Cercetați sau rezolvați problemele sistemelor de computer cu OSForensics [Windows]

Publicitate

Indiferent dacă este FBI care sapa într-un computer deținut de un hacker, o companie care efectuează un audit intern computer sau un administrator de rețea care încearcă să descopere de ce un virus provine dintr-un anumit PC - linia de bază este că o analiză amănunțită a criminalisticii PC necesită un software care să sape profund și să facă treaba dreapta.

În experiențele mele, este rar să găsești software gratuit care să facă o treabă bună cu asta. Majoritatea agențiilor de poliție din întreaga lume achiziționează un software scump pentru unitatea lor de informatică.

Cu toate acestea, acolo sunt instrumente gratuite de depanare și reparare a computerului acolo, cum ar fi aplicații de recuperare a datelor 3 Instrumente de recuperare a fișierelor remarcabile Citeste mai mult Guy acoperit și Net Tools 2008, un instrument de administrare pe care l-a acoperit Karl. Un alt instrument gratuit care este la fel de puternic și capabil ca multe pachete de software criminalistice plătite este cunoscut ca OSForensics.

Efectuarea unei analize criminalistice

Cel mai bun mod de a analiza și depana un sistem de computer de sus în jos este într-un mod lent și metodic. Marele lucru despre OSForensics este că este ca o servietă virtuală în care puteți stoca toate lucrările pe care le faceți. Dacă aveți mai multe computere pe care lucrați, puteți configura acest software pe computerul de lucru, apoi puteți face o hartă a hard disk-ului PC-ului de la distanță pentru analiză. Software-ul vă va permite să stocați un „caz” pentru fiecare computer pe care lucrați.

După cum puteți vedea din imaginea de mai sus, toate instrumentele sunt aliniate în bara de meniu din stânga. Tot ce trebuie să faceți este să vă descurcați, dacă nu sunteți sigur de unde să începeți. Dacă aveți un obiectiv mai concentrat în minte, treceți mai departe către zona computerului pe care doriți să o cercetați mai îndeaproape. Unul dintre cele mai bune instrumente pentru orice personal de asistență care dorește să identifice un virus sau un fișier troian sunt „seturi de hash.”

Această zonă vă permite să analizați anumite aplicații pe care le definiți, nu numai fișiere. Fiecare aplicație are un set de fișiere pe care le puteți examina când faceți dublu clic pe aplicație. Afișajele setului de hash setează toate calculele pentru fiecare fișier.

Următorul instrument disponibil este posibilitatea de a crea o „semnătură”. Acest lucru este util pe termen lung studiază, atunci când se suspectează că anumite activități se desfășoară într-o anumită locație din calculator.

Puteți crea o semnătură care va face o imagine de fișiere și directoare. Apoi puteți utiliza „comparați semnătura”Instrument pentru a verifica dacă au fost făcute modificări la câteva săptămâni sau la o lună. Software-ul vine și cu un utilitar de căutare a fișierelor, unde puteți filtra rezultatele prin imagini, documente de birou sau fișiere comprimate.

Și mai bine, puteți utiliza unicul și foarte util „Nepotrivire căutare fișier„Instrument pentru identificarea directoarelor suspecte și identificarea fișierelor pe care proprietarul computerului le-ar fi putut redenumi pur și simplu pentru a acoperi identificarea adevărată a fișierului. De exemplu, redenumirea unui fișier imagine cu extensie „txt” sau a unui document clasificat cu extensie „.jpg”.

Revenind la utilizarea abordării hash pentru analiza fișierului, „Verificați / creați Hash„Utilitatea” vă permite să comparați o valoare hash cunoscută pentru un fișier (ceea ce are valoarea ar trebui să be), iar valoarea calculată de hash pentru fișierul de pe acest computer.

Un alt domeniu în care acest software într-adevăr excelează în analiza criminalistică este posibilitatea de a trece prin mii de fișiere foarte rapid pentru a identifica anumite cuvinte cheie de text. Primul pas pentru accelerarea procesului este crearea unui index pentru orice director de pe computer. După ce va fi finalizat, va raporta numărul de cuvinte unice găsite în toate fișierele.

Când ați terminat, utilizați doar „Index de căutare„Instrument pentru săriți fișiere, imagini și e-mailuri pentru a urmări orice eveniment specific sau conținut pe care îl căutați.

Un alt instrument criminalistic pe care majoritatea utilizatorilor Windows îl vor recunoaște este „activitate recenta”Instrument. În timp ce pare similar cu „Documente recente„Instrument”, acest utilitar săpă de fapt un pic mai adânc, căutând înregistrări MRU, înregistrări USB, cookie-uri, descărcări și multe altele. Este posibil ca proprietarul să fi încercat deja curățarea computerului, însă mulți oameni nu înțeleg toate locurile în care este înregistrată activitatea, astfel că acest instrument poate găsi orice urmă de activitate.

O altă caracteristică foarte mișto este „Ștergerea căutării fișierelor”Instrument care vă permite să treceți prin înregistrări pentru orice indicație a fișierelor șterse recent discutabile. Am observat că această caracteristică particulară nu este o dovadă de prost. Vom încerca să identificăm oligoelementele fișierelor șterse, dar nu au întotdeauna succes.

În cele din urmă, atunci când ești într-adevăr disperat să găsești o rază de probă rămasă pentru o infracțiune, poate fi necesar să iei „vizualizator de memorie" pentru o tura. Această aplicație criminalistică pentru computer afișează toate adresele de memorie hard și cât de multe informații sunt stocate. Puteți arunca conținutul memoriei într-un fișier CSV, astfel încât să puteți încerca orice indicii sau o armă de fumat.

După cum puteți vedea, OSForensics este un software destul de puternic pentru oricine are uneori sarcină nefericită de a fi nevoit să cerceteze sistemul informatic al cuiva care este acuzat că face acest lucru ceva gresit. Uneori, o investigație corectă și amănunțită a computerului poate face dovada convingătoare care poate crea sau rupe un caz.

Ați folosit vreodată OSForensics? Tu ce crezi? Cunoașteți alte aplicații similare la fel de bune sau mai bune? Partajează-ți gândurile în secțiunea de comentarii de mai jos.

Credit imagine: Peter Hostermann