მოგესალმებათ CYBSECGROUP ფორუმი
№1 კიბერ ფორუმი საქართველოში, თქვენ გაქვთ შესაძლებლობა გაეცნოთ საინტერესო პროექტებს, საინტერესო გარემოში
რეგისტრაცია

განხილვა USB ექსპერტიზა / Криминалистический анализ USB

Dimitri Khetaguri

From Darkness to Light
ზედამხედველი
ივნ 24, 2018
165
276
Georgia, Tbilisi
ge.linkedin.com
#1
usb forencis.jpg
გამარჯობათ, დღევანდელ სტატიაში მინდა ავხსნა, როგორც კეთდება USB ექსპერტიზა და რომელი ხელსაწყოების გამოყენებაა რეკომენდირებული, იმედია გარკვეული ხართ შემდეგ გარემოებაში, რომ როდესაც დამნაშავეს დაიჭერს სამართალდამცავი ან უბრალოდ პიროვნების გადამოწმება მიდის, პიროვნების საკუთრებაში არსებულ ტექნიკას როგორიცაა, მობილური ტელეფონი, კომპიუტერი, ფლეშკა თუ სხვა ტექნიკური საშუალება უტარდება ექსპერტიზა, რის შემდეგაც შესაძლებელია, ისეთი ფაილების ამოღება ან აღდგენა რასაც კრიმინალისტიკური ექსპერტიზის გარეშე ვერ ნახავდნენ.

ამის გარდა არის ისეთი შემთხვევები, როდესაც გვეკარგება ფაილი და გვინდა რომ ფაილი აღვადგინოთ, ამიტომ ახლა გასწავლით, როგორ შეიძლება სახლის პირობებში დაკარგული, წაშლილი, დაზიანებული ფაილებსი აღდგენა

ადრე მე დავწერე სტატია - როგორ ხდება კომპიუტერის ექსპერტიზა
ახლა კი შევეხები USB ექსპერტიზას
• პირველ რიგში უნდა ავირჩიოთ სტანდარტული ვერსია პროგრამის, რომლის დახმარებითაც ინფორმაციას აღვადგენთ, კატალოგი იხილეთ ვიკიპედიაზე
• აუცილებლად უნდა გავითვალისწინოთ, რომ ეს არის სტანდარტული ვერსია forensics tool-ის, სხვა შემთხევაში ექსპერტიზისთვის საჭირო პროგრამული ხელსაწყოები 5000$ - მდე ურტყავს.

ამ შემთხევაში მე გამოვიყენებ Multi-purpose tool, FTK [Forensics tools]

მოვათავსოთ USB პორტში და ჩავრთოთ FTK (მოგეხსენებათ, რომ გარკვეული კონფიდენციალურობის გამო სიხშირე ფოტოზე დაგდებული მაქვს)

Untitled-2-1.png

ვირჩევთ ლოგიკურ დრაივს () Logical Drive

1.png

და შემდეგ ფლეშკას

2.png

ვიწყებთ აღდგენას და ჩამოგვიყრის დირექტორიებს

4.png

ავირჩევთ დისკის შემქნას, რითაც შესაძლებელია დაზიანებული ფაილის აღდბეა AccessData FTK [Image E01] საშუალებით

5.png

შემდეგ ვირჩევთ სად გვინდა აღდგენილი ფაილები ჩაყაროს, გავუშვებთ

6.png
7.png
8.png
9.png

დამთავრების შემდეგ, როგორც ხედავთ ამოყარა ფაილები, რომელიც Shift + Delete - თი იყო წაშლილი :D

Unt.png

ბოლოს ვაექსპორტებთ ფაილებს და ეგაა, ინფორმაცია დაბრუნებულია ♥ მაგალითად .PDF ფაილი გავხსნათ

Uno.png

მადლობთ ყურადღებისთვის
 
მოწონებები: p41k and კახა ჯელაძე