Postępowanie z dowodami cyfrowymi.



Podobne dokumenty
Archiwum DG 2016 PL-SOFT

Zarządzanie partycjami

3D Analyst. Zapoznanie się z ArcScene, Praca z danymi trójwymiarowymi - Wizualizacja 3D drapowanie obrazów na powierzchnie terenu.

Laboratorium : Tworzenie partycji w Windows XP Pro

Moduł 2 Użytkowanie komputerów i zarządzanie plikami wymaga od kandydata znajomości obsługi komputera osobistego.


Windows Commander (WinCmd)

Laboratorium 16: Udostępnianie folderów

Sigma moduł Arkusz. Jak na podstawie danych zgromadzonych w arkuszu przygotować różne zestawienia i dokumenty?

Jak przeglądać publikacje w formacie DjVu?

Na komputerach z systemem Windows XP zdarzenia są rejestrowane w trzech następujących dziennikach: Dziennik aplikacji

Aby uruchomić Multibooka, należy podłączyć nośnik USB do gniazda USB w komputerze, na którym program ma być używany.

Instalowanie certyfikatów celem obsługi pracy urządzenia SIMOCODE pro V PN z poziomu przeglądarki internetowej w systemie Android

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Moduł Handlowo-Magazynowy Przeprowadzanie inwentaryzacji z użyciem kolektorów danych

Wpisany przez Łukasz Nawrotek Poniedziałek, 20 Październik :57 - Zmieniony Poniedziałek, 20 Październik :02

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Memeo Instant Backup Podręcznik Szybkiego Startu

Moduł 1 Pliki i foldery

Agenda warsztatów z informatyki śledczej (5 dni)

Problemy techniczne. Jak umieszczać pliki na serwerze FTP?

Laboratorium - Utwórz partycję w Windows 7

Partition Wizard Home Edition Aplikacja przeznaczona do partycjonowania dysków twardych, obsługująca również macierze RAID oraz dyski o pojemności

Zasoby dyskowe: Eksplorator Windows Z zasobami dyskowymi związane są nierozłącznie prawa dostępu gwarantujące możliwość odczytu, kasowania,

OPERACJE NA PLIKACH I FOLDERACH

Moduł Handlowo-Magazynowy Zaawansowane analizy sprzedaży i zakupu

Grażyna Koba. Grafika komputerowa. materiały dodatkowe do podręcznika. Informatyka dla gimnazjum

KATEGORIA OBSZAR WIEDZY NR ZADANIA Podstawowe informacje i czynności

1.1.3 Praca online. Chcąc edytować plik mamy dwie możliwości korzystając z pełnej aplikacji (1) lub z wersji w przeglądarce (2).

Laboratorium - Tworzenie partycji w Windows XP

Zespół Szkół Technicznych w Suwałkach. Pracownia Systemów Komputerowych. Ćwiczenie Nr 4. SYSTEMY PLIKÓW cz. I. Opracował Sławomir Zieliński

Grzegorz Cygan. Zarządzanie prawami plików i folderów w systemie operacyjnym Windows z systemem plików NTFS

Korzystanie z aplikacji P-touch Transfer Manager

Pakiet AutoRun Menu. Sławomir Pogodziński. Podyplomowe Studium Programowania i Zastosowań Komputerów

W dowolnej przeglądarce internetowej należy wpisać poniższy adres:

Sigma moduł Arkusz. Jak na podstawie danych zgromadzonych w arkuszu przygotować różne zestawienia i dokumenty?

Uczniowie, którzy nie ukończyli szkoły, nie otrzymują świadectwa. Fakt nieukończenia szkoły odnotowuje się jedynie w arkuszu ocen.

SYSTEMY OPERACYJNE ĆWICZENIE POLECENIA SYSTEMU MSDOS

DLA WINDOWS 1. USTAWIANIE SKOKU W CZASIE 2.WYBÓR CHRONIONYCH PLIKÓW 3.POWRÓT DO PRZESZŁOŚCI

Laboratorium - Utwórz partycję w Windows Vista

Instrukcja użytkownika STUDENTA AKADEMICKIEGO SYSTEMU ARCHIWIZACJI PRAC

INSTRUKCJA EDYCJI PROFILU OSOBOWEGO W SERWISIE

Podręcznik użytkownika programu. Ceremonia 3.1

UONET+ - moduł Sekretariat

Windows 10 - Jak uruchomić system w trybie

e-podręcznik dla seniora... i nie tylko.

Archiwizowanie nagrań i naprawa bazy danych

Instrukcja Użytkownika (Studenta) Akademickiego Systemu Archiwizacji Prac

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Instrukcja wgrywania aktualizacji oprogramowania dla routera Edimax LT-6408n

1. Pobieranie i instalacja FotoSendera

PAMIĘĆ OPERACYJNA...107

Jak rozpocząć pracę? Mapa

Tworzenie prezentacji multimedialnej Microsoft PowerPoint

Kopiowanie, przenoszenie plików i folderów

Wersja polska. Wstęp. Instalacja software. MP508FMV2 Sweex Black Onyx MP4 Player

MODELER MODUŁ KOREKCJI DYSTORSJI SOCZEWKI WERSJA ZEWNĘTRZNA UPROSZCZONA INSTRUKCJA OBSŁUGI PROGRAMU

Instrukcja aktualizacji oprogramowania (firmware) serwera DESKTOP 1.0 systemu F&Home RADIO.

Prezentacja multimedialna MS PowerPoint 2010 (podstawy)

Archive Player Divar Series. Instrukcja obsługi

INSTRUKCJA OTWIERANIA PLIKU DPT (data point table)

Laboratorium 8 ( Android -pierwsza aplikacja)

Instrukcja aktualizacji oprogramowania (firmware) serwera DIN2 systemu F&Home RADIO.

Skrócony przewodnik OPROGRAMOWANIE PC. MultiCon Emulator

Paragon HFS+ for Windows

OTOsuite. Podręcznik instalacji. Polski. Wersja 4.75

Program nazywa się: unetbootin

BEZPRZEWODOWA KAMERA INTERNETOWA USB 2.0

Obsługa Panelu Menadżera

Ćwiczenie Zmiana sposobu uruchamiania usług

Wprowadzanie danych organizacyjnych szkoły

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2017 CZĘŚĆ PRAKTYCZNA

Informatyka Edytor tekstów Word 2010 dla WINDOWS cz.1

Spis treści. S t r o n a 2

ArCADia-3D MAKER. Podręcznik użytkownika dla programu ArCADia- 3D MAKER

JAK ZAKŁADAĆ FOLDERY W DROPBOX

Włączanie/wyłączanie paska menu

Temat: Kopiowanie katalogów (folderów) i plików pomiędzy oknami

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: Wydanie: Podpis cyfrowy. Spis treści... 1

Zadania systemu operacyjnego. Operacje na plikach i folderach.

Wymagania edukacyjne z przedmiotu informatyka dla klasy IV

Przydziały (limity) pojemności dyskowej

ArCADia-3D VIEWER. Podręcznik użytkownika dla programu ArCADia- 3D VIEWER

Instrukcja obsługi programu CMS Dla rejestratorów HANBANG

DWM-157. Modem USB HSPA+ Podręcznik użytkownika


ApSIC Xbench: Szybki start wydanie Mariusz Stępień

FS-Sezam SQL. Obsługa kart stałego klienta. INFOLINIA : tel. 14/ , kom. 608/ edycja instrukcji :

ArCADia-3D MAKER. Podręcznik użytkownika dla programu ArCADia- 3D MAKER

Przeglądanie zdjęć satelitarnych Sentinel-2

Kontrola pochodzenia dowodu (łańcuch dowodowy) Chain of Custody Form

Instrukcja importu deklaracji pacjentów. do dreryka

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

MultiBoot Instrukcja obsługi

Jako lokalizację, w której będzie kontynuowana praca w przyszłym roku szkolnym, warto wybrać tę, w której zgromadzonych jest więcej danych.

Instrukcja aktualizacji oprogramowania (firmware) serwera DESKTOP 2.0 systemu F&Home RADIO.

IBM SPSS Modeler Social Network Analysis 16 podręcznik instalowania i konfigurowania

Wspólne Zaawansowana tabela

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2019 CZĘŚĆ PRAKTYCZNA

Transkrypt:

Zwalczanie Laboratorium 6. Postępowanie z dowodami cyfrowymi. Typowym dowodem cyfrowym jest dysk zajętego komputera. Badanie zawartości dysku może odbywać się na dwa sposoby: bezpośrednio poprzez analizę dysku lub poprzez analizę obrazu dysku czyli skopiowanej jego powierzchni (nie zawartości, analizie podlega powierzchnia całego dysku, również ta aktualnie nie wykorzystana). Kierownictwo firmy ABB powzięło podejrzenie, że przetarg jaki został rozstrzygniety został ustawiony. Zostało złożone powiadomienie o możliwości popełnienia przestępstwa. Analiza billingów i zastosowanie podsłuchu uprawdopodobniły korupcję, w stosunku do osób odpowiedzialnych za przetarg podjęto kolejne czynności procesowe, zajęto m. In. Ich służbowe komputery.. Poszukujemy na dysku szefa oddziału każdej informacji, która może być wykorzystana jako dowód w postępowaniu. Taką informacją może być np. korespondencja mailowa, Należy przeszukać również wszelkie dokumenty jakich kopie mogą na dysku się znajdować. Sprzęt został zajety zgodnie z protokołem 31 maja 2013 o godz. 11.20. Podane zostały sumy kontrolne z dysku: MD5: bcc7668ba3f6b26f67d5965d76bd6e00 SHA1: 659775e125291910977ed95a03b58e7b344c1a02 Z dysku szefa oddziału firmy J. Sikorskiego sporządzony został obraz, który znajduje się w zbiorze o nazwie obr5.img. Użyjemy narzędzia Autopsy które zostało specjalnie zaprojektowane do wspomagania czynności informatyki śledczej. Autopsy to platforma cyfrowa kryminalistyki i graficzny interfejs do Sleuth Kit i innych narzędzi informatyki śledczej. Może być stosowany przez organy ścigania, oraz kontrolerów wojskowych i korporacyjnych w celu zbadania, co się stało na komputerze.: Zadania poszczególnych modułów: Timeline Analysis: Wyświetla zdarzenia systemowe w graficznym interfejsie, który ułatwia identyfikację i lokalizacje w czasie aktywności na komputerze. Keyword Search: Metody bazujące na odnajdywaniu tekstu i indeksacji pozwalają znaleźć pliki, których zawartość spełnia szczególne warunki.. Web Artifacts: Analizuje informacje gromadzoną przez najpopularniejsze przeglądarki w celu identyfikacji aktywności sieciowej użytkownika. Registry Analysis: Używa narzędzia RegRipperdla identyfikacji ostatnio otwieranych dokumentów i używanych urządzeń USB. LNK File Analysis: Identyfikuje rozszerzenia nazw i udostępnia dokumenty Email Analysis: Analizuje wiadomości zapisane w formacie MBOX, którego używa np. Thunderbird.

EXIF: dokonuje ekstrakcji informacji o położeniu geograficznym i informacji o kamerze z plików JPEG. File Type Sorting: grupuje pliki według ich rodzaju. Media Playbacki: Pozwala zobaczyć zawartość plików wideo i zdjęć bez potrzeby posiadania zewnętrznej aplikacji do odtwarzania zawartości.. Thumbnail viewer: Wyświetla zdjęcia w postaci miniatury, co pozwala szybko ocenić treść. Robust File System Analysis: Wsparcie dla popularnych systemów plików, w tym NTFS, FAT12, FAT16, FAT32, HFS +, ISO9660 (CD-ROM), ext2, ext3 i UFS z narzędzia Sleuth Kit. Tags: pozwala oznaczać pliki dowolnymi znacznikami, takimi jak 'zakładki' ' i umieszczać komentarze. Unicode Strings Extraction: Pozwala wydzielić ciągi znaków z niezaalokowanej przestrzeni nośnika lubi nieznanych typów plików interpretując je jako ciągi znaków w Unikodzie co pozwala zobaczyć je jako ciągi liter w wielu językach (arabski, chiński, japoński, itp.). Analizie mogą podlegać obrazy nośników lub lokalnie podłączone nośniki danych. Zadanie do wykonania. Część A Sprawdź integralność obrazu czyli wylicz hashe MD5 i SHA1 z obrazu i porównaj z danymi zapisanymi w protokole. Możesz użyć np. programu IgorWare Hasher. Program jest portable i nie wymaga instalacji. Jaki jest wynik? Jaki jest wniosek? Uruchom Autopsy. Po uruchomieniu trzeba utworzyć zadanie (case).robi się to w 3 oknach. W kolejnych oknach należy wpisać nazwę zadania, wybrać kartotekę, w której będą umieszczane dane programu oraz numer sprawy i własne nazwisko. W kolejnym

