Notícias de dispositivos móveis, gadgets, aplicativos Android

USB Forensics ‚Äď Reconstru√ß√£o de evid√™ncias digitais de unidade USB

A análise forense digital da perícia USB inclui preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de provas digitais derivadas de fontes digitais com a finalidade de facilitar ou promover a reconstrução de eventos considerados criminosos.

Imagem de disco ‚Äď USB Forensics: ‚Äď

  • A Imagem de disco √© definido como um arquivo de computador que cont√©m o conte√ļdo e a estrutura de um dispositivo de armazenamento de dados, como disco r√≠gido, unidade de CD, telefone, tablet, RAM ou USB.
  • A imagem do disco consiste no conte√ļdo real do dispositivo de armazenamento de dados, bem como nas informa√ß√Ķes necess√°rias para replicar a estrutura e layout de conte√ļdo do dispositivo.
  • No entanto, uma ampla gama de ferramentas bem conhecidas √© usada de acordo com o tribunal para realizar a an√°lise.
  • Ferramentas padr√£o s√£o autorizados exclusivamente por lei, os examinadores forenses n√£o est√£o autorizados a realizar imagens com ferramentas desconhecidas, novas ferramentas.
  • Ferramentas padr√£o: Encase Forensic Imager e sua extens√£o (Imagename.E01)
    Imagens e an√°lises do kit de ferramentas forenses:
  • Como o software forense Encase custa cerca de US$2.995,00 ‚Äď$3.594,00, Portanto, neste caso, as imagens e an√°lises ser√£o realizadas com o software FTK Forensic fabricado pela AccessData.
  • FTK inclui um gerador de imagens de disco independente, uma ferramenta simples, mas concisa.

Leia também Ferramenta forense Pdgmail para análise de despejo de memória do processo

Imagem FTK: –

  • A figura mostrada acima √© o painel de Acessar dados FTK Imager.

√Ārvore de evid√™ncias

  • Clique no bot√£o verde superior esquerdo para adicionar evid√™ncias ao painel e selecione o tipo de evid√™ncia de origem.
  • A evid√™ncia de origem selecionada √© uma unidade l√≥gica(USB).

Leia também Análise forense ao vivo com memória volátil de computador

Unidade Lógica

  • Verificar o menu suspensoat√© aqui selecionado HP USB para an√°lise.
N√≥s recomendamos:  Por que voc√™ deve criar produtos digitais educacionais

Dados da √Ārvore de Evid√™ncias

  • Expandindo o √°rvore de evid√™ncias do Os dispositivos USB representar√£o a vis√£o geral dos dados exclu√≠dos no passado.
  • Aprofunde-se ainda mais para verificar e investigar o tipo de evid√™ncia exclu√≠da.

Aviso: √Č recomendado n√£o trabalhar com evid√™ncias originais na investiga√ß√£o porque copiar acidentalmente novos dados para USB substituir√° os arquivos exclu√≠dos anteriormente no USB. A integridade das evid√™ncias falhar√°, portanto, sempre trabalhe com c√≥pias de imagens forenses.

Criando imagem USB: –

  • Selecione e crie uma imagem de disco no menu Arquivo.

Formato de imagem de disco

  • Clique no bot√£o adicionar e selecione o tipo apropriado do formato de imagem E01.
  • A figura acima ilustra Selecionado O tipo de imagem √© E01.

Informa√ß√Ķes de evid√™ncias

  • Isso √© obrigat√≥rio para adicionar mais informa√ß√Ķes sobre tipo de USB, tamanho, cor e mais identidade de evid√™ncia.

Destino da imagem

  • Selecione o caminho de destino da pasta de nome do arquivo USB C:\Users\Balaganesh\Desktop\New e o nome do arquivo de imagem √© HP Thumb Drive.

Cria√ß√£o de imagem ‚Äď USB Forensics

  • A figura acima mostra que a imagem do formato USB do .E01 est√° em andamento.
  • Vai levar v√°rios minutos a horas para criar o arquivo de imagem.

Imagem forense: –

  • Desconecte a evid√™ncia USB e manter as evid√™ncias originais seguras e trabalhar sempre com a imagem forense.
  • A figura acima mostra que uma c√≥pia ou imagem forense deve ser selecionada. Aqui a imagem forense est√° HP.E01

An√°lise de evid√™ncias digitais: –

  • A figura acima ilustra algumas atividades suspeitas em unidades USB que provavelmente ser√£o encontradas.
    Antivírus, coisas ilegais, e mais pastas são excluídos.

Recupera√ß√£o de arquivos e pastas exclu√≠dos: –

Aqui descobrimos que o USB contém alguns suspeitando de nomes de arquivos em formato pdf.

N√≥s recomendamos:  Confirmado: o Galaxy S10 ter√° o leitor de impress√Ķes digitais na tela
  • Finalmente, recuperamos links maliciosos do Tor em .onion em formato pdf como prova. Boa investiga√ß√£o!!

Nota: Em alguns casos, o arquivo extraído pode estar vazio, isso mostra que novos arquivos foram substituídos. Neste cenário, os atributos do arquivo serão evidências.

Voc√™ pode nos seguir em Linkedin, Twittere Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica, voc√™ tamb√©m pode aproveitar o melhor Cursos de seguran√ßa cibern√©tica on-line para se manter atualizado.

Leia tamb√©m Rastreamento de geolocaliza√ß√£o de fotos com GPS EXIF ‚Äč‚ÄčDATA ‚Äď An√°lise Forense