Scopri i dati nel lasso di file

Naviga le tue risposte
3

Oggi in classe abbiamo appreso come le informazioni possono essere scoperte in un file. Capisco questo teoricamente, data la dimensione fisica e logica del file, posso inventare lo spazio allentato di un file. Tuttavia, come posso scoprire queste informazioni nello spazio vuoto se volessi sapere se c'è qualcosa di prezioso in un certo lasso di file? Ho usato un editor esadecimale per guardare il disco e i file, ma non sono sicuro di dove andare da qui. Ho sentito che enCase è una buona risorsa, tuttavia non sono in grado di trovare gratuitamente il link per scaricare su Ubuntu o Mac

    
posta Bthegreatest 11.10.2016 - 21:38
fonte

2 risposte

2

Penso che tu voglia il Filesystem Slack. Come dice Xaqron, avrai bisogno di un editor esadecimale in grado di aprire le unità, perché l'apertura di un file ti aiuterà solo con il rallentamento del file, non con il lasco del file system.

Preferibilmente dovresti usare un editor esadecimale che mostra i caratteri ASCII contemporaneamente ai dati esadecimali.

Revisione manuale utilizzando l'editor esadecimale

Una volta che hai un editor di questo tipo, devi scoprire cosa stai cercando?

Immaginiamo che stai cercando un documento di Word che è stato cancellato. Il modo migliore per iniziare è guardare un documento di Word con un editor esadecimale, e quindi trovare una sorta di codice all'inizio del file, che probabilmente vedrai su tutti i documenti di parole.

Una volta trovato tale codice, sarai in grado di cercarlo nello spazio allentato.

Un problema che troverai è che l'apertura di un'unità direttamente ti mostrerà tutti i dati, sia Allocato che Allentato. Sfortunatamente, è difficile per un umano distinguere quale è quale. Per esempio, se ci sono dei veri documenti Word, così come quelli cancellati, allora come potresti dire la differenza? Questo sarebbe molto difficile.

Forse dovrai invece cercare le parole chiave o le frasi che ti interessano. Tieni presente che alcuni documenti codificheranno il testo in modo diverso. Ancora una volta, dovresti confrontare i file non cancellati prima di cercare questo in Slack.

Gli stessi principi si applicano a qualsiasi tipo di documento, non solo a Word. Ad esempio, i file di immagine hanno spesso alcuni byte all'inizio che puoi usare per dire che tipo di file era. Sfortunatamente, le immagini sono strongmente codificate, quindi non puoi cercare nei loro contenuti.

Alcuni file come txt non hanno tale identificazione, ma sono anche molto leggeri sulla codifica, quindi sono più facili da trovare nello spazio allentato.

Ricorda che Slack Space sarà spesso un casino, con blocchi di file parzialmente sovrascritti o scaduti. I processi di de-frammentazione o la riassegnazione ad altri file possono introdurre lacune in ciò che è possibile ripristinare.

Strumenti

Un paio di altre cose vengono in mente.

  • Potrebbe esserci un editor esadecimale specializzato o altro strumento disponibile che evidenzierà e cercherà Slack Space separatamente dallo spazio allocato. Non so se ce n'è uno, ma sembra che ci sarebbe. Ciò aiuterebbe davvero il tuo processo di revisione manuale.

  • Esistono applicazioni progettate per identificare e ripristinare i file da Slack Space. Questi strumenti automatici (ripristina i file cancellati) sono prontamente disponibili e sono il modo più semplice per ottenere risultati produttivi.

risposta data 11.10.2016 - 22:54
fonte
0

Quello che stai cercando di fare è chiamato analisi forense, e il processo è abbastanza semplice: crea un file contenente una copia dell'immagine del disco, carica l'immagine in uno strumento di analisi e inizia a cercare.

Per creare un'immagine disco di un disco rigido su una macchina Windows, probabilmente il modo più semplice è avviare una distribuzione LiveCD di Linux, e usare dd per copiare l'immagine del disco in un file da qualche parte. Ci sono software freeware e altri che potrebbero fare un'immagine del disco sotto Windows, e funzionano bene per chiavette USB e unità rimovibili. (Si noti inoltre che un disco crittografato impedirà efficacemente di creare un'immagine utile.)

Per l'analisi, EnCase è uno strumento utilizzato da molti investigatori professionisti. (Credo che ci sia una versione gratuita disponibile per gli studenti.) Ma è tutto a codice chiuso, e il prodotto con licenza completa è piuttosto costoso.

C'è un ottimo strumento open source chiamato The Sleuth Kit e una versione di Windows GUI disponibile chiamata Autopsy. L'autopsia semplifica l'apertura di un file immagine del disco, la ricerca nel disco, il ripristino di file "eliminati" e l'esame di ciò che si trova nello spazio allentato. C'è un modulo che aiuta a trovare le immagini cancellate, che sono spesso al centro di un'indagine. Scoprirai che è ben documentato e il Web ha un sacco di buoni tutorial.

    
risposta data 11.10.2016 - 23:28
fonte

Leggi altre domande sui tag

È sicuro inserire le stringhe user-conrolled in un'intestazione Location HTTP? Quali sono le colonne in SiteSecurityServiceState.txt di Firefox? [chiuso]