USB Prinsics
Créer une image de copie du lecteur USB
La première chose que nous ferons est de faire une copie de la lecteur USB. Dans ce cas, les sauvegardes régulières ne fonctionneront pas. C'est une étape très cruciale, et si elle est mal fait, tout le travail sera gaspillé. Utilisez la commande suivante pour répertorier tous les disques attachés au système:
ubuntu @ ubuntu: ~ $ sudo fdisk -l
Dans Linux, les noms de lecteur sont différents de Windows. Dans un système Linux, HDA et HDB sont utilisés (SDA, SDB, SDC, etc.) pour SCSI, contrairement à Windows OS.
Maintenant que nous avons le nom du lecteur, nous pouvons créer son .dd image bits par bit avec le dd utilitaire en entrant la commande suivante:
ubuntu @ ubuntu: ~ $ sudo dd if = / dev / sdc1 de = usb.dd bs = 512 count = 1
si= l'emplacement du lecteur USB
de= la destination où l'image copiée sera stockée (peut être un chemin local sur votre système, e.g. / Home / User / USB.dd)
bs= le nombre d'octets qui seront copiés à la fois
Pour sécuriser la preuve que nous avons la copie d'image d'origine du lecteur, nous utiliserons hachage Pour maintenir l'intégrité de l'image. Le hachage fournira un hachage pour le lecteur USB. Si un seul morceau de données est modifié, le hachage sera complètement modifié et on saura si la copie est fausse ou originale. Nous générerons un hachage MD5 du lecteur afin que, par rapport au hachage d'origine du lecteur, personne ne puisse remettre en question l'intégrité de la copie.
ubuntu @ ubuntu: ~ $ md5sum usb.dd
Cela fournira un hachage MD5 de l'image. Maintenant, nous pouvons commencer notre analyse médico-légale sur cette image nouvellement créée du lecteur USB, ainsi que le hachage.
Disposition du secteur de démarrage
L'exécution de la commande de fichier redonnera le système de fichiers, ainsi que la géométrie du lecteur:
ubuntu @ ubuntu: ~ $ file usb.dd
d'accord.DD: secteur de démarrage DOS / MBR, décalage de code 0x58 + 2, OEM-ID "MSDOS5.0 ",
secteurs / cluster 8, secteurs réservés 4392, descripteur de médias 0xf8,
secteurs / piste 63, têtes 255, secteurs cachés 32, secteurs 1953760 (volumes> 32 Mo),
FAT (32 bits), secteurs / FAT 1900, réservé 0x1, numéro de série 0x6efa4158, sans étiquette
Maintenant, nous pouvons utiliser le minfo Outil pour obtenir la disposition du secteur de démarrage NTFS et les informations du secteur de démarrage via la commande suivante:
ubuntu @ ubuntu: ~ $ minfo -i usb.dd
Informations sur l'appareil:
===================
filename = "ok.DD "
secteurs par piste: 63
têtes: 255
Cylindres: 122
Ligne de commande Mformat: Mformat -T 1953760 -i ok.DD -H 255 -S 63 -H 32 ::
Informations sur le secteur de démarrage
=====================
Bannière: "MSDOS5.0 "
Taille du secteur: 512 octets
Taille du cluster: 8 secteurs
Secteurs réservés (Boot): 4392
graisses: 2
MAX DISPONIBLE SOSTES DIRECTORY ROOT: 0
petite taille: 0 secteurs
Byte du descripteur média: 0xf8
secteurs par graisse: 0
secteurs par piste: 63
têtes: 255
Secteurs cachés: 32
Grande taille: 1953760 secteurs
ID de lecteur physique: 0x80
réservé = 0x1
dos4 = 0x29
Numéro de série: 6efa4158
étiquette de disque = "aucun nom"
Type de disque = "FAT32"
Big Fatlen = 1900
Drapeaux étendus = 0x0000
Version FS = 0x0000
rootCluster = 2
Emplacement infositeur = 1
secteur de démarrage de sauvegarde = 6
Infosisector:
signature = 0x41615252
Clusters gratuits = 243159
Dernier cluster alloué = 15
Une autre commande, le fstat commande, peut être utilisée pour obtenir des informations connues générales, telles que les structures d'allocation, la mise en page et les blocs de démarrage, sur l'image de l'appareil. Nous utiliserons la commande suivante pour le faire:
ubuntu @ ubuntu: ~ $ fstat usb.dd
--------------------------------------------
Type de système de fichiers: FAT32
Nom OEM: MSDOS5.0
ID de volume: 0x6efa4158
Étiquette de volume (secteur de démarrage): aucun nom
Étiquette de volume (répertoire racine): Kingston
Étiquette de type de système de fichiers: FAT32
Next libre secteur (info FS): 8296
Nombre de secteur gratuit (FS Info): 1945272
Secteurs avant le système de fichiers: 32
Disposition du système de fichiers (dans les secteurs)
Plage totale: 0 - 1953759
* Réservé: 0 - 4391
** Secteur de démarrage: 0
** FS Info secteur: 1
11
* Fat 0: 4392 - 6291
* Fat 1: 6292 - 8191
* Zone de données: 8192 - 1953759
** zone de cluster: 8192 - 1953759
*** Répertoire racine: 8192 - 8199
Informations sur les métadonnées
--------------------------------------------
Gamme: 2 - 31129094
Répertoire des racines: 2
Informations sur le contenu
--------------------------------------------
Taille du secteur: 512
Taille du cluster: 4096
Plage totale de cluster: 2 - 243197
Contenu des graisses (dans les secteurs)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
Fichiers supprimés
Le Trousse de détective fournit le fls Tool, qui fournit tous les fichiers (en particulier les fichiers supprimés récemment) dans chaque chemin, ou dans le fichier image spécifié. Toutes les informations sur les fichiers supprimés peuvent être trouvés en utilisant le fls utilitaire. Entrez la commande suivante pour utiliser l'outil FLS:
ubuntu @ ubuntu: ~ $ fls -rp -f fat32 USB.dd
R / R 3: Kingston (entrée d'étiquette de volume)
D / D 6: Informations sur le volume du système
R / R 135: Informations sur le volume du système / WPSettings.dat
R / R 138: Informations sur le volume du système / INDEXVOLUMEGUID
R / R * 14: Game of Thrones 1 720p x264 DDP 5.1 ESUB - XRG.mkv
R / R * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESUB - XRG.mkv
R / R * 30: Game of Thrones 3 720p x264 DDP 5.1 ESUB - XRG.mkv
R / R * 38: Game of Thrones 4 720p x264 DDP 5.1 ESUB - XRG.mkv
D / D * 41: Oceans Twelve (2004)
R / R 45: Minutes de PC-I tenue le 23.01.2020.docx
r / r * 49: procès-verbal de LEC tenu sur 10.02.2020.docx
r / r * 50: windump.exe
r / r * 51: _Wrl0024.TMP
r / r 55: procès-verbal de LEC tenu sur 10.02.2020.docx
d / d * 57: nouveau dossier
D / D * 63: Avis d'appel d'offres pour l'équipement d'infrastructure réseau
R / R * 67: Avis tendre (Mega PC-I) Phase II.docx
r / r * 68: _wrd2343.TMP
r / r * 69: _Wrl2519.TMP
R / R 73: Avis tendre (Mega PC-I) Phase II.docx
v / v 31129091: $ mbr
v / v 31129092: $ fat1
v / v 31129093: $ fat2
D / D 31129094: $ ORPHANFILES
-/ r * 22930439: $ bad_content1
-/ r * 22930444: $ bad_content2
-/ r * 22930449: $ bad_content3
Ici, nous avons obtenu tous les fichiers pertinents. Les opérateurs suivants ont été utilisés avec la commande FLS:
-p = utilisé pour afficher le chemin complet de chaque fichier récupéré
-r = utilisé pour afficher les chemins et les dossiers récursivement
-F = Le type de système de fichiers utilisé (FAT16, FAT32, etc.)
La sortie ci-dessus montre que le lecteur USB contient de nombreux fichiers. Les fichiers supprimés récupérés sont notés avec un «*" signe. Vous pouvez voir que quelque chose n'est pas normal avec les fichiers nommés $bad_content1, $bad_content2, $bad_content3, et baliver.exe. Windump est un outil de capture de trafic réseau. À l'aide de l'outil Windump, on peut capturer des données non destinées au même ordinateur. L'intention est montrée dans le fait que le logiciel Windump a le but spécifique de capturer le trafic réseau et a été intentionnellement utilisé pour accéder aux communications personnelles d'un utilisateur légitime.