oknie należy wskazać, gdzie jest plik z obrazem nośnika lub wskazać nośnik. Po zakończeniu części wstępnej program uruchamia poszczególne moduły, które analizują dane. To potrwa. Główne okno (poniżej) zawiera trzy główne obszary: 1. Drzewo eksploracji danych (w czerwonej ramce): służy do wybierania danych lub funkcji analizy. 2. Obszar rezultatów (w zielonej): obszar prezentacji wyników wyboru w drzewie. 3. Obszar treści: wyswietlana jest w nim zawartość pliku wybranego w obszarze wyników. Zapoznaj się z wynikami działania programu. Otwórz Images i obejrzyj zawartość obrazu. Rozwinięcie woluminu pozwala obejrzeć kartoteki i zbiory, jakie sa zaalokowane na nośniku, z którego został wykonany obraz. Przy nazwie każdego woluminu podana jest organizacja systemu zbiorów. Pod prawym klawiszem myszy jest menu kontekstowe. Klikając na obraz można się dowiedzieć, jak jest zorganizowany nośnik (details). Jaka jest wielkość sektora? Przestrzeń na nośnikach przydzielana jest dla zbiorów w jednostkach o nazwie klaster wielkości = całkowitej wielokrotności sektora. Dla tej wielkości nośnika (2GB) klaster w systemie FAT16 ma wielkość 32K. Spawdź, jakie dane dostępne są dla każdego zbioru. Zauważ, że masz dostęp również do danych i kartotek skasowanych. Kartoteka o nazwie $Unalloc zawiera zestaw obszarów nieprzydzielonych do żadnego zbioru.

W grupie Views można zobaczyć zawartość nośnika pogrupowana przez programy analizujące przy użyciu różnych kryteriów. Typu zbiorów Typu dokumentów Dat aktywności. Final Day to data ostatniej aktywności (modyfikacji, dostępu) jaka została znaleziona na dysku.

Results to wyniki działania poszczególnych modułów analizujących dysk. Znajdź poszukiwane dowody. (Są). W tym celu przeanalizuj prawdopodobne miejsca.. a. Rozpoznaj dokumenty tekstowe takie jak dokumenty z Worda czy z rozszerzeniem txt nawet, jeżeli są skasowane. b. Poszukaj na dysku maili. Autopsy powinien wskazać w grupie Result znalezione gdziekolwiek na dysku adresy mailowe. Sprawdź, czy jest wśród nich adres odpowiadający adresowi mailowemu osoby podejrzanej. W ten sposób możesz znaleźć zbiór lub obszar dysku, który maile zawiera. Możesz to sprawdzić, korzystając z informacji wyświetlanej w obszarze treści. c. Możesz wtedy skorzystać z opcji szukania słów. Można odnaleźć wszystkie maile kierowane do osoby podejrzanej, można również przeszukać obszar zawierający maile poszukując słów takich jak przetarg, prowizja, kontrakt czy innych. d. To powinno doprowadzić do odnalezienia dowodu na istnienie porozumienia. pozostaje sprawdzić, czy praca nie została wykonana na marne to znaczy czy rzetelnie wykonano czynności wstępne po zajęciu sprzętu. Jeżeli nośnik był zajęty w dniu x to nie może na nim być śladów działalności po tym dniu. Istnienie śladów takiej działalności powoduje, że dane tracą wartość dowodową. Sprawdź to. Narzędzie - recent files. Wnioski z przeprowadzonego testu zamieść w sprawozdaniu.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres