Kontrola pochodzenia dowodu (łańcuch dowodowy) Chain of Custody Form



Podobne dokumenty
Memeo Instant Backup Podręcznik Szybkiego Startu

SYSTEMY OPERACYJNE ĆWICZENIE POLECENIA SYSTEMU MSDOS

Ćwiczenie 6. Wiadomości ogólne.

Wstęp do systemu Linux

Archiwum DG 2016 PL-SOFT

Jakie nowości i udogodnienia niesie za sobą przejście do Sidoma 8, część z tych różnic znajdziecie Państwo w tabeli poniżej.

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

PSK. Jak przygotować maszynę wirtualną? 1. Utworzenie maszyny wirtualnej

weblsp Wybór przeglądarki i jej ustawienia Instrukcja ADH-Soft sp. z o.o., ul. 17 Stycznia 74, Warszawa

Podręcznik Użytkownika LSI WRPO

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Moduł 2 Użytkowanie komputerów i zarządzanie plikami wymaga od kandydata znajomości obsługi komputera osobistego.

Skrócona instrukcja funkcji logowania

UŻYTKOWNIK. APLIKACJE UŻYTKOWE (wszelkie programy zawarte domyślnie w systemie operacyjnym jak i samodzielnie zainstalowane przez użytkownika systemu)

Mazowiecki Elektroniczny Wniosek Aplikacyjny

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

DLA WINDOWS 1. USTAWIANIE SKOKU W CZASIE 2.WYBÓR CHRONIONYCH PLIKÓW 3.POWRÓT DO PRZESZŁOŚCI

Kopia zapasowa i odzyskiwanie

Laboratorium - Monitorowanie i zarządzanie zasobami systemu Windows Vista

Nowe notowania epromak Professional

Nowe notowania epromak Professional

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Laboratorium systemów MES. Instrukcja korzystania z środowiska do ćwiczeń laboratoryjnych z zakresu Wonderware MES

7 Business Ship Control dla Symfonia Handel

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

KATEGORIA OBSZAR WIEDZY NR ZADANIA Podstawowe informacje i czynności

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Laboratorium - Monitorowanie i zarządzanie zasobami systemu Windows 7

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Tryb konsolowy ćwiczenie b

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

7 Business Ship Control dla Systemu Zarządzania Forte

Instrukcja instalacji aplikacji Comarch Smart Card ToolBox

Instytut Teleinformatyki

Kopiowanie plików. 1. Z sieci wewnętrznej PK. System Windows

INSTRUKCJA INSTALACJI ORAZ UŻYTKOWANIA PROGRAMU FORMULARZ OFERTOWY

Systemy zarządzania produkcją - MES

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

Laboratorium - Archiwizacja i odzyskiwanie danych w systemie Windows XP

Kopia zapasowa i odzyskiwanie

Zbieranie podstawowych śladów działalności.

Zespół Szkół Technicznych w Suwałkach. Pracownia Systemów Komputerowych. Ćwiczenie Nr 25 ARCHITEKTURA SYSTEMU LINUX. Opracował Sławomir Zieliński

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

System. Konsolidacja danych z biur KIP. Migracja danych o majątku. Autor : Piotr Zielonka tel

System egzaminów elektronicznych Instrukcja do Portalu Egzaminacyjnego i modułu task. Spis treści

SPIS TREŚCI. Sposób pierwszy... 3 Sposób drugi Ikony banków Ikony dostawców Strona1

Aktualizacja oprogramowania sprzętowego aparatu fotograficznego

HP Workspace. Instrukcja obsługi

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Instrukcja uruchomienia egzaminu z użyciem Wirtualnego Serwera Egzaminacyjnego

Aktualizacja oprogramowania sprzętowego cyfrowego aparatu fotograficznego SLR

Laboratorium 16: Udostępnianie folderów

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

INSTRUKCJA OBSŁUGI PROGRAMU DO ODCZYTU PAMIĘCI FISKALNEJ DATECS OPF

Sage Migrator Migracja do wersji Sage Kadry i Płace

Pracownia internetowa w szkole ZASTOSOWANIA

Laboratorium A: Zarządzanie mechanizmami odzyskiwania systemu

CZĘŚĆ A PIERWSZE KROKI Z KOMPUTEREM

Aktualizacje oprogramowania Instrukcja obsługi

Procedura aktualizacji systemu TelkomBud. dla serwera DBfC w wersji 4.x

SERWER AKTUALIZACJI UpServ

Podgląd z rejestratorów IPOX na komputerze z systemem WINDOWS za pomocą programu NVMS-2.0 LITE

Instalacja Wirtualnego Serwera Egzaminacyjnego

Laboratorium - Praca z poleceniami wiersza poleceń w systemie Windows

System operacyjny UNIX Ćwiczenie 1. Podstawowe polecenia systemu Unix

Instrukcja użytkownika systemu S4

Amazis świadczenia rodzinne. Aneks do Instrukcji Obsługi PLATFORMA INFO-R Spółka Jawna

Sieci i systemy operacyjne I Ćwiczenie 1. Podstawowe polecenia systemu Unix

Jak eksportować dane z Arkusza do SIO?

INSTRUKCJA OBSŁUGI BIULETYNU INFORMACJI PUBLICZNEJ

Instrukcja dostępu do Wirtualnych Laboratoriów Logistyczno Spedycyjnych i Magazynowych dla uczniów. Autor: Robert Pawlak

Backup Premium Podręcznik Szybkiego Startu

Instrukcja odzyskiwania dostępu do e-dziennika oraz pozostałych modułów portalu

Licencja SEE Electrical zabezpieczona kluczem lokalnym

Rys. 1. Widok uruchomienia polecenia apt-get install build-essential. Rys. 2. Widok uruchomienia polecenia apt-get install apache2

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

INSTRUKCJA OBSŁUGI V-TERMU LYONESS.

WOJEWÓDZTWO PODKARPACKIE

Instalacja i konfiguracja konsoli ShadowControl

Wiadomości i umiejętności

DESlock+ szybki start

Instalacja aplikacji

Internet wymagania dotyczące konfiguracji

Aktualizacja oprogramowania sprzętowego aparatu fotograficznego

Systemy operacyjne. Instrukcja laboratoryjna. Ćwiczenie 1: Polecenia systemu UNIX/LINUX. Opracował: dr inż. Piotr Szpryngier

Aktualizacja oprogramowania sprzętowego cyfrowego aparatu fotograficznego SLR

Arkusz Optivum. Jak eksportować do SIO dane z Arkusza Optivum?

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

5.2. Pierwsze kroki z bazami danych

MATERIAŁY - udostępnianie materiałów dydaktycznych w sieci SGH

Wstęp. Skąd pobrać program do obsługi FTP? Logowanie

Ćwiczenia Linux konsola

ABA-X3 PXES v Podręczna instrukcja administratora. XDMCP Licencja FDL (bez prawa wprowadzania zmian) Tryb X terminala

Pomoc do programu Oferent

Aktualizacja oprogramowania sprzętowego cyfrowego aparatu fotograficznego SLR

IBM SPSS Modeler Social Network Analysis 16 podręcznik instalowania i konfigurowania

Rozdział 8. Sieci lokalne

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Problemy techniczne. Jak udostępnić dane na potrzeby wykonania usługi wdrożeniowej? Zabezpieczanie plików hasłem

Transkrypt:

Kontrola pochodzenia dowodu (łańcuch dowodowy) Chain of Custody Form Sprawa nr: ISL-EiTI-15Z Identyfikator formularza: ISL_l1_COC3 Strona 1 z 2 Identyfikacja komputera Numer inwentarzowy komputera: Opis: T

