Hacking Articles

FTK Imager är en programvara med öppen källkod från AccessData som används för att skapa korrekta kopior av originalbeviset utan att göra några ändringar i det. Bilden av det ursprungliga beviset förblir densamma och gör det möjligt för oss att kopiera data i en mycket snabbare takt, som snart kan bevaras och kan analyseras vidare.

TFTK imager ger dig också den inbyggda integritetskontrollfunktionen som genererar en hash-rapport som hjälper till att matcha hash av beviset före och efter att ha skapat bilden av det ursprungliga beviset.

Innehållsförteckning

  • Skapa en kriminalteknisk avbildning
  • Fångst av minne
  • Analysera avbildningsdump
  • Montera avbildningen på en hårddisk
  • Anpassad innehållsavbildning med AD. encryption
  • Decrypt AD Encryption
  • Obtain Protected Files
  • Detect EFS Encryption
  • Export Files

Låt oss börja med att skapa en bildkopia av det ursprungliga bevismaterialet.

Skapa en forensisk bild

Forensisk bildframställning är ett av de mest avgörande stegen i en digital forensisk undersökning. Det är processen att göra en arkiv- eller säkerhetskopia av hela hårddisken. Det är en lagringsfil som innehåller all nödvändig information för att starta upp operativsystemet. Denna avbildade disk måste dock appliceras på hårddisken för att fungera. Man kan inte återställa en hårddisk genom att placera diskimagefilerna på den eftersom den måste öppnas och installeras på enheten med hjälp av ett avbildningsprogram. En enda hårddisk kan lagra många skivavbildningar på den. Diskavbildningar kan också lagras på flash-enheter med större kapacitet.

Öppna FTK Imager från AccessData efter att ha installerat det, och du kommer att se fönstret pop-up som är den första sidan som det här verktyget öppnas till.

Nu, för att skapa en Disk Image. Klicka på File > Create Disk Image.

Nu kan du välja källa utifrån den enhet du har. Det kan vara en fysisk eller en logisk enhet beroende på dina bevis.

En fysisk enhet är den primära lagringshårdvaran eller komponenten i en enhet, som används för att lagra, hämta och organisera data.

En logisk enhet är i allmänhet ett enhetsutrymme som skapas över en fysisk hårddisk. En logisk enhet har sina parametrar och funktioner eftersom den fungerar självständigt.

Välj nu källan till den enhet som du vill skapa en avbildningskopia av.

Lägg till Målsökväg för den avbildning som ska skapas. Ur kriminalteknisk synvinkel bör den kopieras på en separat hårddisk och flera kopior av det ursprungliga bevismaterialet bör skapas för att förhindra förlust av bevismaterial.

Välj formatet för den bild som du vill skapa. De olika formaten för att skapa bilden är:

Raw(dd): Det är en bit för bit-kopia av det ursprungliga beviset som skapas utan några tillägg och eller borttagningar. De innehåller inga metadata.

SMART: Det är ett avbildningsformat som användes för Linux och som inte används populärt längre.

E01: Det står för EnCase Evidence File, vilket är ett vanligt förekommande format för bildframställning och liknar

AFF: Det står för Advanced Forensic Format som är en formattyp med öppen källkod.

Nu lägger du till detaljerna för avbildningen för att fortsätta.

Nu lägger du slutligen till destinationen för avbildningsfilen, namnger avbildningsfilen och klickar sedan på Slutför.

När du har lagt till destinationssökvägen kan du nu börja med avbildningen och även klicka på verifiera alternativet för att generera en hash.

Nu väntar vi några minuter på att avbildningen ska skapas.

När avbildningen har skapats genereras ett Hash-resultat som verifierar MD5 Hash, SHA1 Hash och förekomsten av någon dålig sektor.

Capturing Memory

Det är en metod för att fånga och dumpa innehållet i ett flyktigt innehåll till en icke-flyktig lagringsenhet för att bevara det för vidare undersökning. En ramanalys kan endast genomföras framgångsrikt när insamlingen har utförts korrekt utan att bilden av det flyktiga minnet korrumperas. I den här fasen måste utredaren vara försiktig med sina beslut att samla in de flyktiga uppgifterna eftersom de inte kommer att existera efter att systemet genomgått en omstart.

