FTK Imager este un software open-source de la AccessData care este folosit pentru a crea copii exacte ale dovezilor originale fără a le modifica efectiv. Imaginea dovezii originale rămâne aceeași și ne permite să copiem date la o viteză mult mai mare, care pot fi în curând păstrate și pot fi analizate în continuare.
F FTK imager vă oferă, de asemenea, funcția încorporată de verificare a integrității care generează un raport hash care ajută la potrivirea hash-ului dovezii înainte și după crearea imaginii dovezii originale.
Carte de materii
- Crearea unei imagini criminalistice
- Capturarea memoriei
- Analizarea descărcării imaginii
- Montarea imaginii pe unitate
- Imaginea conținutului personalizat utilizând AD criptare
- Decriptare criptare AD
- Obținerea fișierelor protejate
- Detectarea criptare EFS
- Exportarea fișierelor
Să începem cu crearea unei copii imagine a dovezii originale.
Crearea unei imagini criminalistice
Crearea unei imagini criminalistice este unul dintre cei mai importanți pași implicați în investigația criminalistică digitală. Este procesul prin care se realizează o copie de arhivă sau de rezervă a întregului hard disk. Este un fișier de stocare care conține toate informațiile necesare pentru a porni sistemul de operare. Cu toate acestea, acest disc imaginat trebuie să fie aplicat pe hard disk pentru a funcționa. Nu se poate restaura un hard disk prin plasarea pe acesta a fișierelor de imagine a discului, deoarece trebuie să fie deschis și instalat pe unitate cu ajutorul unui program de imagistică. Un singur hard disk poate stoca mai multe imagini de disc pe el. Imaginile de disc pot fi, de asemenea, stocate pe unități flash cu o capacitate mai mare.
Deschideți FTK Imager by AccessData după ce l-ați instalat și veți vedea fereastra pop-up care este prima pagină la care se deschide acest instrument.
Acum, pentru a crea o imagine de disc. Faceți clic pe File > Create Disk Image.
Acum puteți alege sursa în funcție de unitatea pe care o aveți. Poate fi o unitate fizică sau o unitate logică, în funcție de dovezile pe care le aveți.
O unitate fizică este hardware-ul de stocare primară sau componenta din cadrul unui dispozitiv, care este utilizată pentru a stoca, recupera și organiza datele.
O unitate logică este, în general, un spațiu de unitate care este creat peste un hard disk fizic. O unitate logică are parametrii și funcțiile sale, deoarece funcționează independent.
Acum alegeți sursa unității de disc pe care doriți să creați o copie a imaginii.
Adaugați calea de destinație a imaginii care va fi creată. Din punct de vedere criminalistic, ar trebui să fie copiată pe un hard disk separat și ar trebui create mai multe copii ale dovezii originale pentru a preveni pierderea dovezilor.
Selectați formatul imaginii pe care doriți să o creați. Diferitele formate de creare a imaginii sunt:
Raw(dd): Este o copie bit cu bit a dovezii originale care este creată fără adăugiri și sau ștergeri. Nu conțin nici un fel de metadate.
SMART: Este un format de imagine care a fost utilizat pentru Linux și care nu mai este utilizat în mod popular.
E01: Este acronimul de la EnCase Evidence File, care este un format utilizat în mod obișnuit pentru crearea de imagini și este similar cu
AFF: Înseamnă Advanced Forensic Format care este un tip de format open-source.
Acum, adăugați detaliile imaginii pentru a continua.
Acum adăugați în final destinația fișierului de imagine, denumiți fișierul de imagine și apoi faceți clic pe Finish.
După ce ați adăugat calea de destinație, puteți începe acum cu Imaging și, de asemenea, faceți clic pe opțiunea verify pentru a genera un hash.
Acum să așteptăm câteva minute pentru ca imaginea să fie creată.
După ce imaginea este creată, se generează un rezultat Hash care verifică MD5 Hash, SHA1 Hash și prezența oricărui sector defect.
Capturarea memoriei
Este metoda de capturare și descărcare a conținutului unui conținut volatil într-un dispozitiv de stocare nevolatilă pentru a-l păstra pentru investigații ulterioare. O analiză ram poate fi efectuată cu succes numai atunci când achiziția a fost efectuată cu precizie, fără a corupe imaginea memoriei volatile. În această fază, investigatorul trebuie să fie atent la deciziile sale de colectare a datelor volatile, deoarece acestea nu vor mai exista după ce sistemul va fi supus unei reporniri.
