Reklaam
Olgu selleks FBI häkkerile kuuluva arvuti kaevamine, ettevõtte siseauditit tegev ettevõte või võrguhaldur, kes proovib aru saada miks viirus pärines konkreetsest arvutist - lõpptulemus on see, et arvuti kohtuekspertiisi põhjalik analüüs nõuab tarkvara, mis suudab sügavalt kaevata ja selle töö ära teha eks.
Minu enda kogemuste kohaselt on haruldane, kui leiate tasuta tarkvara, mis teeb sellega head tööd. Enamik politseiasutusi kogu maailmas ostavad oma arvuti kohtuekspertiisi üksusele kallist tarkvara.
Siiski, seal on tasuta arvuti tõrkeotsingu ja parandamise tööriistad, näiteks andmete taastamise rakendused 3 tähelepanuväärset faili taastamise tööriista Loe rohkem Guy kaetud ja Net Tools 2008, administraatori tööriist, mida Karl kattis. Veel üks tasuta tööriist, mis on sama võimas ja võimekas kui paljud tasulised arvuti kohtuekspertiisi tarkvarapaketid, on tuntud kui OSForensics.
Kohtuekspertiisi analüüsi läbiviimine
Parim viis arvutisüsteemi ülevalt alla analüüsimiseks ja tõrkeotsinguks on aeglane ja metoodiline. OSForensicsi suurepärane asi on see, et see on nagu virtuaalne kohver, kuhu saate salvestada kogu teie tehtud töö. Kui teil on mitu arvutit, kus töötate, saate selle tarkvara oma tööarvutisse üles seada ja seejärel analüüsida kaugarvuti kõvaketta. Tarkvara võimaldab teil salvestada iga töötava arvuti jaoks ümbrise.
Nagu ülaltoodud pildilt näete, on kõik tööriistad vasakul menüüribal rivistatud. Kõik, mida peate tegema, on minna mööda neid, kui te pole päris kindel, kust alustada. Kui teil on sihikindlam eesmärk, siis minge edasi selle arvuti piirkonda, mida soovite lähemalt uurida. Üks parimaid vahendeid viiruse või trooja faili tuvastamiseks tugiteenuste osutajatele on „räsi komplektid.”
![Uurige arvutisüsteeme või tõrkeotsingut OSForensics [Windows] kriminalistika2 abil](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
See ala võimaldab teil analüüsida konkreetseid teie määratletud rakendusi, mitte ainult faile. Igal rakendusel on failide komplekt, mida saate rakendusel topeltklõpsamisel üle vaadata. Hash Set Viewer kuvab kõigi failide arvutused.
Järgmine saadaval olev tööriist on võimalus allkirja luua. See on pikaajaliselt kasulik kui kahtlustatakse, et teatud tegevused toimuvad konkreetses piirkonnas arvuti.
Saate luua allkirja, mis teeb lühikese pildi failidest ja kataloogidest. Siis saate kasutada jaotist „võrrelda allkirja”Tööriist, et kontrollida, kas muudatusi tehti mõni nädal või kuu tagasi. Tarkvaraga on kaasas ka failiotsingu utiliit, kus saate filtreerida tulemusi piltide, kontoridokumentide või tihendatud failide järgi.
Veelgi parem, võite kasutada ainulaadset ja väga kasulikku „Failide otsingu sobimatus”Vahend kahtlaste kataloogide sirvimiseks ja kõigi failide tuvastamiseks, mille arvuti omanik võis ümber nimetada, lihtsalt selleks, et varjata faili tõelist tuvastamist. Näiteks pildifaili ümbernimetamine laiendiga „txt” või salastatud dokument laiendiga „.jpg”.
![Uurige arvutisüsteeme või tõrkeotsingut OSForensics [Windows] kohtuekspertiisi abil5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Failianalüüsi räsi-lähenemise kasutamise juurde naasmineKinnitage / looge räsi”Utiliit võimaldab teil võrrelda faili teada olevat räsiväärtust (milline väärtus sellel on peaks be) ja selle arvuti faili arvutatud räsiväärtus.
Veel üks valdkond, kus see tarkvara tõestab suurepäraselt kohtuekspertiisi analüüsi, on võime sõeluda tuhanded failid väga kiiresti läbi, et tuvastada konkreetsed tekstisõnad. Esimene samm protsessi kiirendamiseks on indeksi loomine arvuti mis tahes kataloogi jaoks. Kui see on valmis, teatab ta kõigist failidest leitud kordumatute sõnade arvu.
Kui see on valmis, kasutage lihtsalt nuppu „Otsingu register”Tööriist failide, piltide ja meilide kaevamiseks, et leida konkreetset sündmust või otsitud sisu.
Teine arvuti kohtuekspertiisi tööriist, mida enamik Windowsi kasutajaid ära tunneb, on „Viimane tegevus”Tööriist. Ehkki see sarnanebViimased dokumendid”, See utiliit kaevab tegelikult üsna sügavamale, otsides MRU kirjeid, USB-kirjeid, küpsiseid, allalaadimisi ja palju muud. Võib-olla on omanik juba proovinud arvuti puhastada, kuid paljud inimesed ei mõista kõiki kohti, kus tegevus on logitud - seega võib see tööriist leida selle tegevuse järelejäänud jäljed.
Veel üks väga lahe funktsioon onKustutatud failiotsing”, Mis võimaldab teil kirjendada läbi kõik küsitavad hiljuti kustutatud failid. Märkasin, et see konkreetne funktsioon pole lollikindel. See proovib tuvastada kustutatud failide mikroelemente, kuid see pole alati edukas.
Lõpuks, kui olete tõesti meeleheitel, et leida mõni allesjäänud kuriteo tõendusmaterjal, peate võib-olla võtma valiku „mäluvaatur”Sõiduks. See arvuti kohtuekspertiisi rakendus kuvab kõik kõva mälu aadressid ja selle, kui palju teavet talletatakse. Võite mälu sisu visata CSV-faili, et saaksite näpunäidete või suitsetamisrelvade järele näppida.
Nagu näete, on OSForensics üsna võimas tarkvara kõigile, kellel seda vahel on kahetsusväärne ülesanne - tuleb uurida kellegi arvutisüsteemi, keda süüdistatakse selles midagi valesti. Mõnikord võib arvuti nõuetekohane ja põhjalik kohtuekspertiisi uurimine leida kaalukaid tõendeid, mis võivad juhtumi koostada või selle ära murda.
Kas olete kunagi OSForensikat kasutanud? Mida sa arvad? Kas teate mõnda muud sarnast rakendust, mis on sama head või paremad? Jagage oma mõtteid allpool olevas kommentaaride jaotises.
Kujutise krediit: Peter Hostermann
Ryanil on bakalaureuse kraad elektrotehnika alal. Ta on töötanud 13 aastat automatiseerimise alal, 5 aastat IT alal ja on nüüd rakenduste insener. MakeUseOfi endine tegevtoimetaja, ta on rääkinud andmete visualiseerimise riiklikel konverentsidel ja teda on kajastatud üleriigilises televisioonis ja raadios.