Nu börjar vi med att fånga minnet.

För att fånga minnet klickar du på File > Capture Memory.

Välj destinationssökväg och filnamn för destinationen och klicka på capture memory.

Nu ska vi vänta några minuter tills rammet fångas.

Analysera bilddump

Nu ska vi analysera Dump RAW-bilden när den väl har förvärvats med hjälp av FTK imager. För att påbörja analysen klickar du på File> Add Evidence Item.

Välj nu källan till den dumpfil som du redan har skapat, så här måste du välja alternativet bildfil och klicka på Next.

Välj sökvägen till den bilddump som du har fångat genom att klicka på Bläddra.

När bilddumpningen är kopplad till analysdelen kommer du att se ett bevisträd som har innehållet i filerna i bilddumpningen. Detta kan ha raderade såväl som överskrivna data.

För att analysera andra saker vidare kommer vi nu att ta bort det här bevisobjektet genom att högerklicka på fallet och klicka på Ta bort bevisobjekt

Montera avbildningen till en enhet

För att montera avbildningen som en enhet i ditt system, klicka på File > Image Mounting

När fönstret Mount Image to Drive visas kan du lägga till sökvägen till den avbildningsfil som du vill montera och klicka på Mount.

Nu kan du se att avbildningsfilen nu har monterats som en enhet.

Anpassad innehållsavbildning med AD-kryptering

FTK-avbildaren har en funktion som gör att den kan kryptera filer av en viss typ enligt granskarens krav. Klicka på de filer som du vill lägga till i den anpassade innehållsbilden tillsammans med AD-kryptering.

Alla valda filer kommer att visas i ett nytt fönster och klicka sedan på Skapa bild för att fortsätta.

Fyller du in de uppgifter som krävs för det bevis som ska skapas.

Nu lägger du till destinationen för den avbildningsfil som ska skapas, namnger avbildningsfilen och kryssar sedan i rutan med AD-kryptering och klickar sedan på Slutför.

Ett nytt fönster kommer att dyka upp för att kryptera bilden, Nu renter och ange på nytt det lösenord som du vill lägga till för bilden.

Nu kan du se de krypterade filerna genom att klicka på File> Add Evidence Item…

Fönstret för att dekryptera de krypterade filerna kommer att visas när du har lagt till filkällan. Ange lösenordet och klicka på OK.

Du kommer nu att se de två krypterade filerna när du anger de giltiga lösenorden.

Dekryptera AD1 Image

För att dekryptera den anpassade innehållsbilden klickar du på File> Decrypt AD1 Image.

Nu måste du ange lösenordet för bildfilen som krypterades och klicka på Ok.

Vänta nu några minuter tills den dekrypterade bilden har skapats.

För att visa den dekrypterade bilden med anpassat innehåll lägger du till sökvägen för den dekrypterade filen och klickar på Avsluta.

Du kommer nu att kunna se de krypterade filerna genom att använda rätt lösenord för att dekryptera den.

Hämta skyddade filer

Vissa filer är skyddade vid återställning, för att hämta dessa filer klickar du på File> Obtain Protected Files

Ett nytt fönster öppnas och du klickar på bläddra för att lägga till destinationen för filen som är skyddad och klickar på alternativet där det står password recovery and all registry files och klickar på OK.

Nu ser du alla skyddade filer på ett ställe

Detektera EFS-kryptering

När en mapp eller en fil är krypterad kan vi detektera det med hjälp av denna funktion i FTK Imager.

En fil krypteras i en mapp för att säkra dess innehåll.

För att upptäcka EFS-krypteringen klickar du på File >Detect EFS Encryption

Du kan se att krypteringen upptäcks.

Exportera filer

Om du vill exportera filerna och mapparna från den avbildade filen till din mapp kan du klicka på File > Export Files.

Du kan nu se resultatet av exporten av antalet filer och mappar som har kopierats till systemet.

Author: Jeenali Kothari är en entusiast av Digital Forensics och gillar att skriva tekniskt innehåll. Du kan nå henne på Här

Lämna ett svar

Din e-postadress kommer inte publiceras.