Investigar ou solucionar problemas de sistemas de computador com osforensics [windows]

Se é o FBI cavando em um computador de propriedade de um hacker, uma empresa fazendo uma auditoria interna de computadores, ou um administrador de rede tentando descobrir por que um vírus se originou a partir de um PC particular - a linha de fundo é que uma análise forense de PC completa requer software que pode escavar profundamente e fazer o trabalho direito.

Em minhas próprias experiências, é raro que você pode encontrar software livre que faz um bom trabalho com isso. A maioria das agências policiais em todo o mundo comprar o software caro para sua unidade de computação forense.

No entanto, há estamos ferramentas de solucionar problemas e reparação de computadores gratuitos lá fora, como o aplicações de recuperação de dados Guy coberto e Net Tools 2008, uma ferramenta de administração que Karl coberto. Uma ferramenta mais livre que é tão poderoso e capaz como muitos pacotes de software pagos computação forense é conhecido como OSForensics.3 ferramentas de recuperação de arquivos notáveis3 ferramentas de recuperação de arquivos notáveisconsulte Mais informação

Realização de uma análise forense

A melhor maneira de ir sobre análise e solução de um sistema de computador de cima para baixo é de uma maneira lenta e metódica. A grande coisa sobre OSForensics é que é como uma pasta virtual onde você pode armazenar todo o trabalho que está fazendo. Se você tiver vários computadores que você está trabalhando, você pode definir este software no seu PC de trabalho e, em seguida, mapear a unidade de disco rígido do PC remoto para análise. O software permitirá que você armazenar um “caso” para cada computador que você está trabalhando.

Como você pode ver na foto acima, todas as ferramentas são alinhadas para baixo a barra de menu à esquerda. Tudo que você tem a fazer é trabalhar o seu caminho até eles, se você não está realmente certo onde começar. Se você tem um objetivo mais focado em mente, em seguida, avance para a área do PC que você deseja investigar mais de perto. Uma das melhores ferramentas para qualquer equipe de apoio à procura de identificar um vírus ou arquivo trojan são “conjuntos de hash.”

Esta área permite analisar aplicações específicas que você define, não apenas arquivos. Cada aplicação tem um conjunto de arquivos que você pode rever quando você clicar duas vezes sobre o aplicativo. O Hash Set Viewer exibe todos têm cálculos para cada arquivo.

A próxima ferramenta disponível é a capacidade de criar uma “assinatura”. Isto é útil para um estudo de longo prazo, quando é suspeita que certas atividades estão ocorrendo em um local específico no computador.

Você pode criar uma assinatura que vai tirar um instantâneo de arquivos e diretórios. Então você pode usar o “comparar assinatura”Ferramenta para verificar se as alterações foram feitas algumas semanas ou um mês na estrada. O software também vem com um utilitário de pesquisa de arquivo, onde você pode filtrar os resultados por imagens, documentos de escritório ou arquivos compactados.

Mesmo melhor, você pode usar a única e muito útil “Incompatibilidade File Search”Ferramenta para peneirar diretórios suspeitos e identificar todos os arquivos que o proprietário PC pode ter renomeado simplesmente para encobrir a verdadeira identificação do arquivo. Por exemplo, renomear um arquivo de imagem com uma extensão “txt”, ou um documento classificado com uma extensão “.jpg”.

Voltando a usar a abordagem de hash para análise de arquivo, o “Verifique / Criar Hash”Utilitário permite que você comparar um valor de hash conhecido por um arquivo (o que o valor tem devemos ser), e o valor de hash calculado para o arquivo no computador.

Outra área em que este software realmente se destaca em análise forense é a capacidade de filtrar milhares de arquivos muito rapidamente, a fim de identificar palavras-chave texto específicas. O primeiro passo para acelerar o processo é criar um índice para qualquer diretório no computador. Quando ele é feito, ele irá informar o número de palavras únicas encontradas dentro de todos os arquivos.

Quando ele é feito, basta usar o “Índice Pesquisar”Ferramenta para cavar através de arquivos, imagens e e-mails para rastrear qualquer que seja ocorrência ou conteúdo específico que você está procurando.

Outra ferramenta forense que a maioria dos usuários do Windows irá reconhecer é o “Atividade recente”Ferramenta. Enquanto parece semelhante ao “Documentos recentes”Ferramenta, este utilitário realmente escava um pouco mais profunda, em busca registros MRU, registros USB, cookies, downloads e muito mais. O proprietário pode ter tentado já a limpeza do PC, mas muitas pessoas não entendem todos os lugares que a atividade seja registrada - para que esta ferramenta pode encontrar qualquer vestígio remanescente de que a atividade.

Outro recurso muito legal é o “Excluídos File Search”Ferramenta que permite filtrar os registros para qualquer indicação de arquivos apagados recentemente questionáveis. Notei que esta característica particular não é à prova de idiota. Ele vai tentar identificar elementos-traço de qualquer apagou arquivos, mas nem sempre é bem sucedida.

Finalmente, quando você está realmente desesperada para encontrar algum vestígio remanescente de evidência para um crime, você pode precisar de tomar o “visualizador de memória" para um passeio. Este aplicativo de computação forense exibe todos os endereços de memória de disco rígido e quanta informação é armazenada. Você pode despejar o conteúdo da memória para um arquivo CSV para que você pode picar em torno de quaisquer pistas ou uma arma fumegante.

Como você pode ver, OSForensics é um software muito poderoso para qualquer um que tem o às vezes infeliz tarefa de ter que investigar o sistema de computador de alguém que é acusado de fazer algo errado. Às vezes, uma perícia aprofundada adequada investigação do computador, pode transformar-se uma prova que pode fazer ou quebrar um caso.

Alguma vez você já OSForensics usado? O que você acha? Você sabe de quaisquer outros aplicativos semelhantes que são tão bom ou melhor? Compartilhe seus pensamentos na seção de comentários abaixo.