In diesem Video-Walkthrough haben wir die Festplattenanalyse und Forensik mit Autopsy behandelt. Wir haben forensische Artefakte über das Betriebssystem und seine Verwendung extrahiert. Dies war Teil von Datenträgeranalyse und -autopsie.

Notizen zur Computerforensik abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

What is a Disk Image?

A disk image file is a file that contains a bit-by-bit copy of a disk drive. A bit-by-bit copy saves all the data in a disk image file, including the metadata, in a single file. Thus, while performing forensics, one can make several copies of the physical evidence, i.e., the disk, and use them for investigation. This helps in two ways. 1) The original evidence is not contaminated while performing forensics, and 2) The disk image file can be copied to another disk and analyzed without using specialized hardware.

Disk Forensics Methodology

When performing an investigation on a disk, all we need is to parse the MFT to understand what exactly happened on the disk at the time of the attack: which files were modified, created, hidden, etc. The main advantage of directly parsing the MFT over simply mounting the partition using regular tools (mount on Linux) is to be able to inspect every corner of the sectors allocated to the system. We can thus retrieve deleted files, detect hidden data (Alternate Data Streams), check the MFT’s integrity, inspect bad sectors, get slack space, etc.

Disk Forensics with Autopsy

Bevor Sie mit der Autopsy-Analyse beginnen und die Daten analysieren, müssen Sie einige Schritte ausführen, z. B. die Datenquelle identifizieren und herausfinden, welche Autopsy-Aktionen mit der Datenquelle durchgeführt werden sollen. 
Basic&workflow:

  1. Erstellen/öffnen Sie den Fall für die Datenquelle, die Sie untersuchen möchten
  2. Wählen Sie die Datenquelle aus, die Sie analysieren möchten
  3. Konfigurieren Sie die Aufnahmemodule, um bestimmte Artefakte aus der Datenquelle zu extrahieren
  4. Überprüfen Sie die von den Aufnahmemodulen extrahierten Artefakte
  5. Erstellen des Berichts
    We start by creating a new case or opening an already saved case. You can do that easily by following the wizard that pops-up once you open the program.

Raumantworten

Was ist der MD5-Hash des E01-Bildes?

Wie lautet der Computerkontoname?

Listen Sie alle Benutzerkonten auf. (alphabetische Reihenfolge)

Wer hat sich als letzter Benutzer am Computer angemeldet?

Wie lautete die IP-Adresse des Computers?

Wie lautete die MAC-Adresse des Computers? (XX-XX-XX-XX-XX-XX)

Benennen Sie die Netzwerkkarten auf diesem Computer.

Wie heißt das Netzwerküberwachungstool?

Ein Benutzer hat einen Standort in Google Maps als Lesezeichen gespeichert. Wie lauten die Koordinaten des Standorts?

Auf dem Desktop-Hintergrund eines Benutzers ist sein vollständiger Name angegeben. Wie lautet der vollständige Name des Benutzers?

Eine Benutzerin hatte eine Datei auf ihrem Desktop. Sie hatte eine Markierung, aber sie hat die Markierung mit PowerShell geändert. Was war die erste Markierung?

Derselbe Benutzer hat einen Exploit gefunden, um die Rechte auf dem Computer zu erhöhen. Was war die Nachricht an den Gerätebesitzer?

Im System wurden 2 Hack-Tools gefunden, die sich auf Passwörter konzentrierten. Wie heißen diese Tools? (alphabetische Reihenfolge)

Auf dem Computer befindet sich eine YARA-Datei. Untersuchen Sie die Datei. Wie heißt der Autor?

Einer der Benutzer wollte einen Domänencontroller mit einem MS-NRPC-basierten Exploit ausnutzen. Wie lautet der Dateiname des Archivs, das Sie gefunden haben? (Bitte berücksichtigen Sie die Leerzeichen in Ihrer Antwort.)

Video-Anleitung

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen