Reklāma
Neatkarīgi no tā, vai FBI iegremdējas datorā, kas pieder hakerim, uzņēmumam, kas veic datora iekšējo auditu, vai tīkla administratoram, kurš mēģina izdomāt kāpēc vīruss ir cēlies no konkrēta datora - vissvarīgākais ir tas, ka rūpīgai datoru kriminālistikas analīzei ir nepieciešama programmatūra, kas var dziļi rakt un veikt šo darbu taisnība.
Pēc manas pieredzes, reti kurš var atrast bezmaksas programmatūru, kas ar to labi nodarbojas. Lielākā daļa policijas aģentūru visā pasaulē sava datora kriminālistikas nodaļai iegādājas dārgu programmatūru.
Tomēr tur ir bezmaksas datoru problēmu novēršanas un labošanas rīki, piemēram, datu atkopšanas lietotnes 3 Ievērojami failu atkopšanas rīki Lasīt vairāk Puišu pārklājums un Net Tools 2008, administratora rīks, uz kuru attiecas Kārlis. Vēl viens bezmaksas rīks, kas ir tikpat jaudīgs un spējīgs kā daudzas apmaksātu datoru kriminālistikas programmatūras paketes, ir pazīstams kā OSForensics.
Kriminālistikas analīzes veikšana
Labākais veids, kā analizēt un novērst datorsistēmas problēmas no augšas uz leju, ir lēns un metodisks. Lieliska OSForensics lieta ir tā, ka tas ir kā virtuāls portfelis, kurā varat saglabāt visu jūsu paveikto darbu. Ja jums ir vairāki datori, pie kuriem strādājat, šo programmatūru var iestatīt darba datorā un pēc tam kartēt attālā datora cieto disku analīzei. Programmatūra ļaus jums saglabāt “korpusu” katram datoram, kurā strādājat.
Kā redzat attēlā iepriekš, visi rīki ir izvietoti kreisajā izvēlnes joslā. Viss, kas jums jādara, ir jānoiet līdz viņiem, ja neesat īsti pārliecināts, kur sākt. Ja jums ir prātā mērķtiecīgāks mērķis, pārejiet uz priekšu tajā datora apgabalā, kuru vēlaties izpētīt rūpīgāk. Viens no labākajiem rīkiem jebkuram atbalsta personālam, kurš vēlas identificēt vīrusu vai Trojas failu, ir “hash komplekti.”
![Izpētiet vai novērsiet datorsistēmu problēmas, izmantojot OSForensics [Windows] kriminālistiku2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Šis apgabals ļauj analizēt ne tikai failus, bet arī noteiktas definētās lietojumprogrammas. Katrā lietojumprogrammā ir failu komplekts, kuru varat pārskatīt, veicot dubultklikšķi uz lietotnes. Hash Set Viewer parāda visus faila aprēķinus.
Nākamais pieejamais rīks ir spēja izveidot “parakstu”. Tas ir noderīgi ilgtermiņā pētījums, ja ir aizdomas, ka noteiktas aktivitātes notiek noteiktā vietā dators.
Varat izveidot parakstu, kas uzņems failu un direktoriju momentuzņēmumu. Tad varat izmantot “salīdzināt parakstu”, Lai pārbaudītu, vai izmaiņas tika veiktas pēc dažām nedēļām vai mēnesi. Programmatūrai ir arī failu meklēšanas utilīta, kurā rezultātus var filtrēt pēc attēliem, biroja dokumentiem vai saspiestiem failiem.
Vēl labāk, jūs varat izmantot unikālo un ļoti noderīgo “Neatbilstoša failu meklēšana”Rīks, lai izsijātu aizdomīgus direktorijus un identificētu visus failus, kurus datora īpašnieks, iespējams, ir pārdēvējis, vienkārši lai apsegtu faila patieso identifikāciju. Piemēram, attēla faila pārdēvēšana ar “txt” paplašinājumu vai klasificēta dokumenta ar “.jpg” paplašinājumu.
