iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 24
1
Security

資安x系統x絕對領域系列 第 28

[Day23]資安x事件追踨x鑑識工具

  • 分享至 

  • xImage
  •  

鑑識工具很多,大概列幾個給大家參考 :)

The Sleuth Kit(TSK)

.是一開放原始碼的軟體,C & Perl 所撰寫
.其中一版是The Coroner's Toolkit(TCT),可偵測Unix或微軟作業系統的檔案及分割區,可協助鑑識人員進行檔案還原及映像檔(Image file)的製作,並且可顯示被Rootkit隱藏的檔案。
.TSK架構可分為四層架構可分為四層,分別是檔案系統層 分別是檔案系統層(Fil S eystem Layer)、資料層(Content Layer)、資料描述層(Metadata Layer ) 、使用者介面層(Human Interface Layer)。
.TSK還提供時間線(Time Line)與雜湊資料庫的功能,能找出檔案的mactime,及以MD5或SHA-1來檢測該檔案是
否為原始檔案,是一套完整的鑑識軟體。

EnCase

… .商用軟體需付費
.圖形化操作介面
.支援Window、Linux (LinEn)
… .可自行撰寫巨集

Forensic Toolkit (FTK)

.可自動萃取出windows office文件、email文件,並將之索引化
… .密碼破解套件(windows office)
… .僅適用windows
„

The coroner's Toolkit (TCT)

… .UNIX作業系統

Helix

官方網站:https://www.e-fense.com/

http://ithelp.ithome.com.tw/upload/images/20161229/20103647UwCagBHl22.png

http://ithelp.ithome.com.tw/upload/images/20161229/20103647VyKHSsWxTp.png

http://ithelp.ithome.com.tw/upload/images/20161229/20103647zkDzumlICk.png

Preview system information

顯示這部電腦的相關資訊、正在執行的程式。

Acquire a "live" image of a Windows System using dd

供使用者製作映像檔,在第二頁則提供鑑識映像檔、邏輯記憶體與實體記憶體的工具。

Incident Response Tools for Windows Systems

第一部分是針對具有揮發性(Volatile)的檔案做鑑識的工具,例如記錄當時電腦開機時的狀態
第二部分是許多雜項(MISC)的整合包,如檔案還原、電腦開關機的時間等,許多有趣的功能都可以在這裡找到,
第三部分是關於搜尋密碼的工具,除了會搜尋使用者儲存在系統中的密碼,還提供可檢視使用者上網瀏覽記錄、登錄檔內容的工具。

Browse contents of the CD-ROM and Host OS

此項目可協助檢視電腦檔案的各項資訊,MAC time、CRC、HASH…等。

Scan for Pictures from a live system

可找出使用者選取之資料夾中的全部圖片,就算是被使用者隱藏起來的圖片,依然可以偵測到並且顯示出來。

之所以提供這項功能,是因為有許多犯罪者會將病毒或是機密訊息藏入圖片內,這項功能能夠找出所有的圖片,但要偵測圖片中是否有隱藏訊息,則必須藉助別套軟體。

Investigative Notes

讓使用者輸入製作報告時所需的相關訊息,例如服務機關、調查者、案件號碼等等。

最後,在完成所有操作並關閉Helix的同時,會詢問是否要製作PDF檔,這個PDF檔會將從開啟Helix之後到關閉為止,在此軟體上的所有操作行為記錄下來。


上一篇
[Day22]資安x事件追踨x調查項目
下一篇
[DayX]感謝文x手機遺失事件xiPhone
系列文
資安x系統x絕對領域47
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言