FTK Imager je software s otevřeným zdrojovým kódem od společnosti AccessData, který slouží k vytváření přesných kopií původních důkazů, aniž by na nich byly prováděny jakékoli změny. Obraz původního důkazu zůstává stejný a umožňuje nám kopírovat data mnohem rychleji, což lze brzy zachovat a dále analyzovat.
FTK Imager vám také poskytuje vestavěnou funkci kontroly integrity, která generuje zprávu hash, která pomáhá při porovnávání hash důkazu před a po vytvoření obrazu původního důkazu.
Obsah
- Vytvoření forenzního obrazu
- Zachycení paměti
- Analýza výpisu obrazu
- Montáž obrazu na jednotku
- Vlastní obraz obsahu pomocí AD. šifrování
- Dekódování AD šifrování
- Získání chráněných souborů
- Detekce EFS šifrování
- Export souborů
Začneme vytvořením bitové kopie původního důkazu.
Vytvoření forenzního obrazu
Forenzní obraz je jedním z nejdůležitějších kroků zapojených do digitálního forenzního vyšetřování. Jedná se o proces vytvoření archivní nebo záložní kopie celého pevného disku. Jedná se o úložný soubor, který obsahuje všechny potřebné informace pro zavedení operačního systému. Aby však tento nasnímaný disk fungoval, je třeba jej aplikovat na pevný disk. Obnovit pevný disk umístěním souborů obrazu disku na něj nelze, protože je třeba jej otevřít a nainstalovat na disk pomocí zobrazovacího programu. Na jednom pevném disku může být uloženo mnoho obrazů disků. Obrazy disků lze také ukládat na jednotky flash s větší kapacitou.
Po instalaci otevřete program FTK Imager by AccessData a zobrazí se okno, které je první stránkou, na níž se tento nástroj otevře.
Nyní vytvořte obraz disku. Klikněte na Soubor > Vytvořit obraz disku.
Nyní můžete vybrat zdroj podle toho, jakou máte jednotku. Může to být fyzická nebo logická jednotka v závislosti na vaší evidenci.
Fyzická jednotka je primární úložný hardware nebo součást v zařízení, která se používá k ukládání, načítání a organizaci dat.
Logická jednotka je obecně prostor jednotky, který je vytvořen nad fyzickým pevným diskem. Logická jednotka má své parametry a funkce, protože pracuje nezávisle.
Nyní vyberte zdroj jednotky, jejíž bitovou kopii chcete vytvořit.
Přidejte Cílovou cestu bitové kopie, která bude vytvořena. Z forenzního hlediska by měl být zkopírován na samostatný pevný disk a mělo by být vytvořeno více kopií původního důkazu, aby se zabránilo ztrátě důkazů.
Vyberte formát obrazu, který chcete vytvořit. Různé formáty pro vytvoření obrazu jsou:
Raw(dd): Jedná se o bitovou kopii původního důkazu, která je vytvořena bez jakýchkoli přídavků a nebo vymazání. Neobsahují žádná metadata.
SMART: Jedná se o formát obrazu, který se používal pro systém Linux, který se již běžně nepoužívá.
E01: Jedná se o zkratku EnCase Evidence File, což je běžně používaný formát pro vytváření obrazů a je podobný formátu
AFF:
Nyní přidejte podrobnosti o obrazu, abyste mohli pokračovat.
Nyní konečně přidejte cíl souboru obrazu, pojmenujte soubor obrazu a klikněte na Dokončit.
Pokud jste přidali cílovou cestu, můžete nyní začít se zobrazováním a také kliknout na možnost ověřit, aby se vygeneroval hash.
Nyní počkáme několik minut na vytvoření obrazu.
Po vytvoření obrazu se vygeneruje výsledek Hash, který ověří MD5 Hash, SHA1 Hash a přítomnost případného vadného sektoru.
Zachycení paměti
Jedná se o metodu zachycení a vypsání obsahu nestálého obsahu do nestálého paměťového zařízení za účelem jeho uchování pro další zkoumání. Analýzu ram lze úspěšně provést pouze tehdy, pokud bylo pořízení provedeno přesně, aniž by došlo k poškození obrazu těkavé paměti. V této fázi musí být vyšetřovatel opatrný při rozhodování o sběru volatilních dat, protože po restartu systému již nebudou existovat.
Nyní začneme se zachycením paměti.
Pro zachycení paměti klikněte na Soubor > Zachytit paměť.
Zvolte cílovou cestu a název cílového souboru a klikněte na Zachytit paměť.
Nyní počkejme několik minut, dokud nebude ram zachycena.
Analýza výpisu obrazu
Nyní analyzujme výpis obrazu RAW, jakmile byl získán pomocí zobrazovače FTK. Chcete-li začít s analýzou, klikněte na File> Add Evidence Item.
Nyní vyberte zdroj souboru výpisu, který jste již vytvořili, takže zde musíte vybrat možnost image file a kliknout na Next.
Zvolte cestu k výpisu obrazu, který jste zachytili, kliknutím na Procházet.
Po připojení výpisu obrazu k části analýzy se zobrazí strom důkazů, který obsahuje obsah souborů výpisu obrazu. Mohlo by se jednat o smazaná i přepsaná data.
Chceme-li dále analyzovat další věci, odstraníme nyní tuto položku důkazů kliknutím pravým tlačítkem myši na případ a kliknutím na možnost Odstranit položku důkazů
Montáž obrazu na jednotku
Pro připojení obrazu jako jednotky v systému, klikněte na Soubor >Montáž obrazu
Po zobrazení okna Připojení obrazu na jednotku můžete přidat cestu k souboru obrazu, který chcete připojit, a kliknout na Připojit.
Nyní vidíte, že soubor bitové kopie byl nyní připojen jako jednotka.
Obrázek s vlastním obsahem a šifrováním AD
ObrázekFTK má funkci, která umožňuje šifrovat soubory určitého typu podle požadavku zkoušejícího. Klikněte na soubory, které chcete přidat do obrazu vlastního obsahu spolu se šifrováním AD.
Všechny vybrané soubory se zobrazí v novém okně a poté pokračujte kliknutím na Vytvořit obraz.
Vyplňte požadované údaje o důkazu, který má být vytvořen.
Nyní přidejte cíl souboru obrazu, který má být vytvořen, pojmenujte soubor obrazu a poté zaškrtněte políčko se šifrováním AD a klikněte na Dokončit.
Zobrazí se nové okno pro šifrování obrazu, Nyní pronajměte a znovu zadejte heslo, které chcete přidat pro obraz.
Nyní pro zobrazení zašifrovaných souborů klikněte na Soubor> Přidat důkazní položku…
Po přidání zdroje souborů se zobrazí okno pro dešifrování zašifrovaných souborů. Zadejte heslo a klikněte na tlačítko OK.
Při zadání platných hesel se nyní zobrazí dva zašifrované soubory.
Decrypt AD1 Image
Pro dešifrování obrázku s vlastním obsahem klikněte na File> Decrypt AD1 Image.
Nyní je třeba zadat heslo pro zašifrovaný soubor s obrázkem a kliknout na Ok.
Nyní počkejte několik minut, dokud se nevytvoří dešifrovaný obraz.
Chcete-li zobrazit dešifrovaný obraz s vlastním obsahem, přidejte cestu k dešifrovanému souboru a klikněte na Dokončit.
Zašifrované soubory nyní budete moci zobrazit pomocí správného hesla pro dešifrování.
Získat chráněné soubory
Některé soubory jsou při obnově chráněny, pro získání těchto souborů klikněte na Soubor> Získat chráněné soubory
Objeví se nové okno a kliknutím na Procházet přidejte cíl chráněného souboru a klikněte na možnost s nápisem Obnova hesla a všechny soubory registru a klikněte na OK.
Nyní uvidíte všechny chráněné soubory na jednom místě
Detekce šifrování EFS
Když je složka nebo soubor zašifrovaný, můžeme to zjistit pomocí této funkce programu FTK Imager.
Soubor je ve složce zašifrován, aby byl zabezpečen jeho obsah.
Chcete-li zjistit šifrování EFS, klikněte na Soubor >Detekovat šifrování EFS
Vidíte, že je šifrování zjištěno.
Export souborů
Chcete-li exportovat soubory a složky ze zobrazeného souboru do své složky, můžete kliknout na Soubor > Export souborů.
Nyní si můžete prohlédnout výsledky exportu počtu souborů a složek, které byly zkopírovány do systému.
Autor: Jeenali Kothari je nadšenec do digitální kriminalistiky a rád píše technický obsah. Můžete ji kontaktovat na adrese Zde