Post on 18-Nov-2014
description
transcript
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Forensic Toolkit (FTK)
26.5.2014Digital Forensics InfoDay 2014
Jiří Hološkaholoska@rac.cz
http://cz.linkedin.com/in/holoska
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Indexované vyhledávání
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
3
Indexované vyhledávání
Index – databáze nalezených slov
Web Office Emails Other Embed DB
XML DOC(x) PST-OST TXT ZIP Access
HTML XLS(x) MSG PDF RAR XBASE
PHP PPT(x) MBOX TAR CSV
RTF EML SQL
NSF
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
4
Indexované vyhledávání
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
5
Indexované vyhledávání
Klíčové slovo
Počet nálezů
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
6
Indexované vyhledávání
Klíčové slovo 2 Klíčové slovo 1A
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Otázky ?
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Zjišťování hesel
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
9
Zjišťování hesel
Password Recovery Tool Kit:
Slovníkový útok
Rainbow Tables
Bruteforce
Biografický slovníkový útok
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
10
Zjišťování hesel
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
11
Zjišťování hesel
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
12
Zjišťování hesel
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
13
Zjišťování hesel
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
14
Zjišťování hesel
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Otázky ?
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Zajišťování digitálních stop
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
17
Metody zajišťování stop
Digitální stopy:
Operační paměť
Pevné disky
Síťové sdílené složky
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
18
Metody zajišťování stop
Operační pamět:
Informace o běžících procesech
Bloky paměti běžících aplikací
Pozůstatky bloků paměti po ukončených aplikacích
Navázané i ukončené síťové spojení
Hesla, Certifikáty, Clipboard ()
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
19
Metody zajišťování stop
Vytváření obrazů operační paměti
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
20
Metody zajišťování stop
Vytváření obrazů operační paměti
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Otázky ?
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
RFI Linux Live CD
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
23
RFI live CD
Forenzní nástroje pro vytváření disků
AccessData CLI FTKimager 3.1.1LibEWF (EWF-Tools)dcffdd
Forenzní nástroje pro práci s obrazyXmount – konvertování obrazů disků na různé formáty
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
24
RFI live CD - Menu
Forenzní nástroje pro vytváření disků
AccessData CLI FTKimager 3.1.1LibEWF (EWF-Tools)dcffdd
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
25
RFI live CD - Menu
Výstup:
Formát obrazu disku: E01Segmentace: 3GBTextový soubor:
− FTK: MD5, SHA1 + identifikace disku− LibEWF: MD5,SHA1
Hdparm – identifikace diskuFdisk – identifikace diskových oddílů
ww
w.r
ac.
cz
Ris
k A
naly
sis
Con
sult
an
tsV
06
04
20
Otázky ?