In questa procedura video dettagliata abbiamo trattato l'analisi del disco con l'autopsia. Abbiamo eseguito analisi forensi sul disco per estrarre artefatti. Lo scenario è tratto da Prova HackMe Autopsia camera.
Scopri come utilizzare Autopsy per indagare sugli artefatti da un'immagine disco. Usa le tue conoscenze per indagare su un dipendente accusato di aver divulgato dati aziendali privati.
Ottieni appunti di informatica forense
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Video in evidenza
Autopsy è una potente piattaforma forense digitale open source. Diverse funzionalità all'interno di Autopsy sono state sviluppate dal finanziamento scientifico e tecnologico del Dipartimento per la sicurezza nazionale. Puoi leggere di più a riguardo Qui.
La descrizione ufficiale: “Autopsy è la principale piattaforma forense open source, veloce, facile da usare e in grado di analizzare tutti i tipi di dispositivi mobili e media digitali. La sua architettura plug-in consente l'estensibilità da moduli sviluppati dalla comunità o personalizzati. L'autopsia si evolve per soddisfare le esigenze di centinaia di migliaia di professionisti nel campo delle forze dell'ordine, della sicurezza nazionale, del supporto ai contenziosi e delle indagini aziendali.”
Prima di immergersi nell'autopsia e analizzare i dati, è necessario eseguire alcuni passaggi; come identificare l'origine dati e quali azioni di autopsia eseguire con l'origine dati.
Di base flusso di lavoro:
- Crea/apri il caso per l'origine dati su cui esaminerai
- Seleziona l'origine dati che desideri analizzare
- Configura i moduli di acquisizione per estrarre artefatti specifici dall'origine dati
- Esamina gli artefatti estratti dai moduli di acquisizione
- Creare il rapporto
L'autopsia può analizzare più formati di immagine del disco. Prima di immergerci nella fase di analisi dei dati, esaminiamo brevemente le diverse fonti di dati che Autopsy può analizzare. È possibile aggiungere origini dati utilizzando il file "Aggiungi origine dati" pulsante. Le opzioni disponibili sono mostrate nell'immagine qui sotto.
Formati immagine disco supportati:
- Singolo crudo (Ad esempio: *.img, *.dd, *.raw, *.bin)
- Divisione cruda (Ad esempio: *.001, *.002, *.aa, *.ab, ecc.)
- EnCase (Ad esempio: *.e01, *.e02, ecc.)
- Macchine virtuali (Ad esempio: *.vmdk, *.vhd)
Se sono presenti più file immagine (ei E01, E02, E03, ecc.), Autopsy richiede solo che tu punti al primo file immagine e Autopsy gestirà il resto.
Risposte alle domande
Qual è il numero dei file “rimossi” rilevati?
Qual è il nome del file che si trova nella sezione "File interessanti"?
Qual è il nome completo della versione del sistema operativo?
Quale percentuale dell'unità è composta da documenti? Includi % nella tua risposta.
Genera un report HTML come mostrato nell'attività e visualizza la sezione "Riepilogo caso".
Qual è il numero di lavoro del modulo "Interesting Files Identifier"?
In quale data si è verificata la maggior parte degli eventi relativi ai file? (MESE GG, AAAA)
Qual è il nome di un programma installato con il numero di versione 6.2.0.2962?
Un utente ha un suggerimento per la password. Qual è il valore?
È stato effettuato l'accesso a numerosi file SEGRETI da un'unità di rete. Qual era l'indirizzo IP?
Quale termine di ricerca web ha più voci?
Qual è stata la ricerca sul Web effettuata il 25/03/2015 alle 21:46:44?
Quale binario è elencato come file interessante?
In quale data si è verificata la maggior parte degli eventi relativi ai file? (MESE GG, AAAA)
Videoguida
