Исследуйте или устраняйте неполадки компьютерных систем с OSForensics [Windows]

Будь то ФБР, копающееся в компьютере, принадлежащем хакеру, компании, занимающейся внутренним компьютерным аудитом, или сетевому администратору, пытающемуся выяснить, почему вирус возник на конкретном ПК — суть в том, что для тщательного криминалистического анализа ПК требуется программное обеспечение это может копать глубоко и делать работу правильно.

По моему опыту, редко можно найти бесплатное программное обеспечение, которое хорошо справляется с этим. Большинство полицейских агентств по всему миру покупают дорогостоящее программное обеспечение для своего подразделения компьютерной криминалистики.

Тем не менее, существуют бесплатные инструменты для устранения неполадок и ремонта компьютера, такие как приложения для восстановления данных.

Парень покрыл и Net Tools 2008, инструмент администратора, который покрыл Карл. Еще один бесплатный инструмент, такой же мощный и способный, как и многие платные пакеты программного обеспечения для компьютерной криминалистики, известен как OSForensics.

Проведение криминалистического анализа

Лучший способ проанализировать и устранить неполадки компьютерной системы сверху вниз — это медленный и методичный метод. Самое замечательное в OSForensics — это то, что он похож на виртуальный портфель, в котором вы можете хранить всю работу, которую делаете. Если у вас есть несколько компьютеров, на которых вы работаете, вы можете установить это программное обеспечение на своем рабочем ПК, а затем сопоставить жесткий диск удаленного ПК для анализа. Программное обеспечение позволит вам сохранить «кейс» для каждого компьютера, на котором вы работаете.

Как видно из рисунка выше, все инструменты расположены внизу левой строки меню. Все, что вам нужно сделать, это пройти вниз по ним, если вы не уверены, с чего начать. Если у вас есть более сфокусированная цель, перейдите к той области ПК, которую вы хотите более тщательно исследовать. Одним из лучших инструментов для любого персонала службы поддержки, желающего идентифицировать вирус или троянский файл, являются «хэш-наборы».

Эта область позволяет анализировать определенные приложения, а не только файлы. Каждое приложение имеет набор файлов, которые вы можете просмотреть при двойном щелчке по приложению. В Hash Set Viewer отображаются все расчеты для каждого файла.

Следующим доступным инструментом является возможность создания «подписи». Это полезно для долгосрочного исследования, когда есть подозрение, что определенные действия происходят в определенном месте на компьютере.

Вы можете создать подпись, которая будет делать снимок файлов и каталогов. Затем вы можете использовать инструмент «сравнить подпись», чтобы проверить, были ли внесены изменения через несколько недель или месяц спустя. Программное обеспечение также поставляется с утилитой поиска файлов, где вы можете фильтровать результаты по изображениям, офисным документам или сжатым файлам.

Более того, вы можете использовать уникальный и очень полезный инструмент «Mismatch File Search», чтобы просеять подозрительные каталоги и идентифицировать любые файлы, которые владелец ПК мог переименовать, просто чтобы скрыть истинную идентификацию файла. Например, переименование файла изображения с расширением «txt» или секретный документ с расширением «.jpg».

Возвращаясь к использованию метода хеширования для анализа файлов, утилита «Проверка / создание хэша» позволяет сравнивать известное хеш-значение для файла (какое должно быть значение has) и вычисленное хеш-значение для файла на этом компьютере.

Еще одна область, в которой это программное обеспечение действительно отлично подходит для криминалистического анализа, — это возможность очень быстро просеивать тысячи файлов, чтобы определить конкретные текстовые ключевые слова. Первым шагом для ускорения процесса является создание индекса для любого каталога на компьютере. Когда это будет сделано, он сообщит о количестве уникальных слов, найденных во всех файлах.

Когда это будет сделано, просто используйте инструмент «Индекс поиска», чтобы просматривать файлы, изображения и электронные письма, чтобы отследить любое конкретное происшествие или контент, который вы ищете.

Другим инструментом компьютерной криминалистики, который распознает большинство пользователей Windows, является инструмент «Недавние действия». Хотя это выглядит как инструмент «Недавние документы», на самом деле эта утилита копает немного глубже, ища записи MRU, записи USB, куки, загрузки и многое другое. Владелец, возможно, уже пытался очистить ПК, но многие люди не понимают все места, где заносится активность, поэтому этот инструмент может найти любой оставшийся след этой активности.

Еще одна очень интересная функция — это инструмент «Поиск удаленных файлов», который позволяет просматривать записи на предмет наличия сомнительных недавно удаленных файлов. Я заметил, что эта особенность не является надежной. Он попытается идентифицировать элементы трассировки любых удаленных файлов, но это не всегда успешно.

Наконец, когда вы действительно отчаянно нуждаетесь в том, чтобы найти какое-то оставшееся доказательство совершения преступления, вам, возможно, придется поехать на «просмотрщик памяти». Это приложение для компьютерной криминалистики отображает все адреса жесткой памяти и объем хранимой информации. Вы можете сбросить содержимое памяти в файл CSV, чтобы вы могли поискать какие-либо подсказки или курить оружие.

Как вы можете видеть, OSForensics — довольно мощное программное обеспечение для тех, кто сталкивается с иногда неудачной задачей — исследовать компьютерную систему кого-то, кто обвиняется в том, что он что-то делает не так. Иногда надлежащее тщательное криминалистическое расследование компьютера может привести к неопровержимым доказательствам, которые могут привести к судебному разбирательству или его расследованию.

Вы когда-нибудь использовали OSForensics? Как вы думаете? Знаете ли вы о других подобных приложениях, которые так же хороши или лучше? Поделитесь своими мыслями в разделе комментариев ниже.

Изображение предоставлено: Peter Hostermann