search

Criminalistica Digitala

Multi dintre colegii mei detectivi se confrunta cu probleme digitale si apeleaza la ajutorul meu pentru a gasi probe pe hard-disk-urile subiectilor. Sunt cazuri in care subiectul investigat isi sterge de pe stick poze compromitatoare si atunci au nevoie de un specialist ca mine pentru a gasi fisierele pdf, jpeg, word, excel etc. Alte structuri au nevoie de a gasi dovezi in apararea cauzei lor si atunci au nevoie de firma noastra in a gasi lucruri, care nu trebuie sa fie pe acel obiect... In cazul experimentului meu, am folosit un stick de 1 giga, care a fost sters de 6 ori folosind un soft dedicat pentru aceste operatii. Din ce se poate vedea in filmari, stick-ul este gol 100%. Nu are niciun fisier in el, totul a fost sters, insa cu toate acestea am reusit sa salvez tot ceea ce fusese sters. Ca sa vedem situatia hardurilor trebuie sa folosim comanda fdisk -l  


RecoverJPEG





In cazul primului experiment am reusit sa salvez pozele de pe acest stick. Am reusit sa ma surprind si pe mine, fiindca eram sigur ca nu voi mai reusi sa salvez ceva, chiar daca rulasem acel soft de stergere anterior. Am folosit comanda recoverjpeg /dev/sdb1  Recoverjpeg este programul folosit, iar dev/sdb1 este practic sursa care trebuie scanata, in cazul nostru stick-ul M1.


Foremost





Comanda foremost -t all -v -i /dev/sdb1 -o /root/Desktop/recover    practic spune ca sa foloseasca tool-ul foremost pt a scana toate tipurile de fisiere din stick-ul M1, a le arata numele si meta-datele si a salva tot ce gaseste intr-un folder de pe Desktop numit recover.


DCFLDD


Este posibil ca accesand hard-ul pe care il analizam, sa stricam cumva memoria lui, sau chiar sa suprascriem ceva, alterand in final dispozitivul. Pentru a nu-l afecta, sau schimba, e mai simplu sa cream o imagine a lui, pe care ulterior sa o analizam. In cazul nostru `image.dd` devine imaginea acestui dispozitiv. Dcfldd ne ajuta sa facem exact acest lucru, creandu-ne imaginea lui M1. 


cd Desktop
dcfldd if=/dev/sdb1 of=image.dd
dcfldd if=/dev/sdb1 of=image.img
foremost -t all -v -i /Desktop/image.dd -o Desktop/recover1


 


 







Scalpel


Scalpel ofera din punctul meu de vedere o analiza mult mai amanuntita decat poti sa faci cu Foremost, asa ca va invit sa urmariti video-ul cu pasii de urmat. `cd /etc/scalpel && ls ` `nano scalpel.config` aici editam ce fisiere dorim sa vedem, decomentand randurile scrise in python  scalpel Desktop/image.dd -o Desktop/scalpel