Reklama
Či už ide o kopanie FBI do počítača vlastneného hackerom, spoločnosťou vykonávajúcou interný počítačový audit alebo správcu siete, ktorý sa snaží prísť na to prečo vírus pochádza z konkrétneho počítača - konečný výsledok spočíva v tom, že dôkladná forenzná analýza v počítači vyžaduje softvér, ktorý dokáže hlboko kopať a robiť svoju prácu správny.
Podľa mojich vlastných skúseností je zriedkavé, že nájdete bezplatný softvér, ktorý s tým robí dobrú prácu. Väčšina policajných agentúr na celom svete nakupuje drahý softvér pre svoju počítačovú forenznú jednotku.
Avšak, tam sú zadarmo počítačové riešenie problémov a opravy nástrojov tam, ako je aplikácie na obnovu dát 3 Pozoruhodné nástroje na obnovu súborov Čítaj viac Guy covered a Net Tools 2008, správcovský nástroj, na ktorý sa Karl vzťahoval. Jeden ďalší bezplatný nástroj, ktorý je rovnako výkonný a schopný ako veľa platených počítačových forenzných softvérových balíkov, sa nazýva OSForensics.
Vykonávanie forenznej analýzy
Najlepší spôsob, ako ísť o analýze a riešení problémov počítačového systému zhora nadol, je pomalý a metodický spôsob. Skvelá vec systému OSForensics je, že je to ako virtuálny kufrík, v ktorom môžete uložiť všetku prácu, ktorú robíte. Ak máte niekoľko počítačov, na ktorých pracujete, môžete tento softvér nastaviť na pracovnom počítači a potom mapovať pevný disk vzdialeného počítača na analýzu. Tento softvér vám umožní uložiť prípad pre každý počítač, na ktorom pracujete.
Ako vidíte na obrázku vyššie, všetky nástroje sú zoradené nadol vľavo v lište ponuky. Jediné, čo musíte urobiť, je postupovať nadol, ak si nie ste istí, kde začať. Ak máte na mysli cielenejší cieľ, preskočte dopredu do oblasti počítača, ktorý chcete podrobnejšie preskúmať. Jedným z najlepších nástrojov pre pracovníkov technickej podpory hľadajúcich identifikáciu vírusového alebo trójskeho súboru sú „hash sady.”
![Preskúmajte alebo odstráňte problémy s počítačovými systémami pomocou forenznej sondy OSForensics [Windows ]2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Táto oblasť umožňuje analyzovať konkrétne aplikácie, ktoré definujete, nielen súbory. Každá aplikácia má sadu súborov, ktoré si môžete prezrieť po dvojitom kliknutí na aplikáciu. Hash Set Viewer zobrazuje všetky výpočty pre každý súbor.
Ďalším dostupným nástrojom je schopnosť vytvoriť „podpis“. Je to užitočné z dlhodobého hľadiska štúdia, keď existuje podozrenie, že určité činnosti sa uskutočňujú na konkrétnom mieste na internete výpočtovej.
Môžete vytvoriť podpis, ktorý urobí snímku súborov a adresárov. Potom môžete použiť „porovnať podpis”Nástroj na kontrolu, či sa zmeny nevykonali niekoľko týždňov alebo mesiacov po ceste. Softvér je tiež dodávaný s nástrojom na vyhľadávanie súborov, kde môžete filtrovať výsledky podľa obrázkov, kancelárskych dokumentov alebo komprimovaných súborov.
Ešte lepšie je, že môžete použiť jedinečný a veľmi užitočný “Vyhľadávanie nesúladu súborov“Na prehľadávanie podozrivých adresárov a identifikáciu všetkých súborov, ktoré vlastník PC mohol premenovať, aby jednoducho zakryl skutočnú identifikáciu súboru. Napríklad premenovanie obrazového súboru s príponou „txt“ alebo utajovaný dokument s príponou „.jpg“.
![Preskúmajte alebo odstráňte problémy s počítačovými systémami pomocou forenznej sondy OSForensics [Windows ]5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Vráťte sa k používaniu hash prístupu pre analýzu súborov, “Overte alebo vytvorte hash”Umožňuje vám porovnať známú hašovaciu hodnotu súboru (čo má hodnota mali by be) a vypočítaná hodnota hash súboru v tomto počítači.
Ďalšou oblasťou, v ktorej tento softvér skutočne vyniká pri forenznej analýze, je schopnosť veľmi rýchlo preosiať tisíce súborov s cieľom identifikovať konkrétne textové kľúčové slová. Prvým krokom na urýchlenie procesu je vytvorenie indexu pre ľubovoľný adresár v počítači. Po dokončení prehľadu zaznamená počet jedinečných slov nájdených vo všetkých súboroch.
Po dokončení použite iba „Index vyhľadávania“, Pomocou ktorého môžete prehľadávať súbory, obrázky a e-maily a sledovať, o aký konkrétny prípad alebo obsah hľadáte.
Ďalším počítačovým forenzným nástrojom, ktorý väčšina používateľov Windows rozpozná, je „Posledná aktivita“. Aj keď to vyzerá podobne ako „Posledné dokumenty”Tento nástroj v skutočnosti vykopáva dosť hlbšie, prehľadáva záznamy MRU, záznamy USB, súbory cookie, súbory na stiahnutie a ďalšie. Majiteľ sa možno pokúsil vyčistiť počítač už, ale veľa ľudí nerozumie všetkým miestam, v ktorých je aktivita zaznamenaná - tento nástroj preto môže nájsť všetky zostávajúce stopy tejto aktivity.
Ďalšou veľmi skvelou funkciou je „Vyhľadávanie odstránených súborov”, Ktorý vám umožní prehľadávať záznamy a naznačiť sporné nedávno odstránené súbory. Všimol som si, že táto konkrétna funkcia nie je hlupák. Pokúsi sa identifikovať stopové prvky všetkých odstránených súborov, ale nie vždy je to úspešné.
A nakoniec, keď skutočne hľadáte nejaké zvyšné dôkazy o zločine, možno budete musieť vziať „prehliadač pamäte“Na jazdu. Táto počítačová forenzná aplikácia zobrazuje všetky adresy pevného disku a množstvo uložených informácií. Môžete ukladať obsah pamäte do súboru CSV, aby ste sa mohli hrabať po stopách alebo fajčení.
Ako vidíte, OSForensics je dosť výkonný softvér pre každého, kto má niekedy Nešťastnou úlohou je vyšetriť počítačový systém niekoho, koho obviňujú niečo zle. Správne a dôkladné forenzné vyšetrenie počítača môže niekedy ukázať presvedčivé dôkazy, ktoré môžu spôsobiť alebo zlomiť prípad.
Už ste niekedy použili OSForensics? Co si myslis? Poznáte nejaké ďalšie podobné aplikácie, ktoré sú rovnako dobré alebo lepšie? Podeľte sa o svoje myšlienky v sekcii komentárov nižšie.
Obrázkový kredit: Peter Hostermann
Ryan má titul bakalára v odbore elektrotechnika. Pracoval 13 rokov v automatizačnom inžinierstve, 5 rokov v IT a teraz je aplikačným inžinierom. Bývalý šéfredaktor MakeUseOf, vystúpil na národných konferenciách o vizualizácii údajov a vystupoval v celoštátnych televíziách a rozhlase.
