Selidiki Atau Atasi Masalah Sistem Komputer Dengan OSForensics [Windows]

Iklan

Apakah itu FBI yang menggali ke dalam komputer yang dimiliki oleh peretas, perusahaan yang melakukan audit komputer internal, atau administrator jaringan yang mencoba mencari tahu mengapa virus berasal dari PC tertentu - intinya adalah bahwa analisis forensik PC menyeluruh membutuhkan perangkat lunak yang dapat menggali lebih dalam dan melakukan pekerjaan Baik.

Dalam pengalaman saya sendiri, jarang Anda dapat menemukan perangkat lunak gratis yang melakukan pekerjaan dengan baik ini. Sebagian besar agen polisi di seluruh dunia membeli perangkat lunak mahal untuk unit forensik komputer mereka.

Namun disana adalah bebas masalah komputer dan alat perbaikan di luar sana, seperti aplikasi pemulihan data 3 Alat Pemulihan File Luar Biasa Baca lebih banyak Guy covered dan Net Tools 2008, alat admin yang dicakup Karl. Satu lagi alat gratis yang sama kuat dan mampu seperti banyak paket perangkat lunak forensik komputer berbayar dikenal sebagai OSForensics.

Melakukan Analisis Forensik

Cara terbaik untuk menganalisis dan mengatasi masalah sistem komputer dari atas ke bawah adalah dengan cara yang lambat dan metodis. Hal yang hebat tentang OSForensics adalah ia seperti koper virtual tempat Anda dapat menyimpan semua pekerjaan yang Anda lakukan. Jika Anda memiliki beberapa komputer yang sedang Anda kerjakan, Anda dapat mengatur perangