Onderzoek of los computersystemen op met OSForensics [Windows]

Advertentie

Of het nu gaat om de FBI die graaft in een computer die eigendom is van een hacker, een bedrijf dat een interne computeraudit uitvoert of een netwerkbeheerder die probeert erachter te komen waarom een ​​virus afkomstig is van een bepaalde pc - het komt erop neer dat een grondige pc-forensische analyse software vereist die diep kan graven en het werk kan doen Rechtsaf.

In mijn eigen ervaringen is het zeldzaam dat u gratis software kunt vinden die hiermee goed werkt. De meeste politiediensten over de hele wereld kopen dure software voor hun computer forensisch apparaat.

Maar daar zijn gratis computerproblemen oplossen en repareren tools, zoals de apps voor gegevensherstel 3 Opmerkelijke hulpmiddelen voor bestandsherstel Lees verder Guy behandelde en Net Tools 2008, een admin-tool die Karl behandelde. Nog een gratis tool die net zo krachtig en capabel is als veel betaalde forensische softwarepakketten voor computers, staat bekend als OSForensics.

Een forensische analyse uitvoeren

De beste manier om een ​​computersysteem van boven naar beneden te analyseren en problemen op te lossen, is op een langzame en methodische manier. Het mooie van OSForensics is dat het een virtuele aktetas is waarin je al het werk dat je doet kunt opslaan. Als u meerdere computers heeft waaraan u werkt, kunt u deze software op uw werk-pc instellen en vervolgens de harde schijf van de externe pc in kaart brengen voor analyse. Met de software kun je een 'case' opslaan voor elke computer waaraan je werkt.

Zoals je kunt zien op de afbeelding hierboven, staan ​​alle tools in de linker menubalk. Het enige dat u hoeft te doen, is naar beneden te werken als u niet zeker weet waar u moet beginnen. Als u een meer gefocust doel in gedachten heeft, ga dan verder naar het gebied van de pc dat u nader wilt onderzoeken. Een van de beste tools voor ondersteunend personeel dat een virus of trojan-bestand wil identificeren, is “hash sets.”

In dit gebied kunt u specifieke toepassingen analyseren die u definieert, niet alleen bestanden. Elke applicatie heeft een set bestanden die u kunt bekijken wanneer u dubbelklikt op de app. De Hash Set Viewer-displays hebben allemaal berekeningen voor elk bestand.

De volgende beschikbare tool is de mogelijkheid om een ​​'handtekening' te maken. Dit is handig voor een lange termijn onderzoek, wanneer het vermoeden bestaat dat bepaalde activiteiten plaatsvinden op een specifieke locatie op de computer.

U kunt een handtekening maken die een momentopname van bestanden en mappen maakt. Dan kunt u de "handtekening vergelijken”Tool om te controleren of er enkele weken of een maand later wijzigingen zijn aangebracht. De software wordt ook geleverd met een hulpprogramma voor het zoeken naar bestanden, waarmee u resultaten kunt filteren op afbeeldingen, kantoordocumenten of gecomprimeerde bestanden.

Sterker nog, je kunt de unieke en zeer nuttige "Zoeken naar niet-overeenkomende bestanden”Tool om verdachte mappen te doorzoeken en bestanden te identificeren die de pc-eigenaar mogelijk een andere naam heeft gegeven, om de ware identiteit van het bestand te verdoezelen. Bijvoorbeeld het hernoemen van een afbeeldingsbestand met de extensie "txt" of een geclassificeerd document met de extensie ".jpg".

Terug naar het gebruik van de hash-aanpak voor bestandsanalyse, de "Verifieer / maak hashMet het hulpprogramma kunt u een bekende hash-waarde voor een bestand vergelijken (wat de waarde heeft zou moeten be), en de berekende hash-waarde voor het bestand op deze computer.

Een ander gebied waar deze software echt uitblinkt in forensische analyse, is de mogelijkheid om zeer snel duizenden bestanden te doorzoeken om specifieke tekstzoekwoorden te identificeren. De eerste stap om het proces te versnellen, is door een index te maken voor elke map op de computer. Als het klaar is, wordt het aantal unieke woorden in alle bestanden gerapporteerd.

Als het klaar is, gebruikt u gewoon de "Zoekindex"Tool om door bestanden, afbeeldingen en e-mails te bladeren om de specifieke gebeurtenis of inhoud die u zoekt op te sporen.

Een andere computer forensische tool die de meeste Windows-gebruikers zullen herkennen, is de "Recente activiteit”Tool. Hoewel het lijkt op de "Recente documenten”Tool, dit hulpprogramma graaft eigenlijk een stuk dieper, doorzoekt MRU-records, USB-records, cookies, downloads en meer. De eigenaar heeft misschien al geprobeerd de pc op te schonen, maar veel mensen begrijpen niet alle plaatsen waar activiteit wordt geregistreerd, dus deze tool kan alle resterende sporen van die activiteit vinden.

Een andere erg leuke functie is de "Zoeken naar verwijderde bestanden”Tool waarmee u door de records kunt bladeren voor enige indicatie van dubieuze recentelijk verwijderde bestanden. Ik heb gemerkt dat deze specifieke functie niet onfeilbaar is. Het probeert sporenelementen van verwijderde bestanden te identificeren, maar dit lukt niet altijd.

Eindelijk, als je echt wanhopig op zoek bent naar een restant bewijsmateriaal voor een misdaad, moet je misschien de "geheugen kijker" voor een rit. Deze computer forensische app toont alle adressen van het harde geheugen en hoeveel informatie is opgeslagen. U kunt de inhoud van het geheugen naar een CSV-bestand dumpen, zodat u rond kunt neuzen voor aanwijzingen of een rokend pistool.

Zoals je kunt zien, is OSForensics behoorlijk krachtige software voor iedereen die het wel eens heeft ongelukkige taak om het computersysteem van iemand die ervan beschuldigd wordt te moeten onderzoeken er is iets mis. Soms kan een goed, grondig forensisch onderzoek van de computer overtuigend bewijs opleveren dat een zaak kan maken of breken.

Heb je ooit OSForensics gebruikt? Wat denk je? Kent u andere soortgelijke apps die net zo goed of beter zijn? Deel uw mening in de opmerkingen hieronder.

Afbeelding tegoed: Peter Hostermann