Számítógépes rendszerek vizsgálata vagy hibaelhárítása az OSForensics segítségével [Windows]

Hirdetés

Függetlenül attól, hogy az FBI egy hacker tulajdonában lévő számítógépbe mászik, egy belső számítógép-ellenőrzést végző cég vagy egy hálózati rendszergazda, aki megpróbálja kitalálni miért származott egy vírus egy adott számítógépről - az a lényeg, hogy egy alapos számítógépes kriminalisztikai elemzéshez olyan szoftvert kell igénybe venni, amely mélyen tud ásni és elvégzi a munkát jobb.

Saját tapasztalataim szerint ritkán talál olyan ingyenes szoftvert, amely ezzel jó munkát végez. A világ legtöbb rendőrségi ügynöksége drága szoftvert vásárol számítógépes kriminalisztikai egységéhez.

Azonban ott van vannak ingyenes számítógépes hibaelhárítási és javítási eszközök, például a adat-helyreállítási alkalmazások 3 Figyelemre méltó fájljavító eszközök Olvass tovább Srác által lefedett és a Net Tools 2008, egy adminisztrációs eszköz, amelyet Karl lefedt. Még egy ingyenes eszköz, amely ugyanolyan hatékony és képes, mint sok fizetett számítógépes kriminalisztikai szoftvercsomag OSForensics.

Törvényszéki elemzés elvégzése

A számítógépes rendszer fentről lefelé történő elemzéséhez és hibaelhárításához a legjobb módszer lassú és módszertani módszer. Az OSForensics nagyszerű tulajdonsága, hogy olyan, mint egy virtuális táska, ahol tárolhatja az összes munkáját. Ha több számítógépe van, amelyeken dolgozik, beállíthatja ezt a szoftvert a munkahelyi számítógépén, majd elemzés céljából leképezheti a távoli számítógép merevlemezét. A szoftver lehetővé teszi, hogy tároljon egy „ügyet” minden számítógéphez, amelyen dolgozik.

Amint az a fenti képen látható, az összes eszköz le van vonva a bal oldali menüsorba. Csak annyit kell tennie, hogy végigfuttatja őket, ha nem igazán tudja, hol kezdje. Ha szem előtt tart egy koncentráltabb célt, akkor ugorjon előre a számítógép azon területére, amelyet részletesebben meg szeretne vizsgálni. Az egyik legjobb eszköz a vírus vagy trójai fájl azonosítását kereső támogató személyzet számára:hash készletek.”

Ez a terület lehetővé teszi a meghatározott alkalmazások, és nem csak a fájlok elemzését. Minden alkalmazásnak van egy fájlkészlete, amelyet felülvizsgálhat, amikor duplán kattint az alkalmazásra. A Hash Set Viewer megjeleníti az összes fájlhoz tartozó számításokat.

A következő elérhető eszköz az „aláírás” létrehozásának képessége. Ez hosszú távon hasznos tanulmány, amikor feltételezhető, hogy bizonyos tevékenységekre a számítógép.

Készíthet egy aláírást, amely pillanatfelvételt készít a fájlokról és a könyvtárakról. Akkor használhatja a „hasonlítsa össze az aláírást”Eszközt annak ellenőrzésére, hogy változtatások történtek-e néhány hét vagy egy hónap alatt. A szoftverhez fájlkeresési segédprogram is tartozik, ahol szűrheti az eredményeket képek, irodai dokumentumok vagy tömörített fájlok alapján.

Még jobb, ha felhasználhatja az egyedi és nagyon hasznos “Nem megfelelő fájlkeresés”Eszköz a gyanús könyvtárak átszitálásához és az olyan fájlok azonosításához, amelyeket a számítógép tulajdonosa átnevezhet, egyszerűen a fájl valódi azonosításához. Például egy képfájl átnevezése egy “txt” kiterjesztéssel, vagy egy “.jpg” kiterjesztéssel rendelkező minősített dokumentum átnevezése.

Visszatérve a hash-megközelítés használatához a fájlelemzéshez, a „Ellenőrizze / hozzon létre hash”Segédprogram segítségével összehasonlíthat egy ismert hash értéket egy fájlhoz (mi van ennek az értékével kellene be), és a számítógépen található fájl kiszámított hash-értéke.

Egy másik terület, ahol ez a szoftver valóban kiemelkedik a kriminalisztikai elemzésben, az a képesség, hogy nagyon gyorsan át lehet szűrni több ezer fájlt a meghatározott szöveges kulcsszavak azonosítása érdekében. A folyamat felgyorsítása érdekében az első lépés egy index létrehozása a számítógép bármely könyvtárához. Amikor elkészült, bejelenti az összes fájlban található egyedi szavak számát.

Amikor kész, csak használja a „Keresési index”Eszköz, amely átvizsgálja a fájlokat, képeket és e-maileket a keresett események vagy tartalmak követésére.

Egy másik számítógépes kriminalisztikai eszköz, amelyet a legtöbb Windows felhasználó felismer.Legutóbbi tevékenység”Eszköz. Bár hasonlít a „Legutóbbi dokumentumok”Eszköz, ez a segédprogram valójában egy kicsit mélyebbre ás, keresve MRU rekordokat, USB rekordokat, sütiket, letöltéseket és így tovább. Lehet, hogy a tulajdonos megpróbálta már megtisztítani a számítógépet, de sok ember nem érti az összes olyan helyet, ahol a tevékenységet naplózza - tehát ez az eszköz megtalálja a tevékenység fennmaradó nyomát.

Egy másik nagyon jó szolgáltatás a „Törölt fájlkeresés”Eszköz, amely lehetővé teszi a nyilvántartások szétválasztását a kérdéses, nemrégiben törölt fájlok bármilyen jelzésére. Észrevettem, hogy ez a jellemző nem bizonytalan. Megpróbálja azonosítani a törölt fájlok nyomelemeit, de ez nem mindig sikerrel jár.

Végül, amikor valóban kétségbeesetten talál valamilyen fennmaradó bizonyítékot a bűncselekményre vonatkozóan, akkor a "memória néző" egy körre. Ez a számítógépes kriminalisztikai alkalmazás megjeleníti az összes merev memória címet és a tárolt információmennyiséget. A memória tartalmát CSV-fájlba helyezheti, így bármilyen nyomra vagy dohányzó pisztollyal megkísérelheti a figyelmet.

Mint láthatja, az OSForensics elég nagy teljesítményű szoftver bárki számára, akinek néha van sajnálatos feladat, hogy meg kell vizsgálni valakinek a számítógépes rendszerét, akit vádolnak Valami baj van. A számítógép megfelelő, alapos kriminalisztikai vizsgálata néha olyan kényszerítő bizonyítékot eredményezhet, amely esetet eredményezhet vagy megszakíthat.

Használtál már valaha az OSForensics szoftvert? Mit gondolsz? Ismer más hasonló alkalmazást, amely ugyanolyan jó vagy jobb? Ossza meg gondolatait az alábbi megjegyzés szakaszban.

Kép jóváírása: Peter Hostermann