Autopsy: Όπως γνωρίζετε, τα αρχεία που “διαγράφονται” παραμένουν στο μέσο αποθήκευσης μέχρι να αντικατασταθούν. Η διαγραφή αυτών των αρχείων απλώς καθιστά τον αποδεσμευμένο χώρο διαθέσιμο για αντικατάσταση. Αυτό σημαίνει ότι αν ο εγκληματίας διέγραψε αποδεικτικά στοιχεία, μέχρι να αντικατασταθούν από το σύστημα, παραμένουν διαθέσιμα σε εμάς για ανάκτηση.
Σε αυτόν τον οδηγό, θα χρησιμοποιήσουμε το ανοιχτού κώδικα The Sleuth Kit (TSK) για τον εντοπισμό και την ανάκτηση διαγραμμένων αρχείων. Το The Sleuth Kit αναπτύχθηκε αρχικά για Linux, αλλά τώρα είναι διαθέσιμο και για Windows, οπότε θα το χρησιμοποιήσουμε το πρόγραμμα στα Windows. Για το TSK αναπτύχθηκε μια διεπαφή GUI με την ονομασία Autopsy, την οποία θα χρησιμοποιήσουμε σε αυτόν τον οδηγό.
Εγκαταστήστε το Autopsy στο σύστημά σας.
Αφού εγκαταστήσετε το Autopsy και το εκκινήσετε, θα σας υποδεχτεί μια οθόνη παρόμοια με την παραπάνω.
Κάντε κλικ στο “Create New Case”
Όταν το κάνετε αυτό, θα σας υποδεχτεί ένα νέο παράθυρο που θα σας ζητάει να ονομάσετε το νέο σας project και σε ποιον κατάλογο θέλετε να τοποθετήσετε τα υπόλοιπα project σας. Πληκτρολογήστε “New Case 101” και τοποθετήστε το στον βασικό κατάλογο C:\Cases.
Τώρα, πατήστε Επόμενο.
Θα ανοίξει ένα άλλο παράθυρο που θα σας ζητήσει τον αριθμό του project και το όνομα του εξεταστή. Δώστε έναν αριθμό case 101 και το όνομά σας ή τα αρχικά του εξεταστή.
Κάντε κλικ στο κουμπί “Finish”
Στη συνέχεια, κάντε κλικ στο “Add New Data” (Προσθήκη νέων δεδομένων) στην επάνω αριστερή γωνία. Όταν το κάνετε, θα ανοίξει το παράθυρο “Add Data Source” (Προσθήκη πηγής δεδομένων).
Δεδομένου ότι θα χρησιμοποιήσουμε το αρχείο εικόνας που δημιουργήσαμε στην προηγούμενη ενότητα, επιλέξτε “Image File” και στη συνέχεια αναζητήστε το αρχείο εικόνας που δημιουργήσατε στην ενότητα 1. Εγώ αποθήκευσα το δικό μου σε έναν κατάλογο C:\forensic images. Ο δικός σας μπορεί να είναι διαφορετικός.
Τώρα, προσθέστε την εικόνα first.image.dd.001 που είδαμε νωρίτερα.
Αφού προσθέσετε την εικόνα, κάντε κλικ στο κουμπί next και το Autopsy θα ξεκινήσει την ανάλυση της εικόνας. Τέλος, θα σας υποδεχτεί μια οθόνη όπως η παρακάτω.
Κάντε κλικ στο “Finish“.
Τώρα, θα πρέπει να δείτε ένα περιβάλλον εργασίας όπως το παρακάτω. Σημειώστε ότι το “firstimage.dd.001” θα πρέπει να εμφανίζεται ως πηγή δεδομένων.
Αν επεκτείνουμε την ενότητα “Τύποι αρχείων” στον εξερευνητή αντικειμένων, το Autopsy θα εμφανίσει όλους τους τύπους αρχείων και τον αριθμό των αρχείων σε κάθε κατηγορία. Παρακάτω μπορείτε να δείτε ότι έκανα κλικ στον τύπο αρχείου “Images” και η Autopsy θα εμφανίσει όλα τα αρχεία εικόνων.
Λίγο πιο κάτω στον εξερευνητή αντικειμένων, μπορούμε να δούμε έναν τύπο αρχείου με όνομα “Διαγραμμένα αρχεία“. Όταν κάνουμε κλικ σε αυτό, θα εμφανιστούν όλα τα διαγραμμένα αρχεία.
Όταν κάνουμε κλικ σε ένα διαγραμμένο αρχείο, μπορούμε να κάνουμε κάποια ανάλυση στο κάτω δεξιά παράθυρο. Εκεί θα δείτε τις καρτέλες με τις ενδείξεις: Hex, Strings, File Metadata, Results και Indexed Text. Σε αυτή την περίπτωση, κάντε κλικ στην καρτέλα “File Metadata” και θα εμφανιστούν τα metadata του αρχείου, συμπεριλαμβανομένων του ονόματος, του τύπου, του μεγέθους, της τροποποίησης, της πρόσβασης και της δημιουργίας του (MAC).
Τώρα, για να ανακτήσετε το διαγραμμένο αρχείο, κάντε δεξί κλικ στο διαγραμμένο αρχείο και επιλέξτε “Εξαγωγή“. Αυτό θα ανοίξει ένα παράθυρο όπως το παρακάτω.
Προχωρήστε και αποθηκεύστε το διαγραμμένο αρχείο στον υποκατάλογο “Εξαγωγή“.
Για να βρείτε το εξαγόμενο/διαγραμμένο αρχείο, πλοηγηθείτε στη διεύθυνση,
C:\Cases\New Case 101\Export
Μπορείτε τώρα να κάνετε διπλό κλικ σε αυτό το αρχείο για να το ανοίξετε στην κατάλληλη εφαρμογή.
Συμπέρασμα
Οι ύποπτοι συχνά προσπαθούν να καλύψουν τα ίχνη τους διαγράφοντας βασικά αρχεία αποδεικτικών στοιχείων. Ως ερευνητής γνωρίζω ότι μέχρι αυτά τα αρχεία να αντικατασταθούν από το σύστημα αρχείων μπορούν να ανακτηθούν. Με εργαλεία όπως το Autopsy και σχεδόν κάθε άλλη εγκληματολογική σουίτα (Encase, ProDiscover, FTK, Oxygen κ.λ.π.) η ανάκτηση αυτών των διαγραμμένων αρχείων είναι εύκολη και απλή.