search

Criminalistica Digitala

Multi dintre colegii mei detectivi se confrunta cu probleme digitale si apeleaza la ajutorul meu pentru a gasi probe pe hard-disk-urile subiectilor. Sunt cazuri in care subiectul investigat isi sterge de pe stick poze compromitatoare si atunci au nevoie de un specialist ca mine pentru a gasi fisierele pdf, jpeg, word, excel etc. Alte structuri au nevoie de a gasi dovezi in apararea cauzei lor si atunci au nevoie de firma noastra in a gasi lucruri, care nu trebuie sa fie pe acel obiect... In cazul experimentului meu, am folosit un stick de 1 giga, care a fost sters de 6 ori folosind un soft dedicat pentru aceste operatii. Din ce se poate vedea in filmari, stick-ul este gol 100%. Nu are niciun fisier in el, totul a fost sters, insa cu toate acestea am reusit sa salvez tot ceea ce fusese sters. Ca sa vedem situatia hardurilor trebuie sa folosim comanda fdisk -l daca suntem pe Linux. Daca ne aflam pe un MAC OS, atunci veti folosi comanda disktutil list.


In cazul meu pe MAC se vad doua partitii interne si una externa, adica exact hard-ul/stickul pe care il doresc sa il clonez. Nu e bine sa lucrez direct pe hardul subiectului, fiindca il poti corupe cumva si mai bine este sa creezi o imagine a lui pe care sa o analizezi. E cel mai bun mod de lucru, fiindca nu atingi datele existente pe harddrive. Se poate crea imaginea pe MAC folosind sudo dd if=/dev/disk3 of=backup.dd bs=512


Am vazut ca altii creeaza o arhiva folosind comanda sudo dd if=/dev/disk3 bs=64K | gzip -c > backup.dd.gz


 Acesta va fi output-ul comenzii atunci cand imaginea a fost creata corect de catre program. 


DCFLDD


Este posibil ca accesand hard-ul pe care il analizam, sa stricam cumva memoria lui, sau chiar sa suprascriem ceva, alterand in final dispozitivul. Pentru a nu-l afecta, sau schimba, e mai simplu sa cream o imagine a lui, pe care ulterior sa o analizam. In cazul nostru `image.dd` devine imaginea acestui dispozitiv. Dcfldd ne ajuta sa facem exact acest lucru, creandu-ne imaginea lui M1. 



cd Desktop
dcfldd if=/dev/sdb1 of=image.dd
foremost -t all -v -i /Desktop/image.dd -o Desktop/recover1


FOREMOST


Comanda foremost -t all -v -i /dev/sdb1 -o /root/Desktop/recover    practic spune ca sa foloseasca tool-ul foremost pt a scana toate tipurile de fisiere din stick-ul M1, a le arata numele si meta-datele si a salva tot ce gaseste intr-un folder de pe Desktop numit recover. 



RecoverJPEG


In cazul primului experiment am reusit sa salvez pozele de pe acest stick. Am reusit sa ma surprind si pe mine, fiindca eram sigur ca nu voi mai reusi sa salvez ceva, chiar daca rulasem acel soft de stergere anterior. Am folosit comanda recoverjpeg /dev/sdb1  Recoverjpeg este programul folosit, iar dev/sdb1 este practic sursa care trebuie scanata, in cazul nostru stick-ul M1. Pe Mac am folosit comanda sudo recoverjpeg /dev/disk3



SCALPEL


Scalpel ofera din punctul meu de vedere o analiza mult mai amanuntita decat poti sa faci cu Foremost, asa ca va invit sa urmariti video-ul cu pasii de urmat. cd /etc/scalpel && ls nano scalpel.config aici editam ce fisiere dorim sa vedem, decomentand randurile scrise in python  scalpel Desktop/image.dd -o Desktop/scalpel



PENTESTINGS