Исследовать или устранять неполадки компьютерных систем с OSForensics [Windows]

Рекламное объявление

Будь то ФБР, копающееся в компьютере, принадлежащем хакеру, компания, проводящая внутренний компьютерный аудит, или сетевой администратор, пытающийся выяснить, почему вирус возник с определенного компьютера - суть в том, что для тщательного криминалистического анализа ПК требуется программное обеспечение, которое может глубоко копать и выполнять работу верно.

По моему опыту, редко можно найти бесплатное программное обеспечение, которое хорошо с этим справляется. Большинство полицейских агентств по всему миру покупают дорогостоящее программное обеспечение для своего подразделения компьютерной криминалистики.

Тем не менее, есть находятся бесплатные инструменты для устранения неполадок и ремонта компьютера, такие как приложения для восстановления данных 3 Замечательные инструменты восстановления файлов Подробнее Парень покрыл и Net Tools 2008, инструмент администратора, который покрыл Карл. Еще один бесплатный инструмент, столь же мощный и способный, как и многие платные пакеты программного обеспечения для компьютерной криминалистики, известен как OSForensics.

Проведение криминалистического анализа

Лучший способ проанализировать и устранить неполадки компьютерной системы сверху вниз - это медленный и методичный подход. Самое замечательное в OSForensics - это то, что он похож на виртуальный портфель, в котором вы можете хранить всю работу, которую делаете. Если у вас есть несколько компьютеров, на которых вы работаете, вы можете установить это программное обеспечение на своем рабочем ПК, а затем сопоставить жесткий диск удаленного ПК для анализа. Программное обеспечение позволит вам сохранить «кейс» для каждого компьютера, на котором вы работаете.

Как видно из рисунка выше, все инструменты расположены внизу левой строки меню. Все, что вам нужно сделать, это пройти вниз по ним, если вы не совсем уверены, с чего начать. Если у вас более сфокусированная цель, перейдите к той области ПК, которую вы хотите более тщательно исследовать. Один из лучших инструментов для любого сотрудника службы поддержки, желающего идентифицировать вирусный или троянский файл:хэш-наборы.”

Эта область позволяет анализировать определенные приложения, а не только файлы. Каждое приложение имеет набор файлов, которые вы можете просмотреть при двойном щелчке по приложению. В Hash Set Viewer отображаются все расчеты для каждого файла.

Следующим доступным инструментом является возможность создания «подписи». Это полезно для долгосрочной исследование, когда есть подозрение, что определенные действия происходят в определенном месте на компьютер.

Вы можете создать подпись, которая будет делать снимок файлов и каталогов. Тогда вы можете использовать «сравнить подписьИнструмент, чтобы проверить, были ли внесены изменения через несколько недель или месяц в будущем. Программное обеспечение также поставляется с утилитой поиска файлов, где вы можете фильтровать результаты по изображениям, офисным документам или сжатым файлам.

Более того, вы можете использовать уникальные и очень полезные »Несоответствие поиска файловИнструмент для поиска подозрительных каталогов и выявления любых файлов, которые владелец ПК мог переименовать, просто чтобы скрыть истинную идентификацию файла. Например, переименование файла изображения с расширением «txt» или секретный документ с расширением «.jpg».

Возвращаясь к использованию хеш-подхода для анализа файлов:Проверить / создать хэш»Позволяет сравнивать известное значение хеш-функции для файла (какое значение имеет должен быть), и вычисленное значение хеш-функции для файла на этом компьютере.

Еще одна область, в которой это программное обеспечение действительно отлично подходит для криминалистического анализа, - это возможность очень быстро просеивать тысячи файлов, чтобы определить конкретные текстовые ключевые слова. Первым шагом для ускорения процесса является создание индекса для любого каталога на компьютере. Когда это будет сделано, он сообщит о количестве уникальных слов, найденных во всех файлах.

Когда это будет сделано, просто используйте «Индекс поискаИнструмент для поиска файлов, изображений и электронных писем, чтобы отследить любой конкретный случай или контент, который вы ищете.

Другой инструмент компьютерной криминалистики, который распознает большинство пользователей Windows, - «Недавняя активность" инструмент. Хотя это выглядит какНедавние документы”, Эта утилита на самом деле копает немного глубже, ища записи MRU, записи USB, куки, загрузки и многое другое. Владелец, возможно, уже пытался очистить ПК, но многие люди не понимают всех мест, в которые заносится активность - поэтому этот инструмент может найти любой оставшийся след этой активности.

Еще одна очень интересная особенность - это «Поиск удаленных файлов”Инструмент, который позволяет просеивать записи для любых признаков сомнительных недавно удаленных файлов. Я заметил, что эта особенность не является надежной. Он попытается идентифицировать элементы трассировки любых удаленных файлов, но это не всегда успешно.

Наконец, когда вы действительно отчаянно нуждаетесь в том, чтобы найти какое-то оставшееся доказательство преступления, вам может понадобитьсяпросмотрщик памяти" для езды. Это приложение для компьютерной криминалистики отображает все адреса жесткой памяти и объем хранимой информации. Вы можете сбросить содержимое памяти в файл CSV, чтобы вы могли поискать любые подсказки или дымящийся пистолет.

Как видите, OSForensics - довольно мощное ПО для тех, у кого неудачная задача того, чтобы исследовать компьютерную систему кого-то, кто обвиняется в совершении что-то не так. Иногда надлежащее тщательное криминалистическое расследование компьютера может привести к неопровержимым доказательствам, которые могут привести к судебному разбирательству или его расследованию.

Вы когда-нибудь использовали OSForensics? Что вы думаете? Знаете ли вы о других подобных приложениях, которые так же хороши или лучше? Поделитесь своими мыслями в разделе комментариев ниже.

Кредит изображения: Питер Хостерманн