Analyse de la chronologie
Maintenant que nous avons une image du système de fichiers, nous pouvons effectuer une analyse de chronologie MAC de l'image pour générer une chronologie et placer le contenu avec la date et l'heure dans un format systématique et lisible. Les deux fls et ILS Les commandes peuvent être utilisées pour créer une analyse de chronologie du système de fichiers. Pour la commande FLS, nous devons spécifier que la sortie sera dans le format de sortie de la chronologie Mac. Pour ce faire, nous exécuterons le fls commande avec le -m Flag et rediriger la sortie vers un fichier. Nous utiliserons également le -m drapeau avec le ILS commande.
ubuntu @ ubuntu: ~ $ fls -m / -rp -f fat32 ok.dd> usb.fls
ubuntu @ ubuntu: ~ $ cat usb.fls
0 | / Kingston (entrée d'étiquette de volume) | 3 | r / rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0
0 | / Informations sur le volume du système | 6 | D / dr-xr-xr-x | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 | / Informations sur le volume du système / WPSettings.dat | 135 | r / rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 | / Informations sur le volume du système / indexervolumeguid | 138 | r / rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Game of Thrones 1 720p x264 DDP 5.1 ESUB - XRG.MKV (supprimé) | 14 | r / rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p X264 DDP 5.1 ESUB - XRG.MKV (supprimé) | 22 | r / rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 | / Game of Thrones 3 720p X264 DDP 5.1 ESUB - XRG.MKV (supprimé) | 30 | r / rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 | / Game of Thrones 4 720p X264 DDP 5.1 ESUB - XRG.MKV (supprimé) | 38 | r / rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 | / Oceans Twelve (2004) (supprimé) | 41 | d / drwxrwxrwx | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 | / Minutes de PC-I tenue le 23.01.2020.docx | 45 | r / rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 | / Minutes de LEC maintenue sur 10.02.2020.docx (supprimé) | 49 | r / rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / _Wrd3886.tmp (supprimé) | 50 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 | / _Wrl0024.TMP (supprimé) | 51 | r / rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 | / Minutes de LEC maintenue sur 10.02.2020.docx | 55 | r / rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(supprimé) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _Wrd2343.tmp (supprimé) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _Wrl2519.TMP (supprimé) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / Avis tendre (Mega PC-I) Phase II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ mbr | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ fat1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ fat2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / nouveau dossier (supprimé) | 57 | D / Drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (supprimé) | 63 | d / drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | / Avis tendre (Mega PC-I) Phase II.docx (supprimé) | 67 | r / rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / _Wrd2343.tmp (supprimé) | 68 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / _Wrl2519.TMP (supprimé) | 69 | r / rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 | / Avis tendre (Mega PC-I) Phase II.docx | 73 | r / rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 | / $ mbr | 31129091 | v / v --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 | / $ fat1 | 31129092 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ fat2 | 31129093 | v / v --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 | / $ ORPHANFILES | 31129094 | D / D --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 | / $$ bad_content 1 (supprimé) | 22930439 | - / rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 2 (supprimé) | 22930444 | - / rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 | / $$ bad_content 3 (supprimé) | 22930449 | - / rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821
Courir le mactime outil pour obtenir l'analyse de la chronologie avec la commande suivante:
ubuntu @ ubuntu: ~ $ cat usb.FLS> USB.Mac