Kontrola pochodzenia dowodu (łańcuch dowodowy) Chain of Custody Form Sprawa nr: ISL-EiTI-15Z Identyfikator formularza: ISL_l1_COC3 Strona 2 z 2 Identyfikacja obrazu Numer inwentarzowy obrazu: ISL-EiTI-15Z-obraz01g3-T Utworzony przez: Krzysztof Gołofit Data i godzina: 6 kwietnia 2013, 14:07:42 Metoda utworzenia obrazu: dd Nazwa pliku: obraz01.dd Liczba segmentów: 1 Wartość funkcji skrótu: 9626f91c025ee30bff800643faa01366 Funkcja skrótu: MD5 Nośnik obrazu: folder współdzielony stanowiska roboczego nr T Miejsce zapisania obrazu na nośniku: /media/sf_isldata/dowody/ Numer inwentarzowy dowodu Data i godzina przekazania dowodu Kto Komu Cel przekazania dowodu:

instrukcja Sprawa nr: ISL-EiTi-15Z Strona 1 z 5 Cel ćwiczenia: Czynności wstępne należy udokumentować (opisać) na prowadzonym ręcznie protokole papierowym, zapisując cel i rodzaj czynności, wydane polecenie oraz jego wynik; notować czas rozpoczęcia i zakończenia czynności. Później należy kontynuować dokumentowanie śledztwa w pliku tekstowym utworzonym w punkcie 1.s) instrukcji. 1. Czynności wstępne: a) wypełnić pierwszą część formularza Chain of Custody (Identyfikacja komputera) i potwierdzić przyjęcie stanowiska roboczego od prowadzącego zajęcia (strona pierwsza formularza CoC) b) włączyć monitor, uruchomić komputer, w oknie boot managera XOSL wybrać opcję islubuntu, w menu gruba wybrać pierwszą opcję (Ubuntu), zalogować się do systemu przy pomocy loginu i hasła podanego przez prowadzącego zajęcia; jeżeli dystrybucja zgłasza się w trybie tekstowym, to uruchomić serwer X poleceniem startx c) uruchomić aplikację VirtualBox (z pulpitu lub z menu), wybrać i uruchomić maszynę islubuntu 32b d) w menu gruba wybrać pierwszą opcję, zalogować się do systemu przy pomocy loginu i hasła podanego przez prowadzącego zajęcia; uruchomić serwer X, otworzyć okno konsoli (terminal) e) skontrolować aktualną datę i czas stanowiska roboczego date odnotować i wyjaśnić źródło ewentualnej różnicy pomiędzy czasem stanowiska roboczego a czasem lokalnym (wskazywanym przez własny czasomierz); dalej w protokole posługiwać się czasem stanowiska roboczego f) upewnić się poleceniem mount że folder współdzielony o nazwie ISLdata jest zamontowany do zapisu w punkcie /media/sf_isldata g) upewnić się o zawartości zamontowanego folderu współdzielonego ls /media/sf_isldata -al katalog /media/sf_isldata powinien w tym momencie zawierać jedynie podkatalog dowody i ewentualnie katalogi robocze innych studentów ISL (katalogi o nazwach pochodzących od nazwisk studentów); jeśli tak nie jest, należy poprosić o pomoc prowadzącego zajęcia i skorygować wydane wcześniej polecenia, bo coś poszło nie tak

instrukcja Sprawa nr: ISL-EiTi-15Z Strona 2 z 5 Cel ćwiczenia: h) utworzyć swój katalog roboczy i przejść do niego (w miejsce nazwa_użytkownika należy podstawić swój login dostępu do materiałów dydaktycznych na stronie przedmiotu) mkdir /media/sf_isldata/nazwa_użytkownika cd /media/sf_isldata/nazwa_użytkownika i) utworzyć podkatalog na wyniki śledztwa wykonywanego podczas pierwszego laboratorium i przejść do niego mkdir lab1 cd lab1 j) utworzyć tekstowy plik raportu raport01.txt zapisując do niego strukturę woluminów dysków stanowiska roboczego wyświetlaną poleceniem fdisk fdisk -l > raport01.txt k) utworzony plik raportu otworzyć w wybranym prostym edytorze tekstu (typu Leafpad, Xfwrite ), np. leafpad raport01.txt & i tam kontynuować dokumentowanie śledztwa; używać copy&paste do kopiowania i wklejania do raportu zarówno wydawanych poleceń, jak i ich wyników; nie zapominać o zapisywaniu czasu i opisywaniu celu czynności oraz interpretacji wyników; zalecana struktura protokołowania to: podpunkt instrukcji cel czynności godzina rozpoczęcia i zakończenia lub czas trwania wykonywania czynności wydane polecenie (lub opis czynności pozwalający na jej wierne odtworzenie) wynik czynności (np. to, co jest zwracane przez polecenie) interpretacja wyniku (jeśli potrzebna lub wskazana) Cel czynności i czas jej wykonywania mogą być zamienione miejscami. Wystarczy zapisywać czas z dokładnością do minut (np. 16:48). Aby ułatwić sobie rejestrowanie godziny rozpoczęcia i czasu trwania wykonania poszczególnych poleceń warto każde z nich poprzedzać poleceniem wyświetlenia daty i czasu date && time polecenie np. date && time md5sum obraz.kopia

instrukcja Sprawa nr: ISL-EiTi-15Z Strona 3 z 5 Cel ćwiczenia: Uwaga: pamiętać o częstym zapisywaniu raportu na dysk! Nie zamykać przypadkowo lub przedwcześnie okna konsoli, ponieważ grozi to utratą niezapisanej na dysk części raportu! l) wyświetlić listę plików w katalogu dowody ls /media/sf_isldata/dowody -al w katalogu powinien znajdować się plik obraz01.dd; jeśli tak nie jest, należy to zgłosić prowadzącemu zajęcia, bo coś poszło nie tak m) obliczyć skrót md5 obrazu md5sum /media/sf_isldata/dowody/obraz01.dd i porównać z wartością podaną w formularzu Chain of Custody; czy wartości skrótów są takie same? jeśli nie, zgłosić problem do prowadzącego zajęcia n) wypełnić drugą część formularza Chain of Custody (Identyfikacja obrazu) i potwierdzić przyjęcie obrazu od prowadzącego zajęcia 2. Wykonanie kopii dowodu i sprawdzenie jego integralności a) skopiować obraz nośnika znajdujący się w katalogu /media/sf_isldata/dowody do katalogu roboczego (w tym momencie powinien to być /media/sf_isldata/nazwa_użytkownika/lab1) cp /media/sf_isldata/dowody/obraz01.dd obraz01.kopia i sprawdzić jego istnienie ls -al b) obliczyć skrót md5 kopii obrazu md5sum obraz01.kopia i porównać z wartością podaną w formularzu Chain of Custody; czy wartości skrótów są takie same? jeśli nie, zgłosić problem do prowadzącego zajęcia 3. Zbadać źródło dowodów przy pomocy standardowej przeglądarki: a) zidentyfikować system plików badanego obrazu (kopii dowodu) fsstat obraz01.kopia opisać strukturę i zawartość dowodu na tej podstawie b) utworzyć punkt montowania obrazu mkdir /mnt/obraz c) zamontować obraz w trybie tylko do odczytu mount -o ro,loop,nodev,noexec obraz01.kopia /mnt/obraz

instrukcja Sprawa nr: ISL-EiTi-15Z Strona 4 z 5 Cel ćwiczenia: d) wywołać przeglądarkę plików (typu PCManFM, Xfe ), np. pcmanfm /mnt/obraz & i przejrzeć zawartość obrazu; nic nie widać? upewnić się, że nie ma tam ukrytych plików włączając ich podgląd View->Show Hidden; nie przeglądać pozostałych podkatalogów! e) zamknąć przeglądarkę, odmontować obraz umount /mnt/obraz f) obliczyć skrót MD5 badanej kopii obrazu (czy pozostała niezmieniona?) md5sum obraz01.kopia 4. Odzyskiwanie informacji z obrazu a) w aktualnym katalogu roboczym (powinien być to /media/sf_isldata/nazwa_użytkownika/lab1) wywołać narzędzie PhotoRec photorec /log /d photorec obraz01.kopia i postępować zgodnie z instrukcjami na ekranie (odzyskać pliki z całego obrazu Extract files from whole partition) ; ile plików zostało odzyskanych? b) ponownie wywołać przeglądarkę plików, np. pcmanfm. & odszukać plik photorec.log, otworzyć go z poziomu przeglądarki, przeanalizować jego zawartość i włączyć do raportu; zamknąć plik Uwaga: jeśli w tym lub w kolejnych podpunktach przeglądarka pyta o aplikację służącą do otwarcia pliku, poprosić o wskazówkę prowadzącego zajęcia, czyli uzgodnić z nim tworzone nowe skojarzenie. c) obliczyć skrót MD5 badanej kopii obrazu (czy pozostała niezmieniona?) md5sum obraz01.kopia d) opisać znaleziska znajdujące się w podkatalogu utworzonym przez PhotoRec: dla każdego odzyskanego pliku ustalić, czy rozszerzenie nazwy jest zgodne z zawartością; otworzyć i obejrzeć zawartość plików z poziomu przeglądarki, opisać! e) zamknąć przeglądarkę i wywołać narzędzie foremost w celu odzyskania plików ukrytych w obrazie foremost -i obraz01.kopia -o foremost f) obliczyć skrót MD5 badanej kopii obrazu (czy pozostała niezmieniona?) md5sum obraz01.kopia

