Разследване или отстраняване на компютърни системи с OSForensics [Windows]

реклама

Независимо дали става въпрос за ФБР да копае в компютър, собственост на хакер, компания, извършваща вътрешен компютърен одит, или мрежов администратор, който се опитва да разбере защо вирус произхожда от конкретен компютър - най-важното е, че задълбочен анализ на криминалистиката на компютъра изисква софтуер, който може да копае дълбоко и да свърши работата прав.

По мои собствени преживявания рядко се случва да намерите безплатен софтуер, който върши добра работа с това. Повечето полицейски агенции по целия свят купуват скъп софтуер за своя компютърно-криминалистичен отдел.

Въпреки това, там сте безплатни инструменти за отстраняване на неизправности и ремонт на инструменти, като например приложения за възстановяване на данни 3 забележителни инструменти за възстановяване на файлове Прочетете още Гай обхвана и Net Tools 2008, администраторски инструмент, който Карл обхвана. Още един безплатен инструмент, който е също толкова мощен и способен, колкото са известни много софтуерни пакети за компютърна криминалистика OSForensics.

Провеждане на криминалистичен анализ

Най-добрият начин да анализирате и отстраните проблеми на компютърна система отгоре надолу е бавно и методично. Страхотното в OSForensics е, че той е като виртуален куфар, в който можете да съхранявате цялата работа, която вършите. Ако имате няколко компютъра, на които работите, можете да настроите този софтуер на работния си компютър и след това да картографирате твърдия диск на отдалечения компютър за анализ. Софтуерът ще ви позволи да съхранявате „случай“ за всеки компютър, на който работите.

Както можете да видите от снимката по-горе, всички инструменти са подредени надолу в лявата лента на менюто. Всичко, което трябва да направите, е да ги намалите, ако не сте сигурни откъде да започнете. Ако имате предвид по-фокусирана цел, прескочете напред към областта на компютъра, която искате да проучите по-внимателно. Един от най-добрите инструменти за всеки персонал за поддръжка, който иска да идентифицира вирус или троянски файл, е „хеш комплекти.”

Тази област ви позволява да анализирате конкретни приложения, които определяте, не само файлове. Всяко приложение има набор от файлове, които можете да прегледате, когато щракнете два пъти върху приложението. Hash Set Viewer показва всички изчисления за всеки файл.

Следващият инструмент е възможността да се създаде „подпис“. Това е полезно в дългосрочен план проучване, когато се подозира, че определени дейности се извършват на определено място в компютър.

Можете да създадете подпис, който ще направи моментна снимка на файлове и директории. След това можете да използвате „Сравнете подписа", За да проверите дали промените са направени няколко седмици или месец надолу по пътя. Софтуерът се предлага и с помощна програма за търсене на файлове, където можете да филтрирате резултатите по изображения, офис документи или компресирани файлове.

Още по-добре можете да използвате уникалния и много полезен “Несъответствие с търсене на файлове"Инструмент за пресяване на съмнителни директории и идентифициране на всички файлове, които собственикът на PC може да е преименувал просто, за да прикрие истинската идентификация на файла. Например, преименуване на файл с изображение с разширение „txt“ или класифициран документ с разширение „.jpg“.

Да се ​​върнем към използването на хеш-подхода за анализ на файлове, „Проверете / създайте хеш“Помощната програма ви позволява да сравнявате известна стойност на хеш за файл (каква е стойността Трябва be) и изчислената хеш стойност за файла на този компютър.

Друга област, в която този софтуер наистина превъзхожда криминалистическия анализ, е възможността много бързо да пресява хиляди файлове с цел идентифициране на конкретни текстови ключови думи. Първата стъпка за ускоряване на процеса е създаването на индекс за всяка директория на компютъра. Когато свърши, той ще отчете броя уникални думи, намерени във всички файлове.

Когато свършите, просто използвайте „Индекс за търсене"Инструмент за копаене по файлове, изображения и имейли, за да проследите каквото и да е конкретно събитие или съдържание, което търсите.

Друг инструмент за компютърна криминалистика, който повечето потребители на Windows ще разпознаят, е „Последна активност”Инструмент. Въпреки че изглежда подобно на „Последни документи"Инструмент, тази програма всъщност копае доста по-дълбоко, търсейки MRU записи, USB записи, бисквитки, изтегляния и други. Собственикът може би вече се е опитал да почисти компютъра, но много хора не разбират всички места, в които е регистрирана активността - така че този инструмент може да намери останалата следа от тази дейност.

Друга много готина функция е „Търсене на изтрити файлове", Който ви позволява да пресявате записи за всякакви индикации за съмнителни наскоро изтрити файлове. Забелязах, че тази особеност не е глупава. Той ще се опита да идентифицира микроелементите на всички изтрити файлове, но не винаги е успешен.

И накрая, когато наистина сте отчаяни да намерите някои останали доказателства за престъпление, може да се наложи да вземете „преглед на паметта”За каране. Това компютърно приложение за криминалистика показва всички адреси на твърдата памет и колко информация се съхранява. Можете да изхвърлите съдържанието на паметта в CSV файл, за да можете да се разберете за всякакви улики или пистолет за пушене.

Както можете да видите, OSForensics е доста мощен софтуер за всеки, който има понякога нещастна задача да се налага да разследва компютърната система на някой, който е обвинен в това нещо грешно. Понякога правилното, задълбочено криминалистическо разследване на компютъра може да доведе до убедителни доказателства, които могат да направят или да прекъснат дело.

Използвали ли сте някога OSForensics? Какво мислиш? Знаете ли за други подобни приложения, които са също толкова добри или по-добри? Споделете мислите си в секцията за коментари по-долу.

Кредит за изображение: Питър Хостерман