muistin kuva turmeltuu. Tässä vaiheessa tutkijan on oltava varovainen haihtuvien tietojen keräämistä koskevien päätöstensä suhteen, sillä niitä ei ole enää olemassa sen jälkeen, kun järjestelmä on käynnistetty uudelleen.
Aloitetaan nyt muistin kaappaaminen.
Muistin kaappaamiseksi napsauta File > Capture Memory.
Valitse kohdepolku ja kohdetiedoston nimi ja napsauta Capture Memory.
Odotetaan nyt muutama minuutti, kunnes muisti on kaapattu.
Kuvan dumppauksen analysointi
Analyzing Image Dump
Analyzeerataan nyt dumppattu RAW-kuva, kun se on hankittu FTK-kuvaajalla. Aloitetaan analyysi napsauttamalla File> Add Evidence Item.
Valitaan nyt jo luodun dumppitiedoston lähde, joten tässä on valittava kuvatiedostovaihtoehto ja napsautettava Next.
Valitse kaappaamasi kuvatallennustiedoston polku napsauttamalla Selaa.
Kun kuvatallennustiedosto on liitetty analyysiosaan, näet todisteiden puun, jossa on kuvatallennustiedoston tiedostojen sisältö. Siinä voi olla sekä poistettuja että ylikirjoitettuja tietoja.
Jotta voimme analysoida muita asioita tarkemmin, poistamme nyt tämän todiste-erän napsauttamalla tapausta hiiren kakkospainikkeella ja napsauttamalla Poista todiste-erä
Kuvakappaleen liittäminen levyasemaan
Kuvakappaleen liittäminen levyasemaksi järjestelmään, napsauta File > Image Mounting
Kun Mount Image to Drive (Asenna kuva asemaan) -ikkuna tulee näkyviin, voit lisätä haluamasi kuvatiedoston polun ja napsauttaa Mount.
Nyt näet, että kuvatiedosto on nyt asennettu asemaksi.
Custom Content Image with AD Encryption
FTK-kuvaajassa on ominaisuus, jonka avulla se voi salata tietyntyyppisiä tiedostoja tutkijan vaatimuksen mukaan. Napsauta tiedostoja, jotka haluat lisätä mukautettuun sisältökuvaan yhdessä AD-salauksen kanssa.
Kaikki valitut tiedostot näkyvät uudessa ikkunassa ja jatka sitten valitsemalla Luo kuva.
Täytä tarvittavat tiedot luotavasta todisteesta.
Valitse nyt luotavan kuvatiedoston määränpää, anna kuvatiedostolle nimi ja merkitse ruutu AD-salauksen kanssa ja napsauta sitten Valmis.
Uusi ikkuna avautuu kuvan salausta varten, Nyt vuokraaja ja syötä uudelleen salasana, jonka haluat lisätä kuvaan.
Katso nyt salattuja tiedostoja napsauttamalla File> Add Evidence Item…
Ikkuna salattujen tiedostojen salauksen purkamiseen avautuu, kun olet lisännyt tiedostolähteen. Syötä salasana ja napsauta OK.
Näet nyt kaksi salattua tiedostoa syöttämällä voimassa olevat salasanat.
Purkaa AD1-kuva
Purkaaksesi mukautetun sisällön kuvan, napsauta Tiedosto> Purkaa AD1-kuva.
Nyt sinun on syötettävä salatun kuvatiedoston salasana ja napsautettava Ok.
Odota nyt muutama minuutti, kunnes purettu kuva on luotu.
Katsoaksesi purettua mukautetun sisällön kuvaa, lisää puretun tiedoston polku ja napsauta Finish.
Pystyt nyt katsomaan salattuja tiedostoja käyttämällä oikeaa salasanaa sen purkamiseen.
Suojattujen tiedostojen hankkiminen
Tietyt tiedostot ovat suojattuja palautuksessa, jos haluat hankkia nämä tiedostot, napsauta Tiedosto> Hanki suojatut tiedostot
Uusi ikkuna aukeaa ja napsauta Selaa lisätäksesi suojatun tiedoston määränpään ja napsauta vaihtoehtoa, jossa lukee Salasanojen talteenotto ja kaikki rekisteritiedostot ja napsauta OK.
Nyt näet kaikki suojatut tiedostot yhdessä paikassa
Havaitse EFS-salaus
Kun kansio tai tiedosto on salattu, voimme havaita sen käyttämällä tätä FTK Imagerin ominaisuutta.
Tiedosto salataan kansiossa sen sisällön suojaamiseksi.
Havaita EFS-salaus napsauttamalla Tiedosto >Havaitse EFS-salaus
Voit nähdä, että salaus on havaittu.
Vie tiedostot
Voit viedä kuvatun tiedoston tiedostot ja kansiot kansioosi napsauttamalla Tiedosto > Vie tiedostot.
Näet nyt viennin tuloksena järjestelmään kopioitujen tiedostojen ja kansioiden määrän.
Author: Jeenali Kothari on digitaalisen rikostekniikan harrastaja ja nauttii teknisen sisällön kirjoittamisesta. Voit tavoittaa hänet osoitteesta Here