In questa procedura dettagliata video abbiamo trattato l'analisi del disco e l'analisi forense utilizzando l'autopsia. Abbiamo estratto reperti forensi sul sistema operativo e sugli utilizzi. Questo faceva parte Analisi del disco e autopsia.

Ottieni appunti di informatica forense

Il corso pratico completo sul Penetration Testing delle applicazioni Web

What is a Disk Image?

A disk image file is a file that contains a bit-by-bit copy of a disk drive. A bit-by-bit copy saves all the data in a disk image file, including the metadata, in a single file. Thus, while performing forensics, one can make several copies of the physical evidence, i.e., the disk, and use them for investigation. This helps in two ways. 1) The original evidence is not contaminated while performing forensics, and 2) The disk image file can be copied to another disk and analyzed without using specialized hardware.

Disk Forensics Methodology

When performing an investigation on a disk, all we need is to parse the MFT to understand what exactly happened on the disk at the time of the attack: which files were modified, created, hidden, etc. The main advantage of directly parsing the MFT over simply mounting the partition using regular tools (mount on Linux) is to be able to inspect every corner of the sectors allocated to the system. We can thus retrieve deleted files, detect hidden data (Alternate Data Streams), check the MFT’s integrity, inspect bad sectors, get slack space, etc.

Disk Forensics with Autopsy

Prima di immergersi nell'autopsia e analizzare i dati, è necessario eseguire alcuni passaggi; come identificare l'origine dati e quali azioni di autopsia eseguire con l'origine dati. 
Basic&workflow:

  1. Crea/apri il caso per l'origine dati su cui esaminerai
  2. Seleziona l'origine dati che desideri analizzare
  3. Configura i moduli di acquisizione per estrarre artefatti specifici dall'origine dati
  4. Esamina gli artefatti estratti dai moduli di acquisizione
  5. Creare il rapporto
    We start by creating a new case or opening an already saved case. You can do that easily by following the wizard that pops-up once you open the program.

Risposte in camera

Qual è l'hash MD5 dell'immagine E01?

Qual è il nome dell'account del computer?

Elenca tutti gli account utente. (ordine alfabetico)

Chi è stato l'ultimo utente ad accedere al computer?

Qual era l'indirizzo IP del computer?

Qual era l'indirizzo MAC del computer? (XX-XX-XX-XX-XX-XX)

Dai un nome alle schede di rete su questo computer.

Qual è il nome dello strumento di monitoraggio della rete?

Un utente ha aggiunto ai preferiti una posizione di Google Maps. Quali sono le coordinate della posizione?

Un utente ha il suo nome completo stampato sullo sfondo del desktop. Qual è il nome completo dell'utente?

Un utente aveva un file sul desktop. Aveva un flag ma ha cambiato il flag utilizzando PowerShell. Qual è stata la prima bandiera?

Lo stesso utente ha trovato un exploit per aumentare i privilegi sul computer. Qual era il messaggio per il proprietario del dispositivo?

Nel sistema sono stati trovati 2 strumenti di hacking incentrati sulle password. Come si chiamano questi strumenti? (ordine alfabetico)

C'è un file YARA sul computer. Ispezionare il file. Qual è il nome dell'autore?

Uno degli utenti voleva sfruttare un controller di dominio con un exploit basato su MS-NRPC. Qual è il nome del file dell'archivio che hai trovato? (includi gli spazi nella risposta)

Videoguida

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli