Indagare o risolvere i problemi dei sistemi informatici con OSForensics [Windows]

Annuncio pubblicitario

Che si tratti dell'FBI che scava in un computer di proprietà di un hacker, un'azienda che fa un audit interno del computer o un amministratore di rete che cerca di capire perché un virus ha avuto origine da un determinato PC - la linea di fondo è che un'analisi forense approfondita del PC richiede un software in grado di scavare in profondità e svolgere il lavoro destra.

Nelle mie esperienze, è raro che tu possa trovare software gratuito che fa un buon lavoro con questo. La maggior parte delle agenzie di polizia in tutto il mondo acquistano costosi software per la loro unità di informatica forense.

Tuttavia, lì siamo strumenti gratuiti per la risoluzione dei problemi e la riparazione dei computer, come ad esempio il app di recupero dati 3 Strumenti di recupero file notevoli Leggi di più Guy ha coperto e Net Tools 2008, uno strumento di amministrazione coperto da Karl. Un altro strumento gratuito che è altrettanto potente e capace come molti pacchetti software forensi per computer a pagamento è noto come OSForensics.

Conduzione di un'analisi forense

Il modo migliore per analizzare e risolvere i problemi di un sistema informatico dall'alto verso il basso è in modo lento e metodico. La cosa grandiosa di OSForensics è che è come una valigetta virtuale in cui puoi archiviare tutto il lavoro che stai facendo. Se hai diversi computer su cui stai lavorando, puoi impostare questo software sul tuo PC di lavoro e quindi mappare il disco rigido del PC remoto per l'analisi. Il software ti consentirà di archiviare un "caso" per ogni computer su cui stai lavorando.

Come puoi vedere dall'immagine sopra, tutti gli strumenti sono allineati nella barra dei menu di sinistra. Tutto quello che devi fare è andare fino in fondo se non sei davvero sicuro da dove cominciare. Se hai in mente un obiettivo più mirato, passa direttamente all'area del PC che desideri approfondire. Uno dei migliori strumenti per il personale di supporto che cerca di identificare un file virus o trojan sono "hash sets.”

Questa area consente di analizzare applicazioni specifiche definite, non solo file. Ogni applicazione ha una serie di file che è possibile rivedere quando si fa doppio clic sull'app. Hash Set Viewer visualizza tutti i calcoli per ciascun file.

Il prossimo strumento disponibile è la possibilità di creare una "firma". Questo è utile per un lungo periodo studio, quando si sospetta che determinate attività si svolgano in un luogo specifico sul computer.

È possibile creare una firma che acquisirà un'istantanea di file e directory. Quindi puoi utilizzare il "confronta la firma"Strumento per verificare se sono state apportate modifiche poche settimane o un mese lungo la strada. Il software include anche un'utilità di ricerca di file, in cui è possibile filtrare i risultati per immagini, documenti di Office o file compressi.

Ancora meglio, puoi utilizzare l'esclusivo e molto utile "Ricerca file non corrispondente"Strumento per setacciare le directory sospette e identificare tutti i file che il proprietario del PC avrebbe potuto rinominare semplicemente per nascondere la vera identificazione del file. Ad esempio, rinominare un file di immagine con estensione "txt" o un documento classificato con estensione ".jpg".

Tornando a utilizzare l'approccio hash per l'analisi dei file, il "Verifica / Crea hash"Utility consente di confrontare un valore hash noto per un file (quale valore ha dovrebbero be) e il valore hash calcolato per il file su questo computer.

Un'altra area in cui questo software eccelle davvero nell'analisi forense è la capacità di setacciare migliaia di file molto rapidamente al fine di identificare specifiche parole chiave di testo. Il primo passo per accelerare il processo è creare un indice per qualsiasi directory sul computer. Al termine, riporterà il numero di parole uniche trovate in tutti i file.

Al termine, basta utilizzare il "Cerca indice"Strumento per scavare tra file, immagini ed email per rintracciare qualunque occorrenza o contenuto specifico che stai cercando.

Un altro strumento di informatica forense che la maggior parte degli utenti di Windows riconoscerà è il "Attività Recente" attrezzo. Mentre sembra simile al "Documenti recenti"Strumento, questa utility in realtà scava un po 'più in profondità, cercando record MRU, record USB, cookie, download e altro ancora. Il proprietario potrebbe aver già provato a ripulire il PC, ma molte persone non capiscono tutti i luoghi in cui l'attività è registrata, quindi questo strumento può trovare qualsiasi traccia rimanente di quell'attività.

Un'altra caratteristica molto interessante è la "Ricerca file eliminata"Strumento che ti consente di esaminare i record per qualsiasi indicazione di file eliminati di recente discutibili. Ho notato che questa particolare funzionalità non è infallibile. Tenterà di identificare gli elementi di traccia di tutti i file eliminati, ma non ha sempre successo.

Infine, quando sei davvero alla disperata ricerca di un frammento residuo di prove per un crimine, potresti dover prendere il "visualizzatore di memoria" per un giro. Questa app forense per computer mostra tutti gli indirizzi di memoria e la quantità di informazioni archiviate. Puoi scaricare il contenuto della memoria in un file CSV in modo da poter cercare qualsiasi indizio o una pistola fumante.

Come puoi vedere, OSForensics è un software abbastanza potente per chiunque ne abbia a volte compito sfortunato di dover indagare sul sistema informatico di qualcuno che è accusato di fare Qualcosa non va. A volte, un'indagine forense adeguata e approfondita del computer può rivelare prove convincenti che possono fare o risolvere un caso.

Hai mai usato OSForensics? Cosa ne pensi? Conosci altre app simili che sono altrettanto buone o migliori? Condividi i tuoi pensieri nella sezione commenti qui sotto.

Credito immagine: Peter Hostermann