Εύρεση αποδεικτικών στοιχείων στην εγκληματολογία

Στα προηγούμενα άρθρα αυτής της σειράς, δημιουργήσαμε ένα forensic image του σκληρού δίσκου και της ς RAM του θύτη και χρησιμοποιήσαμε το Autopsy για να ανακτήσουμε διαγραμμένα αρχεία από το image.

fsc minor

Σε αυτόν τον οδηγό, θα χρησιμοποιήσουμε το Autopsy για να κάνουμε ανάλυση . Με άλλα λόγια, θα χρησιμοποιήσουμε το Autopsy για να βρούμε λέξεις-κλειδιά, τύπους αρχείων, metadata κ.λ.π. που μπορεί να είναι χρήσιμα για την εύρεση αποδεικτικών στοιχείων που θα υποστηρίξουν την υπόθεσή μας.

Βήμα #1 Ανοίξτε το Autopsy

Ανοίξτε το Autopsy και πλοηγηθείτε στο firstimage.dd.001.

fore

Το Autopsy θα αρχίσει αμέσως να προετοιμάζει το image για ανάλυση.

Όταν ολοκληρώσει την ανάλυσή του, θα κατηγοριοποιήσει κάθε αρχείο ανά τύπο. Όπως μπορείτε να δείτε στο παρακάτω στιγμιότυπο οθόνης, το Autopsy έχει κατηγοριοποιήσει κάθε τύπο αρχείου, συμπεριλαμβανομένων εικόνων, , ήχου, εγγράφων, εκτελέσιμων αρχείων και διαγραμμένων αρχείων.

fore0

 

Βήμα #2 Αναζήτηση για λέξεις-κλειδιά

Ας υποθέσουμε ότι ψάχνουμε για αρχεία που περιλαμβάνουν τη λέξη-κλειδί “forensics”. Μπορούμε να πληκτρολογήσουμε αυτή τη λέξη στο παράθυρο Αναζήτηση στο επάνω δεξί μέρος της οθόνης μας και να κάνουμε στο κουμπί Αναζήτηση.

Το Autopsy θα ξεκινήσει τώρα την αναζήτηση κάθε αρχείου για τη συγκεκριμένη λέξη-κλειδί. Όπως μπορείτε να φανταστείτε, σε μια πραγματική έρευνα αυτή η λέξη-κλειδί θα ήταν πιθανότατα συγκεκριμένη για την έρευνα, όπως “λύτρα”, “εκβιασμός”, “σεξ” κ.λ.π.

fore1

Όταν το Autopsy ολοκληρώσει την αναζήτησή του, θα εμφανίσει κάθε αρχείο που περιέχει τη συγκεκριμένη λέξη-κλειδί στο κύριο παράθυρο “Πίνακας”. Μπορούμε στη συνέχεια να κάνουμε κλικ σε οποιοδήποτε από αυτά τα αρχεία για να το εξετάσουμε εκτενέστερα.

fore2

Εάν στη συνέχεια κάνουμε κλικ στην καρτέλα “Indexed Text” στο κάτω δεξί παράθυρο, θα μας δείξει κάθε περίπτωση αυτής της λέξης-κλειδί και θα την επισημάνει για εμάς.

Βήμα #3 Εξειδικευμένοι τύποι αναζήτησης

Το Autopsy μας δίνει τη δυνατότητα να κάνουμε πολύ εξειδικευμένες έρευνες που μπορεί να αποτελέσουν κλειδί για την έρευνά μας. Αυτές μπορεί να περιλαμβάνουν διευθύνσεις URL, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου ή διευθύνσεις IP.

Κάντε κλικ στο eye κοντά στο επάνω δεξί μέρος αυτής της οθόνης. Θα πρέπει να ανοίξει ένα αναδυόμενο παράθυρο όπως το παρακάτω. Εδώ μπορούμε να κάνουμε αναζήτηση για,

1. Phone numbers

2. IP addresses

3. Email addresses

4. URL's

Ας δούμε αν μπορούμε να βρούμε κάποια διεύθυνση URL σε αυτά τα αρχεία που μπορεί να είναι χρήσιμη για τον εντοπισμό του τι έκανε ο ύποπτος πριν από την κατάσχεση του συστήματός του.

Στο αναδυόμενο παράθυρο κάντε κλικ στο πλαίσιο ελέγχου δίπλα στις διευθύνσεις URL. Θα συμπληρώσει την έκφραση regex που χρησιμοποιεί για την εύρεση URL.

fore3

Στη συνέχεια, κάντε κλικ στο κουμπί Αναζήτηση και το Autopsy θα αρχίσει να ψάχνει κάθε αρχείο για το συγκεκριμένο κειμένου. Η κανονική έκφραση που αναζητά εμφανίζεται στο δεξί παράθυρο.

Οι αναζητήσεις κανονικών εκφράσεων είναι πολύ απαιτητικές και αργές για την CPU, γι' αυτό κάντε υπομονή.

Όταν τελειώσει την αναζήτηση, θα εμφανίσει τα αποτελέσματα όπως παρακάτω.

fore4

Όπως μπορείτε να δείτε παραπάνω, το Autopsy εμφανίζει κάθε αρχείο στο οποίο βρήκε μια διεύθυνση URL.

Επιπλέον, μπορούμε να χρησιμοποιήσουμε αυτή τη μέθοδο και για την εύρεση διευθύνσεων ηλεκτρονικού ταχυδρομείου, αλλά όταν το Autopsy έκανε την αρχική του ανάλυση, κατηγοριοποίησε όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που βρήκε στο παράθυρο της Εξερεύνησης.

Συμπέρασμα

Το Autopsy είναι ένα ισχυρό εργαλείο για τη διενέργεια εγκληματολογικής ανάλυσης. Μεταξύ των πολλών πραγμάτων που μπορεί να κάνει είναι η ανάλυση διαγραμμένων αρχείων, η ανάλυση τύπου αρχείου, η ανάλυση λέξεων-κλειδιών και η εύρεση βασικών αντικειμένων όπως διευθύνσεις URL, διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις IP και αριθμοί τηλεφώνου.

Επιπλέον, μπορούμε να δημιουργήσουμε προσαρμοσμένες εκφράσεις για την αναζήτηση σχεδόν οποιουδήποτε κειμένου μπορεί κανείς να φανταστεί.

 

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.081 εγγεγραμμένους.
forensic,Autopsy,ram,hard,disk

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).