Zwalczanie Laboratorium 6. Postępowanie z dowodami cyfrowymi. Typowym dowodem cyfrowym jest dysk zajętego komputera. Badanie zawartości dysku może odbywać się na dwa sposoby: bezpośrednio poprzez analizę dysku lub poprzez analizę obrazu dysku czyli skopiowanej jego powierzchni (nie zawartości, analizie podlega powierzchnia całego dysku, również ta aktualnie nie wykorzystana). Kierownictwo firmy ABB powzięło podejrzenie, że przetarg jaki został rozstrzygniety został ustawiony. Zostało złożone powiadomienie o możliwości popełnienia przestępstwa. Analiza billingów i zastosowanie podsłuchu uprawdopodobniły korupcję, w stosunku do osób odpowiedzialnych za przetarg podjęto kolejne czynności procesowe, zajęto m. In. Ich służbowe komputery.. Poszukujemy na dysku szefa oddziału każdej informacji, która może być wykorzystana jako dowód w postępowaniu. Taką informacją może być np. korespondencja mailowa, Należy przeszukać również wszelkie dokumenty jakich kopie mogą na dysku się znajdować. Sprzęt został zajety zgodnie z protokołem 31 maja 2013 o godz. 11.20. Podane zostały sumy kontrolne z dysku: MD5: bcc7668ba3f6b26f67d5965d76bd6e00 SHA1: 659775e125291910977ed95a03b58e7b344c1a02 Z dysku szefa oddziału firmy J. Sikorskiego sporządzony został obraz, który znajduje się w zbiorze o nazwie obr5.img. Użyjemy narzędzia Autopsy które zostało specjalnie zaprojektowane do wspomagania czynności informatyki śledczej. Autopsy to platforma cyfrowa kryminalistyki i graficzny interfejs do Sleuth Kit i innych narzędzi informatyki śledczej. Może być stosowany przez organy ścigania, oraz kontrolerów wojskowych i korporacyjnych w celu zbadania, co się stało na komputerze.: Zadania poszczególnych modułów: Timeline Analysis: Wyświetla zdarzenia systemowe w graficznym interfejsie, który ułatwia identyfikację i lokalizacje w czasie aktywności na komputerze. Keyword Search: Metody bazujące na odnajdywaniu tekstu i indeksacji pozwalają znaleźć pliki, których zawartość spełnia szczególne warunki.. Web Artifacts: Analizuje informacje gromadzoną przez najpopularniejsze przeglądarki w celu identyfikacji aktywności sieciowej użytkownika. Registry Analysis: Używa narzędzia RegRipperdla identyfikacji ostatnio otwieranych dokumentów i używanych urządzeń USB. LNK File Analysis: Identyfikuje rozszerzenia nazw i udostępnia dokumenty Email Analysis: Analizuje wiadomości zapisane w formacie MBOX, którego używa np. Thunderbird.
EXIF: dokonuje ekstrakcji informacji o położeniu geograficznym i informacji o kamerze z plików JPEG. File Type Sorting: grupuje pliki według ich rodzaju. Media Playbacki: Pozwala zobaczyć zawartość plików wideo i zdjęć bez potrzeby posiadania zewnętrznej aplikacji do odtwarzania zawartości.. Thumbnail viewer: Wyświetla zdjęcia w postaci miniatury, co pozwala szybko ocenić treść. Robust File System Analysis: Wsparcie dla popularnych systemów plików, w tym NTFS, FAT12, FAT16, FAT32, HFS +, ISO9660 (CD-ROM), ext2, ext3 i UFS z narzędzia Sleuth Kit. Tags: pozwala oznaczać pliki dowolnymi znacznikami, takimi jak 'zakładki' ' i umieszczać komentarze. Unicode Strings Extraction: Pozwala wydzielić ciągi znaków z niezaalokowanej przestrzeni nośnika lubi nieznanych typów plików interpretując je jako ciągi znaków w Unikodzie co pozwala zobaczyć je jako ciągi liter w wielu językach (arabski, chiński, japoński, itp.). Analizie mogą podlegać obrazy nośników lub lokalnie podłączone nośniki danych. Zadanie do wykonania. Część A Sprawdź integralność obrazu czyli wylicz hashe MD5 i SHA1 z obrazu i porównaj z danymi zapisanymi w protokole. Możesz użyć np. programu IgorWare Hasher. Program jest portable i nie wymaga instalacji. Jaki jest wynik? Jaki jest wniosek? Uruchom Autopsy. Po uruchomieniu trzeba utworzyć zadanie (case).robi się to w 3 oknach. W kolejnych oknach należy wpisać nazwę zadania, wybrać kartotekę, w której będą umieszczane dane programu oraz numer sprawy i własne nazwisko. W kolejnym
oknie należy wskazać, gdzie jest plik z obrazem nośnika lub wskazać nośnik. Po zakończeniu części wstępnej program uruchamia poszczególne moduły, które analizują dane. To potrwa. Główne okno (poniżej) zawiera trzy główne obszary: 1. Drzewo eksploracji danych (w czerwonej ramce): służy do wybierania danych lub funkcji analizy. 2. Obszar rezultatów (w zielonej): obszar prezentacji wyników wyboru w drzewie. 3. Obszar treści: wyswietlana jest w nim zawartość pliku wybranego w obszarze wyników. Zapoznaj się z wynikami działania programu. Otwórz Images i obejrzyj zawartość obrazu. Rozwinięcie woluminu pozwala obejrzeć kartoteki i zbiory, jakie sa zaalokowane na nośniku, z którego został wykonany obraz. Przy nazwie każdego woluminu podana jest organizacja systemu zbiorów. Pod prawym klawiszem myszy jest menu kontekstowe. Klikając na obraz można się dowiedzieć, jak jest zorganizowany nośnik (details). Jaka jest wielkość sektora? Przestrzeń na nośnikach przydzielana jest dla zbiorów w jednostkach o nazwie klaster wielkości = całkowitej wielokrotności sektora. Dla tej wielkości nośnika (2GB) klaster w systemie FAT16 ma wielkość 32K. Spawdź, jakie dane dostępne są dla każdego zbioru. Zauważ, że masz dostęp również do danych i kartotek skasowanych. Kartoteka o nazwie $Unalloc zawiera zestaw obszarów nieprzydzielonych do żadnego zbioru.
W grupie Views można zobaczyć zawartość nośnika pogrupowana przez programy analizujące przy użyciu różnych kryteriów. Typu zbiorów Typu dokumentów Dat aktywności. Final Day to data ostatniej aktywności (modyfikacji, dostępu) jaka została znaleziona na dysku.
Results to wyniki działania poszczególnych modułów analizujących dysk. Znajdź poszukiwane dowody. (Są). W tym celu przeanalizuj prawdopodobne miejsca.. a. Rozpoznaj dokumenty tekstowe takie jak dokumenty z Worda czy z rozszerzeniem txt nawet, jeżeli są skasowane. b. Poszukaj na dysku maili. Autopsy powinien wskazać w grupie Result znalezione gdziekolwiek na dysku adresy mailowe. Sprawdź, czy jest wśród nich adres odpowiadający adresowi mailowemu osoby podejrzanej. W ten sposób możesz znaleźć zbiór lub obszar dysku, który maile zawiera. Możesz to sprawdzić, korzystając z informacji wyświetlanej w obszarze treści. c. Możesz wtedy skorzystać z opcji szukania słów. Można odnaleźć wszystkie maile kierowane do osoby podejrzanej, można również przeszukać obszar zawierający maile poszukując słów takich jak przetarg, prowizja, kontrakt czy innych. d. To powinno doprowadzić do odnalezienia dowodu na istnienie porozumienia. pozostaje sprawdzić, czy praca nie została wykonana na marne to znaczy czy rzetelnie wykonano czynności wstępne po zajęciu sprzętu. Jeżeli nośnik był zajęty w dniu x to nie może na nim być śladów działalności po tym dniu. Istnienie śladów takiej działalności powoduje, że dane tracą wartość dowodową. Sprawdź to. Narzędzie - recent files. Wnioski z przeprowadzonego testu zamieść w sprawozdaniu.