Annonse
Enten det er FBI som graver seg inn i en datamaskin som eies av en hacker, et selskap som gjør en intern datamaskinrevisjon, eller en nettverksadministrator som prøver å finne ut av hvorfor et virus stammer fra en bestemt PC - poenget er at en grundig PC-rettsanalyse krever programvare som kan grave dypt og gjøre jobben Ikke sant.
Etter mine egne erfaringer er det sjelden at du kan finne gratis programvare som gjør en god jobb med dette. De fleste politibyråer over hele verden kjøper kostbar programvare for datamaskinens rettsmedisinske enhet.
Imidlertid der er gratis datamaskin feilsøking og reparasjonsverktøy der ute, for eksempel apper for datagjenoppretting 3 Bemerkelsesverdige verktøy for filgjenoppretting Les mer Guy dekket og Net Tools 2008, et admin-verktøy som Karl dekket. Et mer gratis verktøy som er like kraftig og dyktig som mange betalte programvarepakker for datamaskinens rettsmedisiner, er kjent som OSForensics.
Gjennomføre en rettsmedisinsk analyse
Den beste måten å analysere og feilsøke et datasystem fra topp til bunn er på en treg og metodisk måte. Det fine med OSForensics er at det er som en virtuell koffert der du kan lagre alt arbeidet du gjør. Hvis du har flere datamaskiner som du jobber med, kan du konfigurere denne programvaren på arbeids-PC-en din og deretter kartlegge harddisken til den eksterne PC-en for analyse. Programvaren lar deg lagre en "sak" for hver datamaskin du jobber med.
Som du ser på bildet over, er alle verktøyene foret nedover til venstre i menylinjen. Alt du trenger å gjøre er å jobbe deg nedover hvis du ikke er sikker på hvor du skal begynne. Hvis du har et mer fokusert mål i tankene, kan du hoppe videre til området på PC-en du vil undersøke nærmere. Et av de beste verktøyene for alle støttepersonell som ønsker å identifisere en virus- eller trojan-fil, er "hasjsett.”
![Undersøk eller feilsøk datamaskinsystemer med OSForensics [Windows] forensics2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Dette området lar deg analysere spesifikke applikasjoner som du definerer, ikke bare filer. Hver applikasjon har et sett med filer som du kan se på når du dobbeltklikker på appen. Hash Set Viewer viser at alle har beregninger for hver fil.
Det neste tilgjengelige verktøyet er muligheten til å lage en "signatur." Dette er nyttig på lang sikt studie, når det er mistanke om at visse aktiviteter foregår på et bestemt sted på datamaskin.
Du kan opprette en signatur som tar et øyeblikksbilde av filer og kataloger. Da kan du bruke “sammenligne signatur”Verktøy for å sjekke om det ble gjort endringer noen uker eller en måned langs veien. Programvaren kommer også med et filsøkverktøy, der du kan filtrere resultater etter bilder, kontordokumenter eller komprimerte filer.
Enda bedre kan du bruke det unike og veldig nyttige “Mismatch File Search”-Verktøy for å sile gjennom mistenkte kataloger og identifisere filer som PC-eieren kan ha gitt nytt navn til for å dekke over den sanne identiteten til filen. For eksempel å gi nytt navn til en bildefil med en "txt" -utvidelse, eller et klassifisert dokument med en ".jpg" -utvidelse.
![Undersøk eller feilsøk datamaskinsystemer med OSForensics [Windows] forensics5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Å komme tilbake til å bruke hasjtilnærmingen for filanalyse, "Bekreft / opprett Hash”-Verktøy lar deg sammenligne en kjent hashverdi for en fil (hva den har verdi bør be), og den beregnede hashverdien for filen på denne datamaskinen.
Et annet område der denne programvaren virkelig utmerker seg i rettsmedisinske analyser, er muligheten til å sile gjennom tusenvis av filer veldig raskt for å identifisere bestemte tekstnøkkelord. Det første trinnet for å få fart på prosessen er å opprette en indeks for hvilken som helst katalog på datamaskinen. Når det er gjort, rapporterer det antall unike ord som finnes i alle filene.
Når det er gjort, bruker du bare "Søkeindeks”Verktøy for å grave gjennom filer, bilder og e-postmeldinger for å spore opp hvilken spesiell forekomst eller innhold du leter etter.
Et annet datamaskinens rettsmedisinske verktøy som de fleste Windows-brukere vil kjenne igjen, er “Nylig aktivitet”Verktøy. Mens det ligner på “Nylige dokumenter”Verktøyet, dette verktøyet graver faktisk ganske mye dypere, søker etter MRU-poster, USB-poster, informasjonskapsler, nedlastinger og mer. Eieren kan ha prøvd å rydde opp i PC-en allerede, men mange mennesker forstår ikke alle stedene som aktiviteten er logget på - så dette verktøyet kan finne alle gjenværende spor av den aktiviteten.
En annen veldig kul funksjon er "Slettet filsøk”Verktøy som lar deg sile gjennom postene for alle indikasjoner på tvilsomme filer som nylig er slettet. Jeg la merke til at denne funksjonen ikke er tålsikker. Den vil prøve å identifisere sporingselementer for slettede filer, men det er ikke alltid vellykket.
Til slutt, når du virkelig er desperat etter å finne noe gjenværende bevismateriale for en forbrytelse, kan det hende du må ta "minnevisning”For en tur. Denne datamaskinens rettsmedisinske app viser alle hardminneadressene og hvor mye informasjon som er lagret. Du kan dumpe innholdet i minnet til en CSV-fil, slik at du kan pirke rundt ledetråder eller røykepistol.
Som du kan se, er OSForensics ganske kraftig programvare for alle som har noen ganger uheldig oppgave å måtte undersøke datasystemet til noen som er beskyldt for å ha gjort noe galt. Noen ganger kan en skikkelig, grundig kriminalteknisk undersøkelse av datamaskinen dukke opp overbevisende bevis som kan lage eller ødelegge en sak.
Har du noen gang brukt OSForensics? Hva tror du? Vet du om andre lignende apper som er like gode eller bedre? Del tankene dine i kommentarfeltet nedenfor.
Bildekreditt: Peter Hostermann
Ryan har en BSc-grad i elektroteknikk. Han har jobbet 13 år innen automatisering, 5 år innen IT, og er nå en applikasjonsingeniør. Han var tidligere administrerende redaktør for MakeUseOf, han snakket på nasjonale konferanser om datavisualisering og har blitt omtalt på nasjonal TV og radio.