Pour convertir cette sortie MACTIME en forme lisible par l'homme, entrez la commande suivante:
Ubuntu @ Ubuntu: ~ $ MACTIME -B USB.Mac> USB.mactimeThu Jul 26 2018 22:57:02 0 m… d / drwxrwxrwx 0 0 41 / océans doulve (2004) (supprimé)
ubuntu @ ubuntu: ~ $ cat usb.mactime
Je 26 juillet 2018 22:57:26 59 m… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 4 720p X264 DDP 5.1 esub - (supprimé)
47 m… - / rrwxrwxrwx 0 0 22930444 / Game of Thrones 4 720p x264 DDP 5.1 esub - (supprimé)
353 m… - / rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 esub - (supprimé)
Ven 27 juillet 2018 00:00:00 12 .A… R / RRWXRWXRWX 0 0 135 / Informations sur le volume du système / WPSettings.dat
76 .a… r / rrwxrwxrwx 0 0 138 / Volume du système Informations / indexervolumeguid
59 .A… - / rrwxrwxrwx 0 0 22930439 / Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (supprimé)
47 .A… - / rrwxrwxrwx 0 0 22930444 $ / Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (supprimé)
353 .A… - / rrwxrwxrwx 0 0 22930449 / Game of Thrones 3 720p x264 DDP 5.1 ESUB 3 (supprimé)
Ven 31 janvier 2020 00:00:00 33180 .A… r / rrwxrwxrwx 0 0 45 / Minutes de PC-i tenu sur 23.01.2020.docx
Ven 31 janvier 2020 12:20:38 33180 m… r / rrwxrwxrwx 0 0 45 / Minutes de PC-i tenue le 23.01.2020.docx
Ven 31 janvier 2020 12:21:03 33180… b r / rrwxrwxrwx 0 0 45 / Minutes de PC-i tenue le 23.01.2020.docx
Lun 17 février 2020 14:36:44 46659 m… r / rrwxrwxrwx 0 0 49 / Minutes de LEC tenue sur 10.02.2020.docx (supprimé)
46659 m… r / rr-xr-xr-x 0 0 51 / _Wrl0024.TMP (supprimé)
Mar 18 février 2020 00:00:00 46659 .A… r / rrwxrwxrwx 0 0 49 / Game of Thrones 2 720p X264 DDP 5.1 esub - (supprimé)
38208 .a… r / rrwxrwxrwx 0 0 50 / _Wrd3886.TMP (supprimé)
Mar 18 février 2020 10:43:52 46659… B R / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 Esub -
38208… b r / rrwxrwxrwx 0 0 50 / _Wrd3886.TMP (supprimé)
46659… b r / rr-xr-xr-x 0 0 51 / _Wrl0024.TMP (supprimé)
38208… b r / rrwxrwxrwx 0 0 55 / Minutes de lec tenue sur 10.02.2020.docx
Mar 18 février 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _Wrd3886.TMP (supprimé)
46659 .A… r / rr-xr-xr-x 0 0 51 / _Wrl0024.TMP (supprimé)
38208 .A… r / rrwxrwxrwx 0 0 55 / Minutes de lec tenu sur 10.02.2020.docx
Mar 18 février 2020 10:43:52 46659… B R / rrwxrwxrwx 0 0 49 / Game of Thrones 1 720p x264 DDP 5.1 Esub -
38208… b r / rrwxrwxrwx 0 0 50 / _Wrd3886.TMP (supprimé)
46659… b r / rr-xr-xr-x 0 0 51 / _Wrl0024.TMP (supprimé)
38208… b r / rrwxrwxrwx 0 0 55 / Minutes de lec tenue sur 10.02.2020.docx
Mar 18 février 2020 11:13:16 38208 m… r / rrwxrwxrwx 0 0 50 / _Wrd3886.TMP (supprimé)
38208 m… r / rrwxrwxrwx 0 0 55 / Game of Thrones 3 720p x264 DDP 5.1 Esub -
Ven 15 mai 2020 00:00:00 4096 .A… d / drwxrwxrwx 0 0 57 / nouveau dossier (supprimé)
4096 .A… D / DRWXRWXRWX 0 0 63 / Avis d'appel d'offres pour l'équipement d'infrastructure réseau pour IIUI (supprimé)
56775 .A… R / rrwxrwxrwx 0 0 67 / Avis tendre (Mega PC-I) Phase II.docx (supprimé)
56783 .A… r / rrwxrwxrwx 0 0 68 / _Wrd2343.TMP (supprimé)
56775 .A… r / rr-xr-xr-x 0 0 69 / _Wrl2519.TMP (supprimé)
56783 .A… r / rrwxrwxrwx 0 0 73 / Avis tendre (Mega PC-I) Phase II.docx
Ven 15 mai 2020 12:39:42 4096… b d / drwxrwxrwx 0 0 57 / nouveau dossier (supprimé)
4096… B D / DRWXRWXRWX 0 0 63 / Avis d'appel d'offres pour l'équipement d'infrastructure réseau pour IIUI (supprimé)
Ven 15 mai 2020 12:39:44 4096 m… d / drwxrwxrwx 0 0 57 $$ bad_content 3 (supprimé)
4096 m… D / drwxrwxrwx 0 0 63 / Avis d'appel d'offres pour l'équipement d'infrastructure réseau pour IIUI (supprimé)
Ven 15 mai 2020 12:43:18 56775 m… r / rrwxrwxrwx 0 0 67 $$ bad_content 1 (supprimé)
56775 m… r / rr-xr-xr-x 0 0 69 / _Wrl2519.TMP (supprimé)
Ven 15 mai 2020 12:45:01 56775… b r / rrwxrwxrwx 0 0 67 $$ bad_content 2 (supprimé)
56783… b r / rrwxrwxrwx 0 0 68 / _Wrd2343.TMP (supprimé)
56775… b r / rr-xr-xr-x 0 0 69 / _Wrl2519.TMP (supprimé)
56783… B R / RRWXRWXRWX 0 0 73 / Avis tendre (Mega PC-I) Phase II.docx
Ven 15 mai 2020 12:45:36 56783 m… r / rrwxrwxrwx 0 0 68 windump.exe (supprimé)
56783 m… r / rrwxrwxrwx 0 0 73 / Avis tendre (Mega PC-I) Phase II.docx
Tous les fichiers doivent être récupérés avec un horodatage dessus dans un format lisible par l'homme dans le fichier "USB.mactime."
Outils pour l'analyse médico-légale USB
Il existe différents outils qui peuvent être utilisés pour effectuer une analyse médico-légale sur un lecteur USB, comme Autopsie du kit de détective, Imageur FTK, Avant toute chose, etc. Tout d'abord, nous allons jeter un œil à l'outil d'autopsie.
Autopsie
Autopsie est utilisé pour extraire et analyser les données de différents types d'images, telles que les images AFF (Format médico-légal), .Images DD, images brutes, etc. Ce programme est un outil puissant utilisé par les enquêteurs médico-légaux et les différentes agences d'application de la loi. L'autopsie se compose de nombreux outils qui peuvent aider les enquêteurs à faire le travail efficacement et en douceur. L'outil d'autopsie est disponible pour les plates-formes Windows et Unix gratuitement.
Pour analyser une image USB à l'aide de l'autopsie, vous devez d'abord créer un cas, notamment en écrivant les noms des enquêteurs, en enregistrant le nom du cas et dans d'autres tâches d'information. L'étape suivante consiste à importer l'image source du lecteur USB obtenu au début du processus à l'aide du dd utilitaire. Ensuite, nous laisserons l'outil d'autopsie faire ce qu'il fait le mieux.
Le montant des informations fournies par Autopsie est énorme. L'autopsie fournit les noms de fichiers d'origine et vous permet également d'examiner les répertoires et les chemins avec toutes les informations sur les fichiers pertinents, tels que accédé, modifié, modifié, date, et temps. Les informations sur les métadonnées sont également récupérées, et toutes les informations sont triées de manière professionnelle. Pour faciliter la recherche de fichiers, l'autopsie fournit un Recherche par mot clé Option, qui permet à l'utilisateur de rechercher rapidement et efficacement une chaîne ou un numéro parmi les contenus récupérés.
Dans le panneau de gauche de la sous-catégorie de Types de fichier, Vous verrez une catégorie nommée «Fichiers supprimés”Contenant les fichiers supprimés de l'image du lecteur souhaité avec toutes les informations d'analyse des métadonnées et de la chronologie.
Autopsie est l'interface utilisateur graphique (GUI) pour l'outil de ligne de commande Trousse de détective et est au plus haut niveau dans le monde de la criminalistique en raison de son intégrité, de sa polyvalence, de sa nature facile à utiliser et de la capacité de produire des résultats rapides. La médecine légale de l'appareil USB peut être effectuée aussi facilement sur Autopsie Comme sur tout autre outil payant.
Imageur FTK
FTK Imageer est un autre excellent outil utilisé pour la récupération et l'acquisition de données de différents types d'images fournies. L'imageur FTK a également la possibilité de faire une copie d'image un peu par bit, de sorte qu'aucun autre outil ne commet dd ou dcfldd est nécessaire à cet effet. Cette copie du lecteur comprend tous les fichiers et dossiers, l'espace non alloué et libre, et les fichiers supprimés laissés dans l'espace lâche ou l'espace non alloué. L'objectif de base ici lors de l'exécution de l'analyse médico-légale sur les disques USB est de reconstruire ou de recréer le scénario d'attaque.
Nous allons maintenant jeter un œil à l'exécution de l'analyse de la criminalistique USB sur une image USB à l'aide de l'outil FTK Imageer.
Tout d'abord, ajoutez le fichier image à Imageur FTK en cliquant Fichier >> Ajouter un élément de preuve.
Maintenant, sélectionnez le type de fichier que vous souhaitez importer. Dans ce cas, il s'agit d'un fichier image d'un lecteur USB.
Maintenant, entrez le lieu complet du fichier image. N'oubliez pas, vous devez fournir un chemin complet pour cette étape. Cliquez sur Finir Pour commencer l'acquisition de données et laisser le Imageur FTK fait le travail. Après un certain temps, l'outil fournira les résultats souhaités.
Ici, la première chose à faire est de vérifier Intégrité de l'image en cliquant avec le bouton droit sur le nom de l'image et en sélectionnant Vérifier l'image. L'outil vérifiera la correspondance des hachages MD5 ou SHA1 fournis avec les informations de l'image, et vous dira également si l'image a été falsifiée avant d'être importée dans le Imageur FTK outil.
Maintenant, Exporter les résultats donnés au chemin de votre choix en cliquant avec le bouton droit sur le nom de l'image et en sélectionnant le Exporter option pour l'analyser. Le Imageur FTK Créera un journal de données complet du processus médico-légal et placera ces journaux dans le même dossier que le fichier image.
Analyse
Les données récupérées peuvent être dans n'importe quel format, telles que TAR, ZIP (pour les fichiers compressés), PNG, JPEG, JPG (pour les fichiers image), MP4, Format AVI (pour les fichiers vidéo), les codes de barre, les PDF et autres formats de fichiers. Vous devez analyser les métadonnées des fichiers donnés et vérifier les codes à barres sous la forme d'un QR Code. Cela peut être dans un fichier PNG et peut être récupéré en utilisant le Zbar outil. Dans la plupart des cas, les fichiers DOCX et PDF sont utilisés pour masquer les données statistiques, ils doivent donc être non compressés. Kdbx Les fichiers peuvent être ouverts via Faire de la tenue; Le mot de passe peut avoir été stocké dans d'autres fichiers récupérés, ou nous pouvons effectuer Bruteforce à tout moment.
Avant toute chose
Le premier est un outil utilisé pour récupérer les fichiers et les dossiers supprimés d'une image de lecteur à l'aide d'en-têtes et de pied de page. Nous allons jeter un œil à la page Man de l'homme pour explorer quelques commandes puissantes contenues dans cet outil:
Ubuntu @ Ubuntu: ~ $ homme avant tout
-A permet d'écrire tous les en-têtes, de ne pas détecter l'erreur en termes
de fichiers corrompus.
-Numéro B
Vous permet de spécifier la taille du bloc utilisée pour avant tout. C'est
pertinent pour la dénomination des fichiers et les recherches rapides. La valeur par défaut est
512. c'est à dire. Image avant tout -B 1024.dd
-Q (mode rapide):
Active le mode rapide. En mode rapide, seulement le début de chaque secteur
est recherché pour les en-têtes assortis. C'est-à-dire que l'en-tête est
recherché uniquement jusqu'à la longueur de l'en-tête le plus long. Le reste
du secteur, généralement environ 500 octets, est ignoré. Ce mode
Rend la plus grande course considérablement plus rapidement, mais cela peut vous faire
Miss Fichiers qui sont intégrés dans d'autres fichiers. Par exemple, en utilisant
mode rapide, vous ne pourrez pas trouver des images jpeg intégrées
Documents Microsoft Word.
Le mode rapide ne doit pas être utilisé lors de l'examen des systèmes de fichiers NTFS.
Parce que NTFS stockera de petits fichiers dans le fichier maître TA-
ble, ces fichiers seront manqués en mode rapide.
-A permet d'écrire tous les en-têtes, de ne pas détecter l'erreur en termes
de fichiers corrompus.
-Fichier I (entrée):
Le fichier utilisé avec l'option I est utilisé comme fichier d'entrée.
Dans le cas où aucun fichier d'entrée n'est spécifié, stdin est utilisé pour c.
Le fichier utilisé avec l'option I est utilisé comme fichier d'entrée.
Dans le cas où aucun fichier d'entrée n'est spécifié, stdin est utilisé pour c.
Pour faire le travail, nous utiliserons la commande suivante:
Ubuntu @ Ubuntu: ~ $ avant tout USB.dd
Une fois le processus terminé, il y aura un fichier dans le /sortir dossier nommé texte contenant les résultats.
Conclusion
La législation USB Drive est une bonne compétence pour récupérer des preuves et récupérer les fichiers supprimés d'un appareil USB, ainsi que pour identifier et examiner quels programmes informatiques peuvent avoir été utilisés dans l'attaque. Ensuite, vous pouvez assembler les étapes que l'attaquant peut avoir prises pour prouver ou réfuter les réclamations faites par l'utilisateur ou la victime légitime. Pour s'assurer que personne ne s'en tire avec une cybercriminalité impliquant des données USB, USB Forensics est un outil essentiel. Les appareils USB contiennent des preuves clés dans la plupart des cas de médecine légale et parfois, les données médico-légales obtenues à partir d'un lecteur USB peuvent aider à récupérer des données personnelles importantes et précieuses.