Essays.club - Получите бесплатные рефераты, курсовые работы и научные статьи
Поиск

Преимущества и недостатки Belkasoft Evidence Center

Автор:   •  Апрель 26, 2023  •  Отчет по практике  •  4,069 Слов (17 Страниц)  •  229 Просмотры

Страница 1 из 17

Оглавление

  1. Autopsy        2
  1. Описание инструмента        2
  2. Начало работы и выбор типа источника данных        2
  3. Описание модулей и их выбор для получения нужной информации        4
  4. Получение необходимой информации        8
  5. Преимущества и недостатки Autopsy        9
  1. Belka Soft        11
  1. Описание инструмента и возможности        11
  2. Поддержка        11
  3. Начало работы и импорт образа диска        12
  4. Overview        15
  5. Case Explorer        15
  6. File System        18
  7. Registry Viewer        19
  8. Timeline        20
  9. Memory Inspection        21
  10. Преимущества и недостатки Belkasoft Evidence Center        22
  1. Сравнительная таблица        23
  2. Заключение        25

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ        26

  1. Autopsy

  1. Описание инструмента

Autopsy – графическая платформа библиотеки и набора утилит The Sleuth Kit цифровой криминалистики с открытым исходным кодом, позволяющая тщательно и быстро исследовать жесткие диски, собирать доказательную базу, восстанавливать улики и проводить расследование инцидентов информационной безопасности.

Данное решение является одним из самых популярных бесплатных инструментов цифровой криминалистики. Autopsy активно используется правоохранительными органами и корпоративными отделами безопасности.

  1. Начало работы и выбор типа источника данных

Работа в Autopsy начинается с создания нового проекта (New Case). После ввода названия проекта и каталога для его сохранения, а также, при желании, дополнительной информации, нам предлагается выбрать тип источника данных. (Рис. 1)

[pic 1]

Рисунок 1 – выбор типа источника данных в Autopsy

Autopsy предлагает выбрать из следующих источников данных:

  1. Disk Image or VM file. Данный тип источника данных работает с образами жестких дисков, файлами виртуальных машин, а также с файлами, содержащими копии ssd дисков.
  2. Local Disk. Работает с локальными дисками, USB – накопителями и картами памяти.
  3. Logical files. Третий тип источника данных подразумевает взаимодействие с образами локальных файлов и каталогов.
  4. Unallocated Space Image File. Данный параметр включает файлы неразмеченных дисковых областей.
  5. Autopsy Logical Imager Results. Работает с результатами компонента Autopsy

– Logical Imager, который создает VHD файл, содержащий всю информацию, считанную с файловой системы.

  1. XRY Text Export. Взаимодействие с результатами экспорта текстовых файлов из формата XRY. XRY. – формат данных, полученных с мобильного телефона и используемый для судебных экспертиз.

После выбора типа источника данных необходимо указать путь к самому источнику данных. Также выбираем размер сектора, временную зону и по желанию можно добавить хэш значения.

  1. Описание модулей и их выбор для получения нужной информации

Далее выбираем необходимые параметры модулей Ingest, с которыми мы будем работать (Рис. 2).

[pic 2]

Рисунок 2 – доступные модули в последней версии Autopsy 4.19.3

  1. Recent Activity Module – модуль извлекает недавнюю активность пользователей, например недавно просмотренные файлы, веб запросы, загрузки, закладки браузера, файлы cookie, предоставляет информацию о подключениях USB – устройств, о данных корзины, об установленных программах и их запусках.
  2. Hash Lookup - модуль вычисляет хэш-значения MD5 для и ищет хэш-значения в базе данных известных файлов, чтобы определить, является ли файл

известным. Это дает возможность серьезно ускорить работу с образами, так как известные файлы операционных систем не проверяются. Для работы данного модуля необходимо добавить базу хэшей, поддерживается огромная база NIST NSRL, которая содержит хэши известных файлов Windows/PC,Android, iOS.

  1. File Type Identification – идентифицирует файлы, пользуясь не их расширениями, а их внутренними подписями (signatures). Autopsy использует библиотеку Tika, (обнаруживает и извлекает метаданные и текст из более чем тысячи     различных     типов      файлов).      Может      быть      гибко настроено пользователем правилами.
  2. Extension Mismatch Detector -модуль, используемый для определения файлов, расширения которых были подделаны или изменены в попытке скрыть улики. Недостатком модуля являются многочисленные ложные срабатывания, к примеру резервные копии файлов часто получают расширение “.bak”. Однако, данный модуль настраиваемый и позволяет выбрать необходимые расширения файлов, игнорируя другие.
  3. Embedded File Extraction -модуль используется для извлечения файлов ZIP, RAR и файлов других форматов архивов, а также Doc, Docx, PPT, PPTX, XLS и XLSX и позволяет проводить их последующий анализ.
  4. Picture Analyzer– модуль взаимодействует с EXIF данными (дополнительная служебная информация, описывающая изображения и медиафайлы). К примеру, позволяет получить информацию об авторстве, комментарии, технические параметры снимка, информация о камере, на которую проводилась съемка и пр.
  5. Keyword Search Module – модуль поиска по ключевым словам. Он извлекает текст из различных поддерживаемых типов файлов и проводит по ним поиск по: конкретному слову, email адресам или регулярным выражениям. Поддерживает различные текстовые форматы файлов, электронную почту, PDF- файлы (с использованием не очень точного OCR) и пр.
  6. Email Parser Module – Модуль Email Parser идентифицирует файлы Thunderbird MBOX и файлы формата PST на основе сигнатур файлов, извлекает из них электронные письма и добавляет результаты в Blackboard. Этот модуль пропускает известные файлы и создает артефакт Blackboard для каждого сообщения. BlackBoard позволяет модулям взаимодействовать и сохранять

результаты. Разные модули могут видеть информацию добавленную в Blackboard от всех модулей.

...

Скачать:   txt (47.5 Kb)   pdf (787.1 Kb)   docx (699.2 Kb)  
Продолжить читать еще 16 страниц(ы) »
Доступно только на Essays.club