Enquêter ou dépanner des systèmes informatiques avec osforensics [windows]

Que ce soit le FBI à creuser dans un ordinateur appartenant à un pirate informatique, une entreprise faisant un audit informatique interne ou un administrateur réseau à essayer de comprendre pourquoi un virus provient d`un PC en particulier - la ligne de fond est que l`analyse médico-légale PC complet nécessite un logiciel qui peut creuser profondément et faire le travail.

Dans mes propres expériences, il est rare que vous pouvez trouver un logiciel gratuit qui fait un bon travail avec cela. La plupart des services de police à travers le monde achètent des logiciels coûteux pour leur unité médico-légale ordinateur.

Cependant, il sont Résoudre les problèmes de l`ordinateur gratuit et de réparation des outils là-bas, comme le des applications de récupération de données Guy couvert et Net Tools 2008, un outil d`administration que Karl couvert. Un autre outil gratuit qui est tout aussi puissant et capable autant de preuves informatiques payées logiciels est connu sous le nom OSForensics.3 Outils remarquables de récupération de fichiers3 Outils remarquables de récupération de fichiersLire la suite

Effectuer une analyse criminalistique

La meilleure façon d`aller sur l`analyse et le dépannage d`un système informatique de haut en bas est d`une manière lente et méthodique. La grande chose au sujet OSForensics est que c`est comme une mallette virtuelle où vous pouvez stocker tout le travail que vous faites. Si vous avez plusieurs ordinateurs sur lesquels vous travaillez, vous pouvez configurer ce logiciel sur votre PC de travail, puis cartographier le disque dur de l`ordinateur distant pour l`analyse. Le logiciel vous permet de stocker un « cas » pour chaque ordinateur sur lequel vous travaillez.

Comme vous pouvez le voir sur l`image ci-dessus, tous les outils sont alignés en bas de la barre de menu de gauche. Tout ce que vous avez à faire est de travailler votre chemin vers le bas eux si vous n`êtes pas vraiment sûr où commencer. Si vous avez un objectif plus ciblé à l`esprit, puis passez directement à la zone de l`ordinateur que vous souhaitez étudier de plus près. L`un des meilleurs outils pour tout le personnel de soutien à la recherche d`identifier un virus ou d`un fichier cheval de Troie sont «ensembles hachage.»

Cette zone vous permet d`analyser des applications spécifiques que vous définissez, non seulement des fichiers. Chaque application dispose d`un ensemble de fichiers que vous pouvez consulter lorsque vous double-cliquez sur l`application. L`ensemble Hash Viewer affiche ont tous les calculs pour chaque fichier.

Le prochain outil disponible est la possibilité de créer une « signature ». Ceci est utile pour une étude à long terme, quand il soupçonne que certaines activités ont lieu à un endroit précis sur l`ordinateur.

Vous pouvez créer une signature qui prendra un instantané des fichiers et des répertoires. Ensuite, vous pouvez utiliser la fonction «comparer la signature» Outil pour vérifier si des changements ont été effectués quelques semaines ou un mois sur la route. Le logiciel est également livré avec un utilitaire de recherche de fichiers, où vous pouvez filtrer les résultats par des images, des documents de bureau ou des fichiers compressés.

Mieux encore, vous pouvez utiliser l`unique et très utile «Discordance Recherche Fichier» Outil pour passer au crible les répertoires suspects et d`identifier tous les fichiers que le propriétaire du PC aurait peut-être tout simplement rebaptisés pour dissimuler la véritable identité du fichier. Par exemple, renommer un fichier image avec une extension « txt », ou un document classifié avec une extension « .jpg ».

Pour en revenir à l`utilisation de l`approche de hachage pour l`analyse des fichiers, la «Vérifier / Créer Hash» Utilitaire vous permet de comparer une valeur de hachage connue pour un fichier (ce que la valeur a devrait être), et la valeur de hachage calculée pour le fichier sur cet ordinateur.

Un autre domaine où ce logiciel excelle vraiment dans l`analyse médico-légale est la capacité de passer au crible des milliers de fichiers très rapidement afin d`identifier les mots clés de texte spécifiques. La première étape pour accélérer le processus consiste à créer un index pour un répertoire sur l`ordinateur. Une fois terminé, il fera rapport le nombre de mots uniques trouvés dans tous les fichiers.

Une fois terminé, il suffit d`utiliser la «Index de recherche» Outil pour creuser à travers des fichiers, des images et des e-mails pour traquer tout occurrence ou le contenu que vous recherchez.

Un autre outil informatique judiciaire que la plupart des utilisateurs de Windows reconnaîtront est le «Activité récente" outil. Bien qu`il ressemble à la «Documents récents» Outil, cet utilitaire fait assez creuse peu plus loin, à la recherche des dossiers MRU, disques USB, les cookies, les téléchargements et plus encore. Le propriétaire aurait déjà essayé de nettoyer le PC, mais beaucoup de gens ne comprennent pas tous les endroits que l`activité est Connectée - donc cet outil peut trouver toute trace restante de cette activité.

Une autre caractéristique très cool est le «Supprimé Recherche de fichiers» Outil qui vous permet de passer au crible les dossiers pour toute indication des fichiers douteux récemment supprimés. J`ai remarqué que cette caractéristique particulière est pas infaillible. Il va essayer d`identifier les éléments traces de tous les fichiers supprimés, mais il ne réussit pas toujours.

Enfin, quand vous êtes vraiment désespéré de trouver un shred reste de preuves pour un crime, vous devrez peut-être prendre la «Memory Viewer" pour un tour. Cette application criminalistique ordinateur affiche toutes les adresses de mémoire dur et la quantité d`informations stockées. Vous pouvez vider le contenu de la mémoire dans un fichier CSV afin que vous puissiez fouiner pour tous les indices ou un pistolet fumant.

Comme vous pouvez le voir, OSForensics est assez puissant logiciel pour toute personne qui a la tâche parfois regrettable de devoir enquêter sur le système informatique de quelqu`un qui est accusé de faire quelque chose de mal. Parfois, une enquête médico-légale appropriée, approfondie de l`ordinateur peut se présenter des preuves convaincantes qui peuvent faire ou défaire un cas.

Avez-vous déjà utilisé OSForensics? Qu`est-ce que tu penses? Connaissez-vous d`autres applications similaires qui sont tout aussi bien ou mieux? Partagez vos pensées dans la section des commentaires ci-dessous.