Hacking Articles

FTK Imager is een open-source software van AccessData die wordt gebruikt voor het maken van nauwkeurige kopieën van het originele bewijsmateriaal zonder er daadwerkelijk iets aan te veranderen. Het beeld van het originele bewijsmateriaal blijft hetzelfde en stelt ons in staat om gegevens in een veel sneller tempo te kopiëren, die binnenkort kunnen worden bewaard en verder kunnen worden geanalyseerd.

De FTK imager biedt u ook de ingebouwde integriteitscontrolefunctie die een hash-rapport genereert dat helpt bij het matchen van de hash van het bewijsmateriaal voor en na het maken van het beeld van het originele Bewijsmateriaal.

Inhoudsopgave

  • Een forensische image maken
  • Het geheugen vastleggen
  • Een image-dump analyseren
  • Imounting image to drive
  • Custom Content Image using AD encryptie
  • Decrypt AD Encryptie
  • Bekrijg Beveiligde Bestanden
  • Detecteer EFS Encryptie
  • Exporteer Bestanden

Laten we beginnen met het maken van een image kopie van het originele bewijsmateriaal.

Een forensische image maken

Forensic Imaging is een van de meest cruciale stappen in digitaal forensisch onderzoek. Het is het proces van het maken van een archief- of reservekopie van de gehele harde schijf. Het is een opslagbestand dat alle nodige informatie bevat om het besturingssysteem op te starten. Deze geïmproviseerde schijf moet echter op de harde schijf worden aangebracht om te kunnen werken. Een harde schijf kan niet worden hersteld door de disk image-bestanden erop te plaatsen, omdat deze met een imaging-programma moeten worden geopend en op de schijf moeten worden geïnstalleerd. Op een enkele harde schijf kunnen veel schijfimages worden opgeslagen. Disk images kunnen ook worden opgeslagen op flash drives met een grotere capaciteit.

Open FTK Imager van AccessData nadat u het hebt geïnstalleerd, en u ziet het venster pop-up dat de eerste pagina is waarop dit hulpprogramma wordt geopend.

Nu, om een Disk Image te maken. Klik op Bestand > Schijfkopie maken.

Nu kunt u de bron kiezen op basis van de schijf die u hebt. Dit kan een fysieke of een logische schijf zijn, afhankelijk van uw bewijsmateriaal.

Een fysieke schijf is de primaire opslaghardware of het onderdeel binnen een apparaat, dat wordt gebruikt om gegevens op te slaan, op te halen en te ordenen.

Een logische schijf is in het algemeen een schijfruimte die over een fysieke harde schijf wordt gecreëerd. Een logische schijf heeft zijn eigen parameters en functies omdat hij onafhankelijk werkt.

Kies nu de bron van uw schijf waarvan u een image-kopie wilt maken.

Voeg het bestemmingspad toe van de image die moet worden gemaakt. Vanuit forensisch oogpunt moet de image op een aparte harde schijf worden gekopieerd en moeten er meerdere kopieën van het originele bewijsmateriaal worden gemaakt om verlies van bewijsmateriaal te voorkomen.

Selecteer het formaat van de image die u wilt maken. De verschillende formaten voor het maken van de afbeelding zijn:

Raw(dd): Het is een bit-voor-bit kopie van het originele bewijsmateriaal dat wordt gemaakt zonder toevoegingen en of verwijderingen. Ze bevatten geen metagegevens.

SMART: Het is een image-indeling die werd gebruikt voor Linux, maar die niet meer in de volksmond wordt gebruikt.

E01: Het staat voor EnCase Evidence File, een veelgebruikte indeling voor imaging en is vergelijkbaar met

AFF: Het staat voor Advanced Forensic Format dat een open-source indelingstype is.

Nu voegt u de details van de afbeelding toe om verder te gaan.

Nu voegt u ten slotte de bestemming van het afbeeldingsbestand toe, geeft u het afbeeldingsbestand een naam en klikt u vervolgens op Voltooien.

Nadat u het bestemmingspad hebt toegevoegd, kunt u nu beginnen met de beeldverwerking en ook klikken op de verificatieoptie om een hash te genereren.

Nu moeten we een paar minuten wachten tot de image is gemaakt.

Nadat de image is gemaakt, wordt een Hash-resultaat gegenereerd dat de MD5 Hash, SHA1 Hash en de aanwezigheid van een slechte sector verifieert.

Capturing Memory

Het is de methode waarbij de inhoud van een vluchtige inhoud wordt opgevangen en gedumpt in een niet-vluchtig opslagmedium om deze te bewaren voor verder onderzoek. Een ram-analyse kan alleen met succes worden uitgevoerd wanneer de acquisitie nauwkeurig is uitgevoerd zonder het beeld van het vluchtige geheugen te corrumperen. In deze fase moet de onderzoeker voorzichtig zijn met zijn beslissingen om de vluchtige gegevens te verzamelen, omdat deze niet zullen bestaan nadat het systeem een reboot ondergaat.

