Analisi forense di dischi rigidi e partizioni con Autopsy

Analisi forense di dischi rigidi e partizioni con Autopsy
Sommario

L'autopsia è un software utilizzato per l'analisi forense delle immagini del disco rigido. È un'interfaccia gratuita e open source che consente di cercare e analizzare partizioni o immagini del disco.

Lo strumento Autopsy può funzionare su diversi sistemi operativi come:

  • Linux
  • finestre
  • Mac OSx
  • BSD gratis
È stato originariamente scritto in linguaggio Perl e il suo codice è stato ora modificato in Java con un'interfaccia grafica, sebbene questa versione funzioni solo su Windows, su altre piattaforme ha un'interfaccia web.

L'autopsia è una piattaforma di analisi forense digitale e l'interfaccia grafica Sleuthkit e altri strumenti forensi digitali. Viene utilizzato da governi ed enti pubblici e privati, dalle forze di sicurezza come polizia e militari, nonché da professionisti ed esperti informatici per indagare su cosa è successo su un computer. Dopo un incidente come un attacco o un guasto, puoi sfogliare i dispositivi di archiviazione per recuperare file, cercare manipolazioni del sistema, recuperare foto, immagini o video.

Per prima cosa dobbiamo installare Autopsy in Linux arriva nei repository, in Windows puoi scaricarlo da qui:

SCARICA AUTOPSIA

In questo tutorial vedremo il Installazione dell'autopsia su Linux. Apriamo una finestra di terminale e digitiamo i seguenti comandi:

1. Installiamo il framework TSK 

 sudo apt-get install sleuthkit
2. Quindi installiamo Autopsy 
 apt-get autopsy
Il framework TSK contiene l'insieme di librerie e moduli che possono essere utilizzati per sviluppare plugin e comandi per le competenze di informatica forense. Il framework TSK è un'interfaccia a riga di comando che utilizza diversi moduli per analizzare le immagini del disco.

Quindi possiamo avviare l'applicazione da una finestra di terminale utilizzando il comando: 

 sudo autopsia

Quindi andiamo su qualsiasi browser e scriviamo l'URL http: // host locale: 9999 / autopsia che Autopsy ci dice che funzionerà come server finché lo avremo in esecuzione.

Prima di continuare abbiamo bisogno di avere l'immagine di alcuni dispositivi, possiamo fare un'immagine del nostro disco o possiamo ottenere immagini di esempio su Internet, ad esempio sul sito http://dftt.sourceforge.net/ possiamo scaricare diversi immagini che presentano diversi problemi da analizzare.

Possiamo scaricare ad esempio alcune delle seguenti immagini.

Ricerca JPEG.webp: Questa immagine di prova è un file system NTFS di Windwos XP con 10 immagini jpg.webp in diverse directory. Le immagini includono file con estensioni errate, immagini incorporate in zip e file Word. Qui possiamo lavorare sul recupero dell'immagine. Possiamo scaricare JPEG.webp Search da qui.

Annullamento NTFS: Questa immagine di prova è un file system NTFS da 6 MB con otto file eliminati, due directory eliminate e un flusso di dati alternativo eliminato. I file vanno da file residenti, singoli file cluster e più shard. Nessuna struttura di dati è stata modificata in questo processo per ostacolare il recupero. Sono stati creati su Windows XP, rimossi su XP e ripresi su Linux. Possiamo scaricare NTFS Undelete da qui.

Possiamo anche creare un'immagine disco da Linux scopriamo quali sono le partizioni con i seguenti comandi: 

 sudo fdisk -l

Ad esempio, per fare una copia esatta della partizione di avvio, che possiamo usare come file di backup, utilizziamo i seguenti comandi: 

 dd if = / dev / partizione-salvataggio di = /home/directory/copia-partizione.img
In questo caso sarà la partizione principale: 
 dd if = / dev / sda1 of = / home / myuser / partizione-sda1-HDD.img
Possiamo anche utilizzare software come Clonezilla che è un programma per creare partizioni e immagini disco, copie di backup e ripristino del sistema da un backup.