instrukcja Sprawa nr: ISL-EiTi-15Z Strona 5 z 5 Cel ćwiczenia: g) znowu wywołać przeglądarkę plików, np. pcmanfm foremost & i przejrzeć zawartość podkatalogu (z zagłębieniami), odszukać plik audit.txt, otworzyć go, przeanalizować i włączyć do raportu, opisać znaleziska tak jak w punkcie 4.d) h) porównać wyniki uzyskane przez oba narzędzia zidentyfikować identyczne pliki, zaznaczyć różnice; przydatne może być rekurencyjne wywołanie md5sum, np. find. -type f -exec md5sum {} + sort lub wywołanie md5deep md5deep -r. sort i) zamknąć przeglądarkę 5. (opcjonalnie) Odzyskiwanie plików z własnego nośnika w uzgodnieniu i pod nadzorem prowadzącego zajęcia 6. Czynności końcowe a) przejrzeć i ostatecznie zapisać plik raportu, zamknąć edytor tekstowy, obliczyć wartość skrótu md5 raportu md5sum raport01.txt b) obliczoną wartość przepisać ręcznie przepisać do papierowego protokołu c) zamknąć wszystkie nadmiarowe otwarte okna aplikacji i konsoli oprócz jednego (w ścieżce prowadzącej do własnego podkatalogu lab1), zgłosić do prowadzącego zakończenie badania i asystować mu przy zabezpieczaniu zebranych dowodów; fakt przekazania wyników odnotować w formularzu Chain of Custody d) zakończyć śledztwo w środowisku wirtualnym wydając polecenie poweroff i przekazać prowadzącemu komputer w stanie włączonym, z otwartą aplikacją VirtualBox nie zamykać systemu hosta i nie wyłączać komputera! e) fakt przekazania prowadzącemu komputera (z obrazem) odnotować w formularzu Chain of Custody

ocena pracy śledczego Sprawa nr: ISL-EiTI-15Z Miejsce i data: 324 GE Cel badania: śledczego: Opis komputerowego stanowiska roboczego Dokumentowanie czasu Struktura i czytelność Kompletność i rzetelność (prawdziwość) Wejściówka Błędy formalne Braki w odwołaniach do instrukcji laboratoryjnej Nagroda za opcjonalne odzyskanie plików z własnego nośnika Inne uwagi: 0 1,5 pkt. 0 1,5 pkt. 0 3 pkt. 0 4 pkt. -1 pkt za każdą błędną odpowiedź -0,25 pkt. za każdy błąd do -1 pkt. 0 2 pkt. Ocena: Dnia:

Laboratorium 1 Protokół z badania dowodów Sprawa nr: ISL-EiTI-15Z Miejsce: 324 GE Data: Strona 1 z śledczego: Cel badania: Numer inwentarzowy komputera: Numer inwentarzowy obrazu: Badanie przeprowadzane w oparciu o instrukcję laboratoryjną Informatyka śledcza instrukcja w załączeniu * / plik ISL_l1_instrukcja.pdf pobrany ze strony https://studia.elka.pw.edu.pl/priv/15z/isl.a/index.html w dniu * (* niepotrzebne skreślić) Lp. Godzina Opis badania 1. Czynności wstępne Podpis śledczego:

Laboratorium 1 Protokół z badania dowodów Sprawa nr: ISL-EiTI-15Z Miejsce: 324 GE Data: Strona 2 z śledczego: Lp. Godzina Opis badania Podpis śledczego:

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres