Annons
Oavsett om det är FBI som gräver i en dator som ägs av en hacker, ett företag som gör en intern datorrevision eller en nätverksadministratör som försöker ta reda på varför ett virus härstammar från en viss dator - i första hand är att en grundlig PC-kriminalteknisk analys kräver programvara som kan gräva djupt och göra jobbet rätt.
I mina egna erfarenheter är det sällsynt att du kan hitta gratis programvara som gör ett bra jobb med detta. De flesta polisbyråer över hela världen köper dyra programvaror för sin datorensensiska enhet.
Men där är gratis dator felsöka och reparera verktyg där ute, till exempel appar för återhämtning av data 3 Anmärkningsvärda filåterställningsverktyg Läs mer Killen täckte och Net Tools 2008, ett administrationsverktyg som Karl täckte. Ytterligare ett gratis verktyg som är lika kraftfullt och kapabelt som många betalade dator-kriminaltekniska programvarupaket kallas OSForensics.
Genomföra en kriminalteknisk analys
Det bästa sättet att analysera och felsöka ett datorsystem från topp till botten är på ett långsamt och metodiskt sätt. Det fantastiska med OSForensics är att det är som en virtuell portfölj där du kan lagra allt arbete du gör. Om du har flera datorer som du arbetar med kan du ställa in den här programvaran på din arbetsdator och sedan kartlägga hårddisken på fjärrdatorn för analys. Programvaran låter dig lagra ett "fall" för varje dator du arbetar med.
Som du kan se på bilden ovan, är alla verktygen fodrade ner till vänster menyfält. Allt du behöver göra är att arbeta dig nedåt om du inte är säker på var du ska börja. Om du har ett mer fokuserat mål i åtanke, hoppa vidare till det område på datorn du vill undersöka närmare. Ett av de bästa verktygen för någon supportpersonal som vill identifiera en virus- eller trojanfil är "hashuppsättningar.”
![Undersök eller felsök datorsystem med OSForensics [Windows] forensics2](/f/11109467d70d78eead3242f2ebaf32e5.jpg)
Med det här området kan du analysera specifika program som du definierar, inte bara filer. Varje applikation har en uppsättning filer som du kan granska när du dubbelklickar på appen. Hash Set Viewer visar alla har beräkningar för varje fil.
Nästa tillgängliga verktyg är möjligheten att skapa en "signatur." Detta är användbart på lång sikt studie, när det misstänks att vissa aktiviteter äger rum på en specifik plats på dator.
Du kan skapa en signatur som tar en stillbild av filer och kataloger. Sedan kan du använda "jämföra signatur”Verktyg för att kontrollera om ändringar gjordes några veckor eller en månad längs vägen. Programvaran kommer också med ett filsökningsverktyg, där du kan filtrera resultat efter bilder, kontordokument eller komprimerade filer.
Ännu bättre kan du använda det unika och mycket användbara "Mismatch File Search”Verktyg för att söka igenom misstänkta kataloger och identifiera alla filer som PC-ägaren kanske har bytt namn på helt enkelt för att täcka filens verkliga identifiering. Till exempel byta namn på en bildfil med en "txt" -tillägg eller ett klassificerat dokument med ett ".jpg" -tillägg.
![Undersöka eller felsöka datorsystem med OSForensics [Windows] forensics5](/f/ca7c428c91c92cbe59320635b094dd33.jpg)
Kom tillbaka till att använda hash-metoden för filanalys, "Verifiera / skapa Hash”Kan du jämföra ett känt hashvärde för en fil (vad har värdet skall be), och det beräknade hashvärdet för filen på den här datorn.
Ett annat område där denna programvara verkligen utmärker sig i kriminalteknisk analys är förmågan att söka igenom tusentals filer mycket snabbt för att identifiera specifika textord. Det första steget för att påskynda processen är att skapa ett index för valfri katalog på datorn. När det är gjort rapporterar det antalet unika ord som finns i alla filerna.
När det är klart, använd bara "Sökindex”-Verktyg för att gräva igenom filer, bilder och e-postmeddelanden för att spåra vilken specifik händelse eller innehåll du letar efter.
Ett annat datoredensiskt verktyg som de flesta Windows-användare känner igen är "senaste aktivitet”Verktyg. Medan det ser ut som "Nya dokument”Verktyget, detta verktyg gräver faktiskt ganska djupare, söker MRU-poster, USB-poster, kakor, nedladdningar och mer. Ägaren kanske har försökt städa upp datorn redan, men många förstår inte alla platser som aktiviteten är inloggad - så det här verktyget kan hitta alla återstående spår av den aktiviteten.
En annan väldigt cool funktion är "Raderad filsökning”Verktyg som låter dig söka igenom posterna för alla indikationer på ifrågasatta nyligen raderade filer. Jag märkte att den här funktionen inte är idiotsäker. Det kommer att försöka identifiera spårelement för alla raderade filer, men det är inte alltid framgångsrikt.
Slutligen, när du verkligen är desperat efter att hitta några kvarvarande bevis för ett brott, kan du behöva ta "minnesvisare" på en åktur. Den här datorens kriminaltekniska appen visar alla hårddiskadresser och hur mycket information som lagras. Du kan dumpa innehållet i minnet till en CSV-fil så att du kan spöka efter ledtrådar eller röka.
Som ni ser är OSForensics ganska kraftfull programvara för alla som har det ibland olycklig uppgift att behöva undersöka datorsystemet för någon som anklagas för att göra något fel. Ibland kan en ordentlig, grundlig kriminalteknisk utredning av datorn visa upp tvingande bevis som kan göra eller bryta ett ärende.
Har du någonsin använt OSForensics? Vad tror du? Känner du till andra liknande appar som är lika bra eller bättre? Dela dina tankar i kommentarerna nedan.
Bildkredit: Peter Hostermann
Ryan har en kandidatexamen i elektroteknik. Han har arbetat 13 år inom automationsteknik, 5 år inom IT och är nu en applikationsingenjör. Han var tidigare chefredaktör för MakeUseOf och talade vid nationella konferenser om datavisualisering och har varit med på nationell TV och radio.