Una volta che abbiamo l'immagine per svolgere la nostra indagine forense andiamo su Autopsy, per questo tutorial useremo NTSF Annulla eliminazione.

L'interfaccia dell'autopsia ci permette di analizzare diversi casi con immagini diverse e anche diversi ricercatori, quindi clicchiamo sul pulsante Nuovo caso o Nuovo caso.

Si aprirà la schermata per creare un caso in cui assegneremo il nome del caso, senza spazi poiché questo nome diventerà una cartella in cui verranno archiviate le informazioni raccolte nell'indagine. In questo caso il nome sarà EmpresaSA, poi aggiungeremo una descrizione del caso, aggiungeremo anche i nomi degli investigatori incaricati del caso, poi clicchiamo su Nuovo Caso.

Vedremo una schermata in cui veniamo informati che sono state create una cartella per il caso e una directory di configurazione.

Successivamente creeremo l'host, cioè registreremo i dati dell'apparecchiatura o dell'immagine da indagare.

Aggiungeremo il nome host, una descrizione, l'ora gmt in caso di provenienza da un altro paese, possiamo aggiungere anche l'ora di offset rispetto al computer e ci sono database che contengono hash di file dannosi noti.

Se vogliamo usare un database, possiamo usare il NIST NSRL per rilevare i file conosciuti. Il database della National Software Reference Library che contiene hash che possono essere buoni o cattivi a seconda di come sono classificati.

Ad esempio, l'esistenza di un determinato software può essere riconosciuta e Autopsy tratta i file trovati nella NSRL come noti e buoni oppure non lo riconosce e non specifica se è buono o cattivo. Possiamo anche implementare un database che ignori i file conosciuti.

Alla fine clicchiamo su AGGIUNGI HOST e andiamo alla schermata che ci mostra, la directory per questo host, all'interno dello stesso caso possiamo avere diversi host da analizzare.

Successivamente accediamo all'elenco degli host per questo caso particolare e quindi inizia la ricerca su qualche host o controlla qualche host.

Facciamo clic sul nostro host PC031 e poi su va bene, si aprirà una schermata in cui aggiungeremo l'immagine host, per questo facciamo clic su AGGIUNGI FILE IMMAGINE.

Successivamente cercheremo l'immagine in base alla cartella in cui l'abbiamo:

Possiamo fare clic con il tasto destro e selezionare l'opzione copia, poi andiamo allo schermo aggiungi host e facciamo clic con il tasto destro e l'opzione Incolla questo aggiungerà il percorso del file immagine, possiamo anche scriverlo.

Inoltre indicheremo il tipo di immagine se si tratta di un disco o una partizione e il metodo di importazione, l'immagine può essere importata in Autopsy dalla sua posizione corrente utilizzando un collegamento simbolico, copiandola o spostandola.

Il file immagine deve avere il permesso di lettura altrimenti darà un errore quando clicchiamo su PROSSIMO (Prossimo)
In questo caso utilizziamo l'immagine creando una copia, se usiamo il Symlink che è il collegamento a dove si trova l'immagine, possiamo avere il problema che potremmo danneggiare l'immagine, se la copiamo, verrà fatta una copia in la directory del caso, ma occuperemo più posto, ricorda che i file che utilizziamo sono demo che occupano circa 150 Megabyte, un'immagine reale di un computer o di un server potrebbe occupare diversi Gigabyte.

Di seguito ci mostra alcuni dettagli dell'immagine che abbiamo aggiunto e ci permette di calcolare o ignorare l'integrità per mezzo di somma di controllo MD5.

Infine clicchiamo su INSERISCI o Aggiungi per andare alla schermata finale dove ci dice che il processo è terminato e premiamo va bene per andare alla schermata host per questo caso.

Quindi selezioniamo l'host in questo caso ne abbiamo uno e facciamo clic su Analizzare per avviare l'analisi dell'immagine. Si apre la schermata di analisi e lo faremo Dettagli immagine per visualizzare le informazioni di sistema.

In questo caso possiamo vedere che si tratta di una partizione NTFS di Windwos XP e altri dati sulla dimensione del disco e sui settori. Allora possiamo andare a Analisi file, per visualizzare la struttura di file e directory.

