Undersøg eller fejlsøg computersystemer med OSForensics [Windows]

Reklame

Uanset om det er FBI, der graver sig ind i en computer, der ejes af en hacker, et firma, der udfører en intern computerevision, eller en netværksadministrator, der prøver at finde ud af hvorfor en virus stammer fra en bestemt pc - bunden er, at en grundig pc-kriminalteknisk analyse kræver software, der kan grave dybt og udføre jobbet højre.

I mine egne oplevelser er det sjældent, at du kan finde gratis software, der gør et godt stykke arbejde med dette. De fleste politibureauer i hele verden køber dyre software til deres computerforensiske enhed.

Men der er gratis computer fejlfinding og reparation af værktøjer derude, såsom apps til gendannelse af data 3 Bemærkelsesværdige filgendannelsesværktøjer Læs mere Guy dækkede og Net Tools 2008, et admin-værktøj, som Karl dækkede. Et mere gratis værktøj, der er lige så magtfuldt og kapabelt som mange betalte computer-retsmedicinske softwarepakker er kendt som OSForensics.

Gennemførelse af en retsmedicinsk analyse

Den bedste måde at gå på analyse og fejlfinding af et computersystem fra top til bund er på en langsom og metodisk måde. Det fantastiske ved OSForensics er, at det er som en virtuel dokumentmappe, hvor du kan gemme alt det arbejde, du laver. Hvis du har flere computere, du arbejder på, kan du indstille denne software på din arbejds-pc og derefter kortlægge harddisken på fjern-pc'en til analyse. Softwaren giver dig mulighed for at gemme en "sag" for hver computer, du arbejder på.

Som du kan se på billedet ovenfor, er alle værktøjer foret i den venstre menulinje. Alt hvad du skal gøre er at arbejde dig ned ad dem, hvis du ikke er helt sikker på, hvor du skal starte. Hvis du har et mere fokuseret mål i tankerne, skal du springe videre til det område på den pc, du vil undersøge nærmere. Et af de bedste værktøjer til ethvert supportpersonale, der ønsker at identificere en virus- eller trojanfil, er “hash sæt.”

Dette område giver dig mulighed for at analysere specifikke applikationer, som du definerer, ikke kun filer. Hver applikation har et sæt filer, som du kan gennemgå, når du dobbeltklikker på appen. Hash Set Viewer viser alle har beregninger for hver fil.

Det næste tilgængelige værktøj er muligheden for at oprette en "signatur." Dette er nyttigt på lang sigt undersøgelse, når det mistænkes for, at visse aktiviteter finder sted på et specifikt sted på computer.

Du kan oprette en signatur, der tager et snapshot af filer og mapper. Derefter kan du bruge "sammenligne underskrift”Værktøj til at kontrollere, om der blev foretaget ændringer et par uger eller en måned ned ad vejen. Softwaren leveres også med et filsøgningsværktøj, hvor du kan filtrere resultater efter billeder, kontordokumenter eller komprimerede filer.

Endnu bedre kan du bruge den unikke og meget nyttige "Mismatch File Search”Værktøj til at sile gennem mistænkelige mapper og identificere alle filer, som pc-ejeren måske har omdøbt til blot at dække den sande identifikation af filen. For eksempel at omdøbe en billedfil med en "txt" -udvidelse eller et klassificeret dokument med en ".jpg" -udvidelse.

Kom tilbage til at bruge hash-metoden til filanalyse, “Bekræft / opret Hash”Giver dig mulighed for at sammenligne en kendt hashværdi for en fil (hvad har værdien skulle gerne være), og den beregnede hashværdi for filen på denne computer.

Et andet område, hvor denne software virkelig udmærker sig i retsmedicinsk analyse, er muligheden for at sile gennem tusinder af filer meget hurtigt for at identificere specifikke tekstnøgleord. Det første trin til at fremskynde processen er at oprette et indeks for ethvert bibliotek på computeren. Når det er gjort, rapporterer det antallet af unikke ord, der findes i alle filerne.

Når det er gjort, skal du bare bruge "Søg indeks”Værktøj til at grave gennem filer, billeder og e-mails for at spore uanset hvilken speciel forekomst eller indhold du leder efter.

Et andet computerforensisk værktøj, som de fleste Windows-brugere vil genkende, er "Seneste aktivitet”Værktøj. Mens det ligner "Seneste dokumenter”Værktøj, dette værktøj graver faktisk en smule dybere og søger MRU-poster, USB-poster, cookies, downloads og mere. Ejeren har måske allerede prøvet at rydde op i pc'en, men mange mennesker forstår ikke alle de steder, hvor aktiviteten er logget - så dette værktøj kan finde alle resterende spor af den aktivitet.

En anden meget cool funktion er "Slet filsøgning”Værktøj, der giver dig mulighed for at søge gennem posterne for enhver indikation af tvivlsomme nyligt slettede filer. Jeg har bemærket, at denne særlige funktion ikke er narresikker. Det vil forsøge at identificere sporingselementer til slettede filer, men det er ikke altid vellykket.

Endelig, når du virkelig er desperat efter at finde nogle resterende flisebevis for en forbrydelse, skal du muligvis tage "hukommelsesfremviser”For en tur. Denne computer-kriminaltekniske app viser alle adresserne til harddiskhukommelsen, og hvor meget information der er gemt. Du kan dumpe hukommelsens indhold til en CSV-fil, så du kan søge rundt efter spor eller rygepistol.

Som du kan se, er OSForensics temmelig kraftig software til enhver, der har nogle gange uheldig opgave med at skulle undersøge computersystemet til en, der er anklaget for at have gjort noget galt. Undertiden kan en ordentlig, grundig kriminalteknisk undersøgelse af computeren dukke frem overbevisende beviser, der kan fremstille eller ødelægge en sag.

Har du nogensinde brugt OSForensics? Hvad synes du? Kender du til andre lignende apps, der er lige så gode eller bedre? Del dine tanker i kommentarfeltet nedenfor.

Billedkredit: Peter Hostermann