![Izpētiet vai novēršiet datorsistēmas, izmantojot OSForensics [Windows] kriminālistiku5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Atgriežoties pie hash pieejas izmantošanas failu analīzē,Pārbaudiet / izveidojiet sajaukumu”Ļauj salīdzināt zināmo faila jaukšanas vērtību (kāda tai ir vērtība vajadzētu be), un aprēķinātā faila jauciena vērtība failam šajā datorā.
Vēl viena joma, kurā šī programmatūra patiešām izceļas ar kriminālistikas analīzi, ir spēja ļoti ātri izsijāt tūkstošiem failu, lai identificētu konkrētus teksta atslēgvārdus. Pirmais solis procesa paātrināšanai ir indeksa izveidošana jebkuram datora direktorijam. Kad tas būs izdarīts, tas ziņos par unikālo vārdu skaitu, kas atrasts visos failos.
Kad tas ir izdarīts, vienkārši izmantojiet “Meklēšanas indekss”, Lai meklētu failus, attēlus un e-pastus, lai izsekotu jebkuram konkrētam gadījumam vai saturam, kuru meklējat.
Vēl viens datoru kriminālistikas rīks, kuru atpazīs vairums Windows lietotāju, ir “Pēdējās aktivitātes”Rīks. Lai arī tas izskatās līdzīgs “Jaunākie dokumenti”Rīks, šī utilīta faktiski ir mazliet dziļāka, meklējot MRU ierakstus, USB ierakstus, sīkfailus, lejupielādes un daudz ko citu. Iespējams, ka īpašnieks jau ir mēģinājis sakopt datoru, taču daudzi cilvēki nesaprot visas vietas, kur tiek reģistrētas aktivitātes - tāpēc šis rīks var atrast visas šīs aktivitātes atlikušās pēdas.
Vēl viena ļoti forša funkcija ir “Dzēsta failu meklēšana”, Kas ļauj pārskatīt ierakstus, lai norādītu uz apšaubāmiem nesen izdzēstiem failiem. Es pamanīju, ka šī īpašā īpašība nav droša. Tas mēģinās identificēt izdzēsto failu mikroelementus, taču tas ne vienmēr ir veiksmīgs.
Visbeidzot, kad esat patiešām izmisis, lai atrastu atlikušos nozieguma pierādījumu šķēres, jums, iespējams, būs jāveic “atmiņas skatītājs”Braucienam. Šajā datora kriminālistikas lietotnē tiek parādītas visas cietās atmiņas adreses un saglabātā informācija. Atmiņas saturu var ievietot CSV failā, lai jūs varētu ķerties pie jebkādām norādēm vai smēķēšanas ieroča.
Kā redzat, OSForensics ir diezgan jaudīga programmatūra ikvienam, kam tas dažreiz ir neveiksmīgs uzdevums - jāizmeklē datorsistēma kādam, kurš tiek apsūdzēts par izdarīšanu kaut kas nav kārtībā. Dažreiz, veicot pienācīgu, rūpīgu datora kriminālistikas izmeklēšanu, var iegūt pārliecinošus pierādījumus, kas var padarīt lietu sagrautu vai sagraut.
Vai jūs kādreiz esat izmantojis OSForensics? Ko tu domā? Vai jūs zināt kādas citas līdzīgas lietotnes, kas ir tikpat labas vai labākas? Dalieties savās domās komentāru sadaļā zemāk.
Attēla kredīts: Pēteris Hostermans
Ryanam ir bakalaura grāds elektrotehnikā. Viņš ir strādājis 13 gadus automatizācijas inženierijā, 5 gadus IT jomā un tagad ir Apps Engineer. Bijušais MakeUseOf galvenais redaktors, viņš uzstājās nacionālajās datu vizualizācijas konferencēs un tiek demonstrēts nacionālajā televīzijā un radio.
