في هذا الفيديو التفصيلي، قمنا بتغطية تحليل القرص والطب الشرعي باستخدام التشريح. لقد استخرجنا أدلة جنائية حول نظام التشغيل واستخداماته. كان هذا جزءًا من تحليل القرص وتشريح الجثة.
احصل على ملاحظات الطب الشرعي للكمبيوتر
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
What is a Disk Image?
A disk image file is a file that contains a bit-by-bit copy of a disk drive. A bit-by-bit copy saves all the data in a disk image file, including the metadata, in a single file. Thus, while performing forensics, one can make several copies of the physical evidence, i.e., the disk, and use them for investigation. This helps in two ways. 1) The original evidence is not contaminated while performing forensics, and 2) The disk image file can be copied to another disk and analyzed without using specialized hardware.
Disk Forensics Methodology
When performing an investigation on a disk, all we need is to parse the MFT to understand what exactly happened on the disk at the time of the attack: which files were modified, created, hidden, etc. The main advantage of directly parsing the MFT over simply mounting the partition using regular tools (mount on Linux) is to be able to inspect every corner of the sectors allocated to the system. We can thus retrieve deleted files, detect hidden data (Alternate Data Streams), check the MFT’s integrity, inspect bad sectors, get slack space, etc.
Disk Forensics with Autopsy
قبل الغوص في تشريح الجثة وتحليل البيانات، هناك بعض الخطوات التي يجب تنفيذها؛ مثل تحديد مصدر البيانات وإجراءات التشريح التي سيتم تنفيذها مع مصدر البيانات. Basic&workflow:
- قم بإنشاء/فتح الحالة لمصدر البيانات الذي ستحقق فيه
- حدد مصدر البيانات الذي ترغب في تحليله
- قم بتكوين وحدات الاستيعاب لاستخراج عناصر محددة من مصدر البيانات
- قم بمراجعة المصنوعات اليدوية المستخرجة بواسطة وحدات الاستيعاب
- قم بإنشاء التقرير
We start by creating a new case or opening an already saved case. You can do that easily by following the wizard that pops-up once you open the program.
إجابات الغرفة
ما هو اسم حساب الكمبيوتر؟
قائمة بجميع حسابات المستخدمين. (ترتيب ابجدي)
من كان آخر مستخدم قام بتسجيل الدخول إلى جهاز الكمبيوتر؟
ما هو عنوان IP للكمبيوتر؟
ما هو عنوان MAC للكمبيوتر؟ (XX-XX-XX-XX-XX-XX)
قم بتسمية بطاقات الشبكة الموجودة على هذا الكمبيوتر.
ما هو اسم أداة مراقبة الشبكة؟
قام أحد المستخدمين بوضع إشارة مرجعية على موقع على خرائط Google. ما هي إحداثيات الموقع؟
تتم طباعة اسم المستخدم الكامل على خلفية سطح المكتب الخاص به. ما هو الاسم الكامل للمستخدم؟
كان لدى المستخدم ملف على سطح المكتب الخاص به. كان به علم لكنها غيرت العلم باستخدام PowerShell. ما هو العلم الأول؟
وجد نفس المستخدم استغلالًا لتصعيد الامتيازات على الكمبيوتر. ما هي الرسالة لصاحب الجهاز؟
تم العثور على أداتين للاختراق تركزان على كلمات المرور في النظام. ما هي أسماء هذه الأدوات؟ (ترتيب ابجدي)
يوجد ملف YARA على الكمبيوتر. افحص الملف. ما هو اسم المؤلف؟
أراد أحد المستخدمين استغلال وحدة تحكم المجال من خلال استغلال يعتمد على MS-NRPC. ما اسم ملف الأرشيف الذي وجدته؟ (قم بتضمين المسافات في إجابتك)
