Форензика. Часть 2
Машина
Нашим основным форензик-дистрибутивом, содержащим пак со всеми необходимыми утилитами, будет легендарный BackTrack. В качестве анализируемой машины мы используем образ с установленной Windows XP. BackTrack рекомендуется запускать как хостовую ОС, а для XP вполне можно довольствоваться бесплатными Oracle VirtualBox или VMware Player.
Кейс 1. Поиск и восстановление удаленного файла JPEG с помощью Autopsy
Суть данного кейса в том, чтобы найти артефакты удаленного файла (JPEG-картинка) на жёстком диске целевой машины и восстановить его в другую директорию для дальнейшего изучения.
Основным инструментом для нас в этой задачке будет Autopsy - это цифровая платформа для проведения форензик-процедур и одновременно графический интерфейс для CLI-версии известного кита The Sleuth Kit. В частности, программа позволяет анализировать дисковые устройства, находить и восстанавливать файлы, извлекать EXIF из картинок, находить и просматривать отдельные видеофрагменты. Более подробная информация об инструменте доступна здесь, а также ещё здесь.
Итак, начнём.
Первым делом запускаем BackTrack с GUI-интерфейсом. Открываем браузер и по указанной ссылке скачиваем архив JPEG Search Test #1, дополнительную информацию по файлу можно почитать тут. После жмем Ctrl + T и в появившемся окне терминала выполняем следующие команды.
Создаём директории:
# mkdir -p /var/forensics/images # ls -ld /var/forensics/images
Распакуем наш архив:
# cd /var/forensics/images # ls -lrta # unzip 8-jpeg-search.zip # cd 8-jpeg-search # ls -lrta
И продолжаем набирать команды в терминале:
# cd /var/forensics/images/8-jpeg-search # ls -l # md5sum 8-jpeg-search.dd
Теперь нужно посчитать хеш-сумму файла в md5sum.
После этого запускаем в GUI-оболочке нашу тулзу: Applications → BackTrack → Forensics → Forensic Suites → setup Autopsy. После появления окна на вопрос Have you purchased or downloaded a copy of the NSRL (y/n) жмём n. Затем переходим в /pentest/forensics/autopsy и запускаем скрипт ./autopsy. Скрипт стартует локальный web-сервер с интерфейсом для работы с Autopsy.
Как написано в тексте, мы открываем в браузере адрес http://localhost:9999/autopsy. После этого перед нами во всей красе предстает HTML-оболочка нашего инструмента. Всё, что нам нужно- это создать «новый кейс», ввести имя хоста, название кейса, другую дополнительную информацию и сохранить получившийся шаблон.
Переходим в терминал и выполняем команды
# cd /var/forensics/images/8-jpeg-search # ls -l # ls $PWD/8-jpeg-search.dd
Копируем строчку
/var/forensics/images/8-jpeg-search/8-jpeg-search.dd
Далее возвращаемся в браузер и жмём «Добавить локацию/картинку».
После этого традиционно смело нажимаем кнопку Next и на новой странице мастера щелкаем вариант Partition.
На следующем шаге нам нужно сделать три действия, а именно щёлкнуть Ignore the hash value for this image, указать в качестве литеры диска С и тип файловой системы NTFS.
В конце пошагового мастера нажимаем единственную кнопку Calculate.
Наш следующий шаг связан с анализом файла, определением его структуры и содержания. Процесс запускается по кнопке Analysis.
После нескольких секунд ожидания перед нами появится небольшой отчёт о проанализированном файле - File information и Metadata information.
В качестве результата мы увидим окно со списком удалённых файлов и кое-какой дополнительной информацией.
