In diesem Video-Walkthrough haben wir die Festplattenanalyse mit Autopsy behandelt. Wir haben eine forensische Analyse der Festplatte durchgeführt, um Artefakte zu extrahieren. Das Szenario stammt aus TryHackMe Autopsy Zimmer.
Erfahren Sie, wie Sie mit Autopsy Artefakte aus einem Disk-Image untersuchen. Nutzen Sie Ihr Wissen, um einen Mitarbeiter zu untersuchen, der beschuldigt wird, private Unternehmensdaten weitergegeben zu haben.
Notizen zur Computerforensik abrufen
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Highlights
Autopsy ist eine Open-Source-Plattform für die digitale Forensik. Mehrere Funktionen von Autopsy wurden mit Mitteln des Department of Homeland Security Science and Technology entwickelt. Weitere Informationen finden Sie hier. Hier.
Die offizielle Beschreibung: “Autopsy ist die führende Open-Source-Forensikplattform, die schnell und benutzerfreundlich ist und alle Arten von Mobilgeräten und digitalen Medien analysieren kann. Die Plug-in-Architektur ermöglicht die Erweiterung durch von der Community entwickelte oder individuell erstellte Module. Autopsy wird weiterentwickelt, um den Anforderungen von Hunderttausenden von Fachleuten in den Bereichen Strafverfolgung, nationale Sicherheit, Prozessunterstützung und Unternehmensermittlung gerecht zu werden.”
Bevor Sie mit der Autopsy-Analyse beginnen und die Daten analysieren, müssen Sie einige Schritte ausführen, z. B. die Datenquelle identifizieren und herausfinden, welche Autopsy-Aktionen mit der Datenquelle durchgeführt werden sollen.
Basic Arbeitsablauf:
- Erstellen/öffnen Sie den Fall für die Datenquelle, die Sie untersuchen möchten
- Wählen Sie die Datenquelle aus, die Sie analysieren möchten
- Konfigurieren Sie die Aufnahmemodule, um bestimmte Artefakte aus der Datenquelle zu extrahieren
- Überprüfen Sie die von den Aufnahmemodulen extrahierten Artefakte
- Erstellen des Berichts
Autopsy kann mehrere Disk-Image-Formate analysieren. Bevor wir uns mit der Datenanalyse befassen, wollen wir kurz die verschiedenen Datenquellen besprechen, die Autopsy analysieren kann. Sie können Datenquellen hinzufügen, indem Sie „Datenquelle hinzufügen“ Schaltfläche. Die verfügbaren Optionen sind in der Abbildung unten dargestellt.
Unterstützte Disk-Image-Formate:
- Rohe Single (Zum Beispiel: *.img, *.dd, *.raw, *.bin)
- Rohspalte (Zum Beispiel: *.001, *.002, *.aa, *.ab usw.)
- Umhüllen (Zum Beispiel: *.e01, *.e02 usw.)
- Virtuelle Maschinen (Beispiel: *.vmdk, *.vhd)
Wenn mehrere Bilddateien vorhanden sind (z. B. E01, E02, E03 usw.), müssen Sie bei Autopsy nur auf die erste Bilddatei verweisen und Autopsy erledigt den Rest.
Antworten auf die Fragen
Wie hoch ist die Anzahl der erkannten „entfernten“ Dateien?
Wie lautet der Dateiname im Abschnitt „Interessante Dateien“?
Wie lautet der vollständige Name der Betriebssystemversion?
Wie viel Prozent des Laufwerks sind Dokumente? Berücksichtigen Sie bei Ihrer Antwort auch die %-Angaben.
Erstellen Sie einen HTML-Bericht wie in der Aufgabe gezeigt und zeigen Sie den Abschnitt „Fallzusammenfassung“ an.
Wie lautet die Auftragsnummer des Moduls „Interesting Files Identifier“?
An welchem Datum sind die meisten Dateiereignisse aufgetreten? (MONAT TT, JJJJ)
Wie lautet der Name eines installierten Programms mit der Versionsnummer 6.2.0.2962?
Ein Benutzer hat einen Kennworthinweis. Welchen Wert hat dieser?
Auf zahlreiche GEHEIME Dateien wurde von einem Netzlaufwerk zugegriffen. Wie lautete die IP-Adresse?
Welcher Websuchbegriff hat die meisten Einträge?
Was war die am 25.03.2015 um 21:46:44 Uhr durchgeführte Websuche?
Welche Binärdatei wird als interessante Datei aufgeführt?
An welchem Datum sind die meisten Dateiereignisse aufgetreten? (MONAT TT, JJJJ)
Video-Anleitung
