Investigue ou solucione problemas de sistemas de computadores com OSForensics [Windows]

Propaganda

Seja o FBI investigando um computador pertencente a um hacker, uma empresa que faz uma auditoria interna ou um administrador de rede tentando descobrir por que um vírus se originou de um PC em particular - a conclusão é que uma análise forense completa do PC requer software que possa investigar profundamente e fazer o trabalho direita.

Em minhas próprias experiências, é raro encontrar software livre que faça um bom trabalho com isso. A maioria das agências policiais em todo o mundo compra software caro para sua unidade de computação forense.

No entanto, existem estamos ferramentas gratuitas para solucionar problemas e reparar computadores, como o aplicativos de recuperação de dados 3 Ferramentas notáveis ​​de recuperação de arquivos consulte Mais informação Guy cobriu e o Net Tools 2008, uma ferramenta administrativa que Karl cobriu. Mais uma ferramenta gratuita, tão poderosa e capaz quanto muitos pacotes de software forense para computadores pagos, é conhecida como OSForensics.

Conduzindo uma análise forense

A melhor maneira de analisar e solucionar problemas de um sistema de computador de cima para baixo é lenta e metódica. O melhor do OSForensics é que é como uma pasta virtual onde você pode armazenar todo o trabalho que está fazendo. Se você possui vários computadores em que está trabalhando, pode configurar esse software no seu PC de trabalho e mapear o disco rígido do PC remoto para análise. O software permitirá que você armazene um "estojo" para cada computador em que estiver trabalhando.

Como você pode ver na figura acima, todas as ferramentas estão alinhadas na barra de menus esquerda. Tudo o que você precisa fazer é percorrer o caminho deles se não tiver certeza de por onde começar. Se você tem um objetivo mais focado em mente, vá para a área do PC que deseja investigar mais de perto. Uma das melhores ferramentas para qualquer equipe de suporte que procura identificar um vírus ou arquivo de Trojan é "conjuntos de hash.”

Esta área permite analisar aplicativos específicos que você define, não apenas arquivos. Cada aplicativo possui um conjunto de arquivos que você pode revisar quando clicar duas vezes no aplicativo. O Hash Set Viewer exibe todos os cálculos para cada arquivo.

A próxima ferramenta disponível é a capacidade de criar uma "assinatura". Isso é útil para um longo prazo estudo, quando houver suspeita de que certas atividades estejam ocorrendo em um local específico no computador.

Você pode criar uma assinatura que fará um instantâneo de arquivos e diretórios. Então você pode usar o "comparar assinatura”Para verificar se foram feitas alterações algumas semanas ou um mês adiante. O software também vem com um utilitário de busca de arquivos, onde você pode filtrar os resultados por imagens, documentos do escritório ou arquivos compactados.

Ainda melhor, você pode usar o único e muito útil "Pesquisa de arquivo incompatível”Para filtrar diretórios suspeitos e identificar quaisquer arquivos que o proprietário do PC possa ter renomeado simplesmente para encobrir a verdadeira identificação do arquivo. Por exemplo, renomear um arquivo de imagem com uma extensão "txt" ou um documento classificado com uma extensão ".jpg".

Voltando ao uso da abordagem de hash para análise de arquivos, o "Verificar / criar hash”Permite comparar um valor conhecido de hash para um arquivo (qual é o valor devemos be) e o valor calculado do hash para o arquivo neste computador.

Outra área em que esse software realmente se destaca na análise forense é a capacidade de filtrar milhares de arquivos muito rapidamente, a fim de identificar palavras-chave específicas em texto. A primeira etapa para acelerar o processo é criar um índice para qualquer diretório no computador. Quando terminar, informará o número de palavras únicas encontradas em todos os arquivos.

Quando terminar, basta usar o "Índice de Pesquisa"Para pesquisar arquivos, imagens e e-mails para rastrear qualquer ocorrência ou conteúdo específico que você esteja procurando.

Outra ferramenta forense de computadores que a maioria dos usuários do Windows reconhecerá é a "Atividade recenteFerramenta ”. Embora pareça com o "Documentos recentes”, Esse utilitário realmente se aprofundou um pouco, pesquisando registros MRU, registros USB, cookies, downloads e muito mais. O proprietário já deve ter tentado limpar o PC, mas muitas pessoas não entendem todos os locais em que a atividade está registrada - portanto, essa ferramenta pode encontrar qualquer vestígio restante dessa atividade.

Outro recurso muito interessante é o "Pesquisa de arquivos excluídos”Que permite examinar os registros em busca de qualquer indicação de arquivos questionáveis ​​excluídos recentemente. Percebi que esse recurso em particular não é à prova de idiotas. Ele tentará identificar elementos de rastreamento de qualquer arquivo excluído, mas nem sempre é bem-sucedido.

Por fim, quando você está realmente desesperado para encontrar alguma evidência remanescente de um crime, pode ser necessário fazer o "visualizador de memória" para um passeio. Este aplicativo forense de computador exibe todos os endereços de memória rígida e quanta informação é armazenada. Você pode despejar o conteúdo da memória em um arquivo CSV para procurar por pistas ou uma arma de fumar.

Como você pode ver, o OSForensics é um software bastante poderoso para quem tem às vezes infeliz tarefa de ter que investigar o sistema de computador de alguém acusado de algo errado. Às vezes, uma investigação forense adequada e minuciosa do computador pode gerar evidências convincentes de que podem fazer ou quebrar um caso.

Você já usou o OSForensics? O que você acha? Você conhece outros aplicativos semelhantes que são tão bons ou melhores? Compartilhe seus pensamentos na seção de comentários abaixo.

Crédito da imagem: Peter Hostermann