Nu beginnen we met het vastleggen van het geheugen.

Om het geheugen vast te leggen, klikt u op Bestand >Geheugen vastleggen.

Kies het bestemmingspad en de bestemmingsbestandsnaam, en klik op Geheugen vastleggen.

Wacht nu enkele minuten tot het geheugen is vastgelegd.

Analyse Image Dump

Nu gaan we het gedumpte RAW-beeld analyseren nadat het is verkregen met de FTK-imager. Om met de analyse te beginnen, klikt u op Bestand> Bewijsmateriaal toevoegen.

Nu selecteert u de bron van het dumpbestand dat u al hebt gemaakt, dus hier moet u de optie afbeeldingsbestand selecteren en op Volgende klikken.

Kies het pad van de image-dump die u hebt vastgelegd door op Bladeren te klikken.

Als de image-dump eenmaal aan het analysegedeelte is gekoppeld, ziet u een boomstructuur met bewijsmateriaal waarin de inhoud van de bestanden van de image-dump is opgenomen. Deze kan zowel verwijderde als overschreven gegevens bevatten.

Om andere zaken verder te analyseren, verwijderen we nu dit bewijsmateriaal door met de rechtermuisknop op de zaak te klikken en te klikken op Bewijsmateriaal verwijderen

Mounting Image to Drive

Om de image te mounten als een drive in uw systeem, klikt u op Bestand > Afbeelding mounten

Als het venster Afbeelding op station mounten verschijnt, kunt u het pad toevoegen naar het imagebestand dat u wilt mounten en klikken op Mounten.

Nu kunt u zien dat het imagebestand nu als station is aangekoppeld.

Custom Content Image with AD Encryption

FTK-imager beschikt over een functie waarmee bestanden van een bepaald type kunnen worden gecodeerd, afhankelijk van de vereisten van de examinator. Klik op de bestanden die u wilt toevoegen aan de aangepaste inhoud Image samen met AD-encryptie.

Alle geselecteerde bestanden worden weergegeven in een nieuw venster en klik vervolgens op Afbeelding maken om verder te gaan.

Vul de vereiste gegevens in voor het aan te maken bewijs.

Voeg nu de bestemming van het aan te maken image-bestand in, geef het image-bestand een naam en vink vervolgens het vakje met AD-versleuteling aan en klik vervolgens op Voltooien.

Er verschijnt een nieuw venster voor het coderen van de afbeelding, nu renter en voer opnieuw het wachtwoord in dat u voor uw afbeelding wilt toevoegen.

Als u nu de gecodeerde bestanden wilt zien, klikt u op Bestand> Bewijsmateriaal toevoegen…

Het venster om de gecodeerde bestanden te decoderen verschijnt zodra u de bestandsbron hebt toegevoegd. Voer het wachtwoord in en klik op OK.

U ziet nu de twee gecodeerde bestanden na het invoeren van de geldige wachtwoorden.

Decodeer AD1-afbeelding

Om de afbeelding met aangepaste inhoud te decoderen, klikt u op Bestand>Decodeer AD1-afbeelding.

Nu moet u het wachtwoord invoeren voor het afbeeldingsbestand dat is gecodeerd en op Ok klikken.

Nu moet u enkele minuten wachten totdat de gedecodeerde afbeelding is gemaakt.

Om de gedecodeerde afbeelding met aangepaste inhoud te bekijken, voegt u het pad van het gedecodeerde bestand toe en klikt u op Voltooien.

U kunt nu de gecodeerde bestanden bekijken door het juiste wachtwoord te gebruiken om deze te decoderen.

Beveiligde bestanden verkrijgen

Zekere bestanden zijn beveiligd bij herstel. Om deze bestanden te verkrijgen, klikt u op Bestand> Beveiligde bestanden verkrijgen

Er verschijnt een nieuw venster en klik op bladeren om de bestemming van het bestand dat is beveiligd toe te voegen en klik op de optie die zegt wachtwoordherstel en alle registerbestanden en klik op OK.

Nu ziet u alle beschermde bestanden op één plaats

Detect EFS Encryption

Wanneer een map of een bestand is versleuteld, kunnen we dit detecteren met deze functie van de FTK Imager.

Een bestand wordt in een map gecodeerd om de inhoud ervan te beveiligen.

Om de EFS-encryptie te detecteren, klikt u op Bestand >Detect EFS Encryption

U ziet dat de encryptie is gedetecteerd.

Bestanden exporteren

Om de bestanden en mappen van het geïmporteerde bestand naar uw map te exporteren, kunt u klikken op Bestand >Bestanden exporteren.

U ziet nu de resultaten van de export van het aantal bestanden en mappen dat naar het systeem is gekopieerd.

Auteur: Jeenali Kothari is een liefhebber van Digital Forensics en houdt van het schrijven van technische inhoud. U kunt haar bereiken op Here

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.