Vediamo all'interno delle directory la directory Boot che contiene i log di avvio di quella partizione, se clicchiamo vedremo il log e possiamo vederlo in diversi formati come ASCII, Esadecimale e testo, in questo caso vediamo il seguente errore:

Si è verificato un errore di lettura del disco: manca NTLDR

Il file NTLDR di Windows XP è un componente essenziale del settore di avvio e di avvio di Windows XP. Il computer non si avvia, non termina l'avvio se il file è danneggiato.

Quindi se clicchiamo sul collegamento dir nella colonna Tipo, possiamo navigare tra le directory e vedere i file cancellati per provare a recuperarli.

L'informatica forense consente l'identificazione e la scoperta di informazioni rilevanti nelle fonti di dati come immagini di dischi rigidi, chiavette USB, istantanee del traffico di rete o dump della memoria del computer.

Riassumendo tutto ciò che è stato fatto con Autopsy possiamo riaprire un caso poiché ciò che facciamo è essere salvato o creare un nuovo caso, in cui un caso contiene diversi host o computer o partizioni di un'unità logica che conterrà tutto ciò che riguarda l'indagine.

Pertanto, quando si crea un caso, vengono inserite informazioni come il nome identificativo e la persona che indagherà sui dati. Il passo successivo consiste nell'associare al caso uno o più host, che corrispondono alle immagini che andremo a sottoporre ad analisi, oppure un'immagine forense che è stata precedentemente acquisita dal computer o dal server da analizzare.

Quindi chiudiamo questo caso facendo clic su Chiudi e quindi su Chiudi host, e aggiungeremo un nuovo host all'interno del caso, per questo abbiamo bisogno dell'immagine Ricerca JPEG.webp, immagine di cui abbiamo parlato prima.

Clicchiamo su AGGIUNGI HOST Per aggiungere un nuovo host che andremo ad analizzare, in questo caso cercheremo le immagini perse o danneggiate su un computer nell'area di progettazione grafica.

Dopo aver aggiunto l'host, dobbiamo aggiungere l'immagine come abbiamo fatto prima.

Dopo aver terminato il processo, andiamo all'elenco degli host disponibili per questo caso.

Quindi selezioniamo l'host da indagare e facciamo clic su va bene.

Quindi clicchiamo su Analizzare per avviare la visualizzazione delle partizioni. In questo caso si tratta di una partizione Windows XP, con un file system NTFS con un totale di 10 immagini JPG.webp su di esso. Le immagini includono file con estensioni errate, immagini incorporate in file zip e Word e bug che dobbiamo trovare e riparare per recuperare quei file.

Lo scopo di questa immagine di partizione è testare le capacità degli strumenti automatizzati che cercano immagini JPG.webp.

Passiamo attraverso le directory e possiamo vedere un pulsante nella colonna di sinistra in basso ELIMINA TUTTI I FILE per mostrarci tutti i file eliminati.

Possiamo anche esportare e scaricare file per analizzarli o recuperarli facendo clic sul collegamento che vogliamo scaricare, quindi facciamo clic su Esportare

All'interno troveremo un'immagine e alcuni file di dati. Possiamo anche cercare parole da Ricerca per parole chiave come estensioni di file come doc o programmi che possono funzionare come crack, virus o qualsiasi cosa possa sembrare strana.

Tutto i risultati ottenuti possono essere esportati in documenti HTML cliccando sui link Rapporto di ogni tipo di visualizzazione ASCI, esadecimale o testuale, per la presentazione di un report ai nostri clienti o per mantenere un database di incidenti.

Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
È ufficiale, Google aiuta i siti per cellulari nella ricerca
2
post-title
Come cambiare la lingua della tastiera iPhone Xs o iPhone Xs Max
3
post-title
▷ Disabilita Windows Defender Windows 10 ✔️ PER SEMPRE - Pro e casa
4
post-title
▷ Cambia lingua LOL Mac - League of Legends
5
post-title
Che cos'è un gestore di comunità?

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -