Devo trovare informazioni che si possono trovare nei file su un disco rigido. Ci sono buoni strumenti per cercare parole chiave specifiche (anche nell'area di spazio libero del disco rigido ;-), rilevare i file crittografati, rilevare il tipo di file errato, ecc.?
Attualmente utilizzo Windirstat per vedere tutti i tipi di file e aprirne uno manualmente. Questo processo è molto lungo e non affidabile.
Qualcuno può fornire un metodo migliore?
L'esecuzione di comandi non è davvero un'opzione, ti suggerisco di dare un'occhiata a questo sito web: link
È un progetto dell'Unità criminale criminale informatica del Belgio. Hanno un disco live Linux con strumenti forensi digitali. Nelle presentazioni puoi trovare tutorial su come trovare le cose. Anche su uno spazio nascosto che non viene segnalato dal disco rigido (ad esempio, sostituire il firmware del disco rigido da 1 TB per segnalare un disco rigido da 750 GB).
Ricorda che è necessario verificare che ogni file sia il file che finge di essere e lo spazio su disco di ogni file.
Per le parole chiave, cosa potresti fare, a condizione che il disco non sia crittografato:
Quindi inserisci la chiave usb, collegala a stringhe e grep per le parole chiave in keywords.txt in questo modo:
cat usbkey.dd | strings | egrep -i -f keywords.txt
Se vuoi conoscere la posizione sulla chiave del file:
cat usbkey.dd | strings -tx | egrep -i -f keywords.txt
Il -tx nelle stringhe ti darà l'offset esadecimale.
Ti suggerisco di dare un'occhiata alla presentazione forense sul loro sito web, perché come ho detto c'è molto di più.