Acum, să începem cu capturarea memoriei.
Pentru a captura memoria, faceți clic pe File > Capture Memory.
Alegeți calea de destinație și numele fișierului de destinație, apoi faceți clic pe capture memory.
Acum haideți să așteptăm câteva minute până când memoria RAM este capturată.
Analyzing Image Dump
Acum haideți să analizăm imaginea Dump RAW după ce a fost achiziționată cu ajutorul FTK imager. Pentru a începe analiza, faceți clic pe File> Add Evidence Item.
Acum selectați sursa fișierului Dump pe care l-ați creat deja, deci aici trebuie să selectați opțiunea de fișier imagine și faceți clic pe Next.
Alegeți calea fișierului de descărcare de imagine pe care l-ați capturat făcând clic pe Browse.
După ce fișierul de descărcare de imagine este atașat la partea de analiză, veți vedea un arbore de probe care are conținutul fișierelor din fișierul de descărcare de imagine. Acesta ar putea avea atât date șterse, cât și date suprascrise.
Pentru a analiza în continuare alte lucruri, vom elimina acum acest element de probă făcând clic dreapta pe caz și făcând clic pe Remove Evidence Item
Mounting Image to Drive
Pentru a monta imaginea ca unitate în sistem, faceți clic pe File > Image Mounting
După ce apare fereastra Mount Image to Drive, puteți adăuga calea către fișierul imagine pe care doriți să îl montați și faceți clic pe Mount.
Acum puteți vedea că fișierul imagine a fost acum montat ca unitate.
Custom Content Image with AD Encryption
FTK imager are o funcție care îi permite să cripteze fișiere de un anumit tip în funcție de cerința examinatorului. Faceți clic pe fișierele pe care doriți să le adăugați la imaginea de conținut personalizat împreună cu criptarea AD.
Toate fișierele selectate vor fi afișate într-o fereastră nouă și apoi faceți clic pe Create Image pentru a continua.
Completați detaliile necesare pentru dovezile care urmează să fie create.
Adaugați acum destinația fișierului imagine care urmează să fie creat, denumiți fișierul imagine și apoi bifați căsuța cu criptare AD, iar apoi faceți clic pe Finish.
Se va deschide o nouă fereastră pentru criptarea imaginii, Acum închiriați și reintroduceți parola pe care doriți să o adăugați pentru imagine.
Acum, pentru a vedea fișierele criptate, faceți clic pe File> Add Evidence Item…
Fereastra de decriptare a fișierelor criptate va apărea odată ce ați adăugat sursa de fișiere. Introduceți parola și faceți clic pe OK.
Acum veți vedea cele două fișiere criptate la introducerea parolelor valide.
Decriptarea imaginii AD1
Pentru a decripta imaginea cu conținut personalizat, faceți clic pe File> Decrypt AD1 Image.
Acum trebuie să introduceți parola pentru fișierul imagine care a fost criptat și faceți clic pe Ok.
Acum, așteptați câteva minute până când imaginea decriptată este creată.
Pentru a vizualiza imaginea de conținut personalizat decriptată, adăugați calea fișierului decriptat și faceți clic pe Finish.
Acum veți putea vedea fișierele criptate folosind parola corectă pentru a le decripta.
Obțineți fișierele protejate
Certe fișiere sunt protejate la recuperare, pentru a obține aceste fișiere, faceți clic pe File> Obtain Protected Files
Se va deschide o fereastră nouă și faceți clic pe browse pentru a adăuga destinația fișierului care este protejat și faceți clic pe opțiunea care spune recuperare parolă și toate fișierele de registru și faceți clic pe OK.
Acum veți vedea toate fișierele protejate într-un singur loc
Detect EFS Encryption
Când un folder sau un fișier este criptat, îl putem detecta folosind această funcție a FTK Imager.
Un fișier este criptat într-un dosar pentru a-i securiza conținutul.
Pentru a detecta criptarea EFS, faceți clic pe File >Detect EFS Encryption
Puteți vedea că este detectată criptarea.
Export Files
Pentru a exporta fișierele și folderele din fișierul imaginat în dosarul dumneavoastră, puteți face clic pe File > Export Files.
Acum puteți vedea rezultatele exportului numărului de fișiere și foldere care au fost copiate în sistem.
Autor: Jeenali Kothari este un pasionat de Digital Forensics și îi place să scrie conținut tehnic. Puteți ajunge la ea pe Aici
.