Forense USB

El uso de USB Los dispositivos para almacenar datos y la información personales aumentan día a día debido a la portabilidad y la naturaleza plug-and-play de estos dispositivos. A USB (Bus Universal Serial) El dispositivo proporciona capacidad de almacenamiento que varía de 2 GB a 128 GB o más. Debido a la naturaleza sigilosa de estos dispositivos, las unidades USB se pueden usar para almacenar programas y archivos maliciosos y peligrosos, como bisijos de paquetes, keyloggers, archivos maliciosos, etc. para llevar a cabo tareas maliciosas de hackers y guiones de niños. Cuando se elimina la información incriminatoria, como el chantaje. La recuperación o recuperación de datos eliminados de las unidades USB es lo que llamamos Forensics USB. Este artículo analizará el procedimiento profesional para realizar análisis forenses en un dispositivo USB.

Crear imagen de copia de la unidad USB

Lo primero que haremos es hacer una copia de la unidad USB. En este caso, las copias de seguridad regulares no funcionarán. Este es un paso muy crucial, y si se hace mal, todo el trabajo se desperdiciará. Use el siguiente comando para enumerar todas las unidades adjuntas al sistema:

ubuntu@ubuntu: ~ $ sudo fdisk -l

En Linux, los nombres de la unidad son diferentes de Windows. En un sistema de Linux, HDA y HDB son usados ​​(SDA, SDB, SDC, etc.) para SCSI, a diferencia de Windows OS.

Ahora que tenemos el nombre de la unidad, podemos crear su .dd imagen bit a bit con el dd utilidad ingresando el siguiente comando:

ubuntu@ubuntu: ~ $ sudo dd if =/dev/sdc1 of = usb.DD BS = 512 recuento = 1

si= la ubicación de la unidad USB
de= el destino donde se almacenará la imagen copiada (puede ser una ruta local en su sistema, e.gramo. /Home/User/USB.DD)
bs= el número de bytes que se copiarán a la vez

Para obtener una prueba de que tenemos la copia de imagen original de la unidad, usaremos chava Para mantener la integridad de la imagen. Hashing proporcionará un hash para la unidad USB. Si se cambia un solo datos, el hash se cambiará por completo y uno sabrá si la copia es falsa u original. Generaremos un hash MD5 de la unidad para que, en comparación con el hash original de la unidad, nadie pueda cuestionar la integridad de la copia.

ubuntu@ubuntu: ~ $ md5sum usb.dd

Esto proporcionará un hash MD5 de la imagen. Ahora, podemos comenzar nuestro análisis forense en esta imagen recién creada de la unidad USB, junto con el hash.

Diseño del sector de arranque

Ejecutar el comando de archivo devolverá el sistema de archivos, así como la geometría de la unidad:

ubuntu@ubuntu: ~ $ archivo usb.dd
OK.DD: sector de arranque DOS/MBR, compensación de código 0x58+2, OEM-ID "MSDOS55.0 ",
Sectores/clúster 8, Sectores reservados 4392, Descriptor de medios 0xf8,
Sectores/pista 63, cabezas 255, sectores ocultos 32, sectores 1953760 (volúmenes> 32 MB),
Grasa (32 bit), sectores/grasa 1900, reservado 0x1, número de serie 0x6efa4158, sin etiquetar

Ahora podemos usar el minfo Herramienta para obtener el diseño del sector de arranque NTFS y la información del sector de arranque a través del siguiente comando:

ubuntu@ubuntu: ~ $ minfo -i usb.dd
información del dispositivo:
===================
FileName = "OK.DD "
Sectores por pista: 63
Cabezas: 255
Cilindros: 122
Línea de comando mformat: mformat -t 1953760 -i OK.DD -H 255 -S 63 -H 32 ::
Información del sector de arranque
=======================
Banner: "MSDOS5.0 "
Tamaño del sector: 512 bytes
Tamaño del clúster: 8 sectores
Sectores reservados (arranque): 4392
Gases: 2
Ranuras máximas de directorio raíz disponible: 0
Tamaño pequeño: 0 sectores
Descriptor de medios Byte: 0xf8
sectores por grasa: 0
Sectores por pista: 63
Cabezas: 255
Sectores ocultos: 32
Gran tamaño: sectores 1953760
ID de unidad física: 0x80
reservado = 0x1
dos4 = 0x29
Número de serie: 6EFA4158
disco etiqueta = "sin nombre"
Tipo de disco = "Fat32"
Big Fatlen = 1900
Banderas extendidas = 0x0000
Versión FS = 0x0000
rootcluster = 2
Ubicación del infosector = 1
Sector de arranque de copia de seguridad = 6
Infosector:
firma = 0x41615252
grupos libres = 243159
Último clúster asignado = 15

Otro comando, el fstat El comando puede usarse para obtener información conocida general, como estructuras de asignación, diseño y bloques de arranque, sobre la imagen del dispositivo. Usaremos el siguiente comando para hacerlo:

ubuntu@ubuntu: ~ $ fstat usb.dd
--------------------------------------------
Tipo de sistema de archivos: FAT32
Nombre OEM: MSDOS5.0
ID de volumen: 0x6efa4158
Etiqueta de volumen (sector de arranque): sin nombre
Etiqueta de volumen (directorio raíz): Kingston
Etiqueta de tipo de sistema de archivo: FAT32
Siguiente sector gratuito (información FS): 8296
Recuento del sector libre (información FS): 1945272
Sectores antes del sistema de archivos: 32
Diseño del sistema de archivos (en sectores)
Rango total: 0 - 1953759
* Reservado: 0 - 4391
** Sector de arranque: 0
** Sector de información FS: 1
** Sector de arranque de copia de seguridad: 6
* Fat 0: 4392 - 6291
* Fat 1: 6292 - 8191
* Área de datos: 8192 - 1953759
** Área de clúster: 8192 - 1953759
*** Directorio raíz: 8192 - 8199
Información de metadatos
--------------------------------------------
Rango: 2 - 31129094
Directorio de raíz: 2
Información de contenido
--------------------------------------------
Tamaño del sector: 512
Tamaño del clúster: 4096
Rango total del clúster: 2 - 243197
Contenido de grasa (en sectores)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF

Archivos eliminados

El Kit de detectives proporciona el FLS herramienta, que proporciona todos los archivos (especialmente los archivos eliminados recientemente) en cada ruta, o en el archivo de imagen especificado. Se puede encontrar cualquier información sobre los archivos eliminados utilizando el FLS utilidad. Ingrese el siguiente comando para usar la herramienta FLS:

ubuntu@ubuntu: ~ $ fls -rp -f fat32 USB.dd
R/R 3: Kingston (entrada de etiqueta de volumen)
D/D 6: Información de volumen del sistema
R/R 135: Información de volumen del sistema/Wpsettings.dat
R/R 138: Información de volumen del sistema/indexervolumeguid
R/R * 14: Game of Thrones 1 720p x264 DDP 5.1 esub - xrg.MKV
R/R * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 esub - xrg.MKV
R/R * 30: Game of Thrones 3 720p x264 DDP 5.1 esub - xrg.MKV
R/R * 38: Game of Thrones 4 720p x264 DDP 5.1 esub - xrg.MKV
D/D * 41: Oceans Doce (2004)
R/R 45: Actas de PC-I en 23.01.2020.dogx
R/R * 49: Actas de LEC en 10.02.2020.dogx
R/R * 50: Windump.exe
R/R * 51: _WRL0024.TMP
R/R 55: Actas de LEC en 10.02.2020.dogx
D/D * 57: Nueva carpeta
D/D * 63: Aviso de licitación para equipos de infraestructura de red
R/R * 67: Aviso de licitación (Mega PC-I) Fase II.dogx
R/R * 68: _WRD2343.TMP
R/R * 69: _WRL2519.TMP
R/R 73: Aviso de licitación (Mega PC-I) Fase II.dogx
V/V 31129091: $ MBR
v/v 31129092: $ fat1
v/v 31129093: $ fat2
D/D 31129094: $ OrphanFiles
-/R * 22930439: $ bad_content1
-/R * 22930444: $ bad_content2
-/R * 22930449: $ bad_content3

Aquí, hemos obtenido todos los archivos relevantes. Los siguientes operadores se usaron con el comando FLS:

-pag = utilizado para mostrar la ruta completa de cada archivo recuperado
-riñonal = utilizado para mostrar las rutas y carpetas de forma recursiva
-F = el tipo de sistema de archivos utilizado (FAT16, FAT32, etc.)

La salida anterior muestra que la unidad USB contiene muchos archivos. Los archivos eliminados recuperados se anotan con un "*" firmar. Puede ver que algo no es normal con los archivos nombrados psbad_content1, psbad_content2, psbad_content3, y buodón.exe. Windump es una herramienta de captura de tráfico de red. Usando la herramienta Windump, uno puede capturar datos no destinados a la misma computadora. La intención se muestra en el hecho de que el software Windump tiene el propósito específico de capturar el tráfico de la red y se utilizó intencionalmente para obtener acceso a las comunicaciones personales de un usuario legítimo.

Análisis de línea de tiempo

Ahora que tenemos una imagen del sistema de archivos, podemos realizar el análisis de la línea de tiempo Mac de la imagen para generar una línea de tiempo y colocar el contenido con la fecha y la hora en un formato sistemático y legible. Ambos FLS y ILS Los comandos se pueden usar para crear un análisis de línea de tiempo del sistema de archivos. Para el comando FLS, debemos especificar que la salida estará en formato de salida de línea de tiempo MAC. Para hacerlo, ejecutaremos el FLS comando con el -metro marcar y redirigir la salida a un archivo. También usaremos el -metro bandera con el ILS dominio.

ubuntu@ubuntu: ~ $ fls -m / -rp -f fat32 ok.DD> USB.FLS
ubuntu@ubuntu: ~ $ Cat USB.FLS
0 |/Kingston (entrada de etiqueta de volumen) | 3 | r/rrwxrwxrwx | 0 | 0 | 0 | 0 | 1531155908 | 0 | 0 |
0 |/Información de volumen del sistema | 6 | D/DR-XR-XR-X | 0 | 0 | 4096 | 1531076400 | 1531155908 | 0 | 1531155906
0 |/Información de volumen del sistema/Wpsettings.dat | 135 | r/rrwxrwxrwx | 0 | 0 | 12 | 1532631600 | 1531155908 | 0 | 1531155906
0 |/Información de volumen del sistema/indexervolumeguid | 138 | r/rrwxrwxrwx | 0 | 0 | 76 | 1532631600 | 1531155912 | 0 | 1531155910
0 | Juego de Tronos 1 720p x264 DDP 5.1 esub - xrg.MKV (eliminado) | 14 | r/rrwxrwxrwx | 0 | 0 | 535843834 | 1531076400 | 1531146786 | 0 | 1531155918
0 | Game of Thrones 2 720p x264 DDP 5.1 esub - xrg.MKV (eliminado) | 22 | r/rrwxrwxrwx | 0 | 0 | 567281299 | 1531162800 | 1531146748 | 0 | 1531121599
0 |/Game of Thrones 3 720p x264 DDP 5.1 esub - xrg.mkv (eliminado) | 30 | r/rrwxrwxrwx | 0 | 0 | 513428496 | 1531162800 | 1531146448 | 0 | 1531121607
0 |/Game of Thrones 4 720p x264 DDP 5.1 esub - xrg.mkv (eliminado) | 38 | r/rrwxrwxrwx | 0 | 0 | 567055193 | 1531162800 | 1531146792 | 0 | 1531121680
0 |/Oceans Doce (2004) (eliminado) | 41 | D/DRWXRWXRWX | 0 | 0 | 0 | 1532545200 | 1532627822 | 0 | 1532626832
0 |/Actas de PC-I mantenidos el 23.01.2020.docx | 45 | r/rrwxrwxrwx | 0 | 0 | 33180 | 1580410800 | 1580455238 | 0 | 1580455263
0 |/Acta de LEC en 10.02.2020.docx (eliminado) | 49 | r/rrwxrwxrwx | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/_WRD3886.tmp (eliminado) | 50 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
0 |/_WRL0024.tmp (eliminado) | 51 | r/rr-xr-xr-x | 0 | 0 | 46659 | 1581966000 | 1581932204 | 0 | 1582004632
0 |/Acta de LEC en 10.02.2020.docx | 55 | r/rrwxrwxrwx | 0 | 0 | 38208 | 1581966000 | 1582006396 | 0 | 1582004632
(eliminado) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_WRD2343.tmp (eliminado) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_WRL2519.tmp (eliminado) | 69 | r/rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Aviso de licitación (Mega PC-I) Fase-II.docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ MBR | 31129091 | V/V --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/nueva carpeta (eliminada) | 57 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 | Windump.exe (eliminado) | 63 | d/drwxrwxrwx | 0 | 0 | 4096 | 1589482800 | 1589528384 | 0 | 1589528382
0 |/Aviso de licitación (Mega PC-I) Fase-II.docx (eliminado) | 67 | r/rrwxrwxrwx | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/_WRD2343.tmp (eliminado) | 68 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/_WRL2519.tmp (eliminado) | 69 | r/rr-xr-xr-x | 0 | 0 | 56775 | 1589482800 | 1589528598 | 0 | 1589528701
0 |/Aviso de licitación (Mega PC-I) Fase-II.docx | 73 | r/rrwxrwxrwx | 0 | 0 | 56783 | 1589482800 | 1589528736 | 0 | 1589528701
0 |/$ MBR | 31129091 | V/V --------- | 0 | 0 | 512 | 0 | 0 | 0 | 0
0 |/$ fat1 | 31129092 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ fat2 | 31129093 | V/V --------- | 0 | 0 | 972800 | 0 | 0 | 0 | 0
0 |/$ OrphanFiles | 31129094 | D/D --------- | 0 | 0 | 0 | 0 | 0 | 0 | 0
0 |/$$ bad_content 1 (eliminado) | 22930439 |-/rrwxrwxrwx | 0 | 0 | 59 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ bad_content 2 (eliminado) | 22930444 |-/rrwxrwxrwx | 0 | 0 | 47 | 1532631600 | 1532627846 | 0 | 1532627821
0 |/$$ bad_content 3 (eliminado) | 22930449 |-/rrwxrwxrwx | 0 | 0 | 353 | 1532631600 | 1532627846 | 0 | 1532627821

Ejecutar el mácteo herramienta para obtener el análisis de la línea de tiempo con el siguiente comando:

ubuntu@ubuntu: ~ $ Cat USB.FLS> USB.Mac

Para convertir esta salida de Mactime en forma legible por humanos, ingrese el siguiente comando:

ubuntu@ubuntu: ~ $ mactime -b usb.Mac> USB.mácteo
ubuntu@ubuntu: ~ $ Cat USB.mácteo

Jue 26 de julio de 2018 22:57:02 0 M ... D /DRWXRWXRWX 0 0 41 /Oceans Doce (2004) (eliminado)
Jue 26 de julio 2018 22:57:26 59 m ... - /rrwxrwxrwx 0 0 22930439 /Juego de tronos 4 720p x264 DDP 5.1 esub -(eliminado)
47 m ... - /rrwxrwxrwx 0 0 22930444 /Game of Thrones 4 720p x264 DDP 5.1 esub - (eliminado)
353 m ... -/rrwxrwxrwx 0 0 22930449 // Game of Thrones 4 720p x264 DDP 5.1 esub - (eliminado)
Viernes 27 de julio de 2018 00:00:00 12 .A ... r/rrwxrwxrwx 0 0 135/Información de volumen del sistema/wpsettings.dat
76 .A ... r/rrwxrwxrwx 0 0 138/Información de volumen del sistema/indexervolumeguid
59 .A ... - /RRWXRWXRWX 0 0 22930439 /Juego de tronos 3 720p x264 DDP 5.1 Esub 3 (eliminado)
47 .A ... -/rrwxrwxrwx 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 Esub 3 (eliminado)
353 .A ... - /RRWXRWXRWX 0 0 22930449 /Juego de tronos 3 720p x264 DDP 5.1 Esub 3 (eliminado)
Viernes 31 de enero 2020 00:00:00 33180 .A ... r /rrwxrwxrwx 0 0 45 /Acta de PC-I en 23.01.2020.dogx
Viernes 31 de enero 2020 12:20:38 33180 m ... r /rrwxrwxrwx 0 0 0 45 /Acta de PC-I en 23.01.2020.dogx
Viernes 31 de enero 2020 12:21:03 33180… b r /rrwxrwxrwx 0 0 0 45 /Acta de PC-I en 23.01.2020.dogx
Lunes 17 de febrero 2020 14:36:44 46659 m ... r /rrwxrwxrwx 0 0 0 49 /Acta de LEC en 10.02.2020.docx (eliminado)
46659 m ... r /rr-xr-xr-x 0 0 51 /_WRL0024.TMP (eliminado)
Martes 18 de febrero 2020 00:00:00 46659 .A ... r /rrwxrwxrwx 0 0 49 /Game of Thrones 2 720p x264 DDP 5.1 esub -(eliminado)
38208 .A ... r /rrwxrwxrwx 0 0 50 /_WRD3886.TMP (eliminado)
Martes 18 de febrero 2020 10:43:52 46659… b r /rrwxrwxrwx 0 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESUB -
38208 ... B R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (eliminado)
46659 ... B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (eliminado)
38208… b r /rrwxrwxrwx 0 0 55 /Acta de LEC en 10.02.2020.dogx
Martes 18 de febrero 2020 11:13:16 38208 m ... r /rrwxrwxrwx 0 0 0 50 /_WRD3886.TMP (eliminado)
46659 .A ... R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (eliminado)
38208 .A ... r /rrwxrwxrwx 0 0 55 /Acta de LEC en 10.02.2020.dogx
Martes 18 de febrero 2020 10:43:52 46659… b r /rrwxrwxrwx 0 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESUB -
38208 ... B R /RRWXRWXRWX 0 0 50 /_WRD3886.TMP (eliminado)
46659 ... B R /RR-XR-XR-X 0 0 51 /_WRL0024.TMP (eliminado)
38208… b r /rrwxrwxrwx 0 0 55 /Acta de LEC en 10.02.2020.dogx
Martes 18 de febrero 2020 11:13:16 38208 m ... r /rrwxrwxrwx 0 0 0 50 /_WRD3886.TMP (eliminado)
38208 m ... r /rrwxrwxrwx 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 ESUB -
Viernes 15 de mayo 2020 00:00:00 4096 .A ... D /DRWXRWXRWX 0 0 57 /nueva carpeta (eliminada)
4096 .A ... D /DRWXRWXRWX 0 0 63 /Aviso de licitación para equipos de infraestructura de red para IIUI (eliminado)
56775 .A ... R /RRWXRWXRWX 0 0 67 /Aviso de licitación (Mega PC-I) Fase II.docx (eliminado)
56783 .A ... r /rrwxrwxrwx 0 0 68 /_WRD2343.TMP (eliminado)
56775 .A ... R /RR-XR-XR-X 0 0 69 /_WRL2519.TMP (eliminado)
56783 .A ... r /rrwxrwxrwx 0 0 73 /aviso de licitación (mega pc-i) fase-II.dogx
Viernes 15 de mayo 2020 12:39:42 4096 ... B D /DRWXRWXRWX 0 0 57 /Nueva carpeta (eliminada)
4096 ... B D /DRWXRWXRWX 0 0 63 /Aviso de licitación para equipos de infraestructura de red para IIUI (eliminado)
Viernes 15 de mayo 2020 12:39:44 4096 m ... d/drwxrwxrwx 0 0 0 57 $$ bad_content 3 (eliminado)
4096 m ... D /DRWXRWXRWX 0 0 63 /Aviso de licitación para equipos de infraestructura de red para IIUI (eliminado)
Viernes 15 de mayo 2020 12:43:18 56775 m ... r/rrwxrwxrwx 0 0 67 $$ bad_content 1 (eliminado)
56775 m ... r /rr-xr-xr-x 0 0 69 /_WRL2519.TMP (eliminado)
Viernes 15 de mayo 2020 12:45:01 56775… b r/rrwxrwxrwx 0 0 67 $$ bad_content 2 (eliminado)
56783 ... B R /RRWXRWXRWX 0 0 68 /_WRD2343.TMP (eliminado)
56775… b r /rr-xr-xr-x 0 0 69 /_WRL2519.TMP (eliminado)
56783 ... B R /RRWXRWXRWX 0 0 73 /AVISO DE TRABAJO (MEGA PC-I) Fase II.dogx
Viernes 15 de mayo 2020 12:45:36 56783 m ... r/rrwxrwxrwx 0 0 68 windump.exe (eliminado)
56783 m ... R /RRWXRWXRWX 0 0 73 /Aviso de licitación (Mega PC-I) Fase II.dogx

Todos los archivos deben recuperarse con una marca de tiempo en un formato legible por humanos en el archivo "USB.mácteo."

Herramientas para análisis de forense USB

Hay varias herramientas que se pueden usar para realizar análisis forenses en una unidad USB, como Autopsia de kit de detectives, FTK Imager, Principal, etc. Primero, echaremos un vistazo a la herramienta de autopsia.

Autopsia

Autopsia se utiliza para extraer y analizar datos de diferentes tipos de imágenes, como imágenes AFF (formato forense de avance), .Imágenes DD, imágenes en bruto, etc. Este programa es una herramienta poderosa utilizada por investigadores forenses y diferentes agencias de aplicación de la ley. La autopsia consta de muchas herramientas que pueden ayudar a los investigadores a hacer el trabajo de manera eficiente y sin problemas. La herramienta de autopsia está disponible para plataformas de Windows y Unix sin costo.

Para analizar una imagen USB utilizando la autopsia, primero debe crear un caso, incluida la redacción de los nombres de los investigadores, registrando el nombre del caso y otras tareas informativas. El siguiente paso es importar la imagen fuente de la unidad USB obtenida al comienzo del proceso utilizando el dd utilidad. Luego, dejaremos que la herramienta de autopsia haga lo que mejor haga.

La cantidad de información proporcionada por Autopsia es enorme. La autopsia proporciona los nombres de archivo originales y también le permite examinar los directorios y rutas con toda la información sobre los archivos relevantes, como accedido, modificado, cambió, fecha, y tiempo. La información de los metadatos también se recupera, y toda la información se clasifica de manera profesional. Para facilitar la búsqueda de archivos, la autopsia proporciona un Búsqueda por palabra clave opción, que permite al usuario buscar rápida y eficientemente una cadena o número entre los contenidos recuperados.

En el panel izquierdo de la subcategoría de Tipos de archivo, Verá una categoría llamada "Archivos eliminados"Que contiene los archivos eliminados de la imagen de unidad deseada con todos los metadatos y la información de análisis de la línea de tiempo.

Autopsia es interfaz de usuario gráfico (GUI) para la herramienta de línea de comandos Kit de detectives y está en el nivel más alto en el mundo forense debido a su integridad, versatilidad, naturaleza fácil de usar y la capacidad de producir resultados rápidos. Los forenses del dispositivo USB se pueden realizar tan fácilmente en Autopsia Como en cualquier otra herramienta pagada.

FTK Imager

FTK Imager es otra gran herramienta utilizada para la recuperación y adquisición de datos de diferentes tipos de imágenes proporcionadas. FTK Imager también tiene la capacidad de hacer una copia de imagen de bit por bit, de modo que ninguna otra herramienta como dd o dcfldd es necesario para este propósito. Esta copia de la unidad incluye todos los archivos y carpetas, el espacio libre y libres no asignados, y los archivos eliminados que quedan en el espacio flojo o el espacio no asignado. El objetivo básico aquí cuando se realiza un análisis forense en unidades USB es reconstruir o recrear el escenario de ataque.

Ahora echaremos un vistazo a la realización de análisis forenses USB en una imagen USB utilizando la herramienta FTK Imager.

Primero, agregue el archivo de imagen a FTK Imager haciendo click Archivo >> Agregar elemento de evidencia.

Ahora, seleccione el tipo de archivo que desea importar. En este caso, es un archivo de imagen de una unidad USB.

Ahora, ingrese la ubicación completa del archivo de imagen. Recuerde, debe proporcionar una ruta completa para este paso. Hacer clic Finalizar para comenzar la adquisición de datos y dejar que el FTK Imager Hacer el trabajo. Después de un tiempo, la herramienta proporcionará los resultados deseados.

Aquí, lo primero que debe hacer es verificar Integridad de la imagen haciendo clic derecho en el nombre de la imagen y seleccionando Verificar imagen. La herramienta verificará los hashes MD5 o SHA1 proporcionados con la información de la imagen, y también le dirá si la imagen ha sido manipulada antes de ser importada al FTK Imager herramienta.

Ahora, Exportar Los resultados dados en la ruta de su elección hacen clic con el botón derecho en el nombre de la imagen y seleccionando el Exportar opción para analizarlo. El FTK Imager creará un registro de datos completo del proceso forense y colocará estos registros en la misma carpeta que el archivo de imagen.

Análisis

Los datos recuperados pueden estar en cualquier formato, como tar, zip (para archivos comprimidos), png, jpeg, jpg (para archivos de imagen), mp4, formato AVI (para archivos de video), códigos de barras, pdfs y otros formatos de archivo. Debe analizar los metadatos de los archivos dados y verificar los códigos de barras en forma de Código QR. Esto puede estar en un archivo PNG y se puede recuperar utilizando el Zbar herramienta. En la mayoría de los casos, los archivos DOCX y PDF se utilizan para ocultar datos estadísticos, por lo que deben estar sin comprimir. Kdbx Los archivos se pueden abrir a través de Conserva; La contraseña puede haberse almacenado en otros archivos recuperados, o podemos realizar BruteForce en cualquier momento.

Principal

Foremost es una herramienta utilizada para recuperar archivos y carpetas eliminados de una imagen de unidad usando encabezados y pies de página. Echaremos un vistazo a la página del hombre de Foremost para explorar algunos comandos poderosos contenidos en esta herramienta:

ubuntu@ubuntu: ~ $ hombre
-A habilita escribir todos los encabezados, no realizar una detección de errores en términos
de archivos corruptos.
-número B
Le permite especificar el tamaño del bloque utilizado en el principal. Esto es
relevante para nombres de archivos y búsquedas rápidas. El valor predeterminado es
512. es decir. Imagen principal -b 1024.dd
-P (modo rápido):
Habilita el modo rápido. En modo rápido, solo el inicio de cada sector
se busca encabezados a juego. Es decir, el encabezado es
buscó solo hasta la longitud del encabezado más largo. El resto
del sector, generalmente se ignora alrededor de 500 bytes,. Este modo
hace que la carrera más rápido sea más rápido, pero puede hacer que
faltar archivos que están integrados en otros archivos. Por ejemplo, usando
Modo rápido no podrá encontrar imágenes JPEG incrustadas en
Documentos de Microsoft Word.
El modo rápido no debe usarse al examinar los sistemas de archivos NTFS.
Porque NTFS almacenará archivos pequeños dentro del archivo maestro ta-
ble, estos archivos se perderán durante el modo rápido.
-A habilita escribir todos los encabezados, no realizar una detección de errores en términos
de archivos corruptos.
-I (entrada) archivo:
El archivo utilizado con la opción I se usa como el archivo de entrada.
En el caso de que no se especifique ningún archivo de entrada, stdin se usa para c.

El archivo utilizado con la opción I se usa como el archivo de entrada.

En el caso de que no se especifique ningún archivo de entrada, stdin se usa para c.

Para hacer el trabajo, usaremos el siguiente comando:

ubuntu@ubuntu: ~ $.dd

Después de que se complete el proceso, habrá un archivo en el /producción carpeta llamada texto que contiene los resultados.

Conclusión

USB Drive Forensics es una buena habilidad para tener evidencia y recuperar archivos eliminados de un dispositivo USB, así como para identificar y examinar qué programas de computadora pueden haber sido utilizados en el ataque. Luego, puede reunir los pasos que el atacante puede haber tomado para probar o refutar las afirmaciones hechas por el usuario o víctima legítima. Para asegurarse de que nadie se salga con la suya con un delito cibernético que involucra datos USB, USB Forensics es una herramienta esencial. Los dispositivos USB contienen evidencia clave en la mayoría de los casos forenses y, a veces, los datos forenses obtenidos de una unidad USB pueden ayudar a recuperar datos personales importantes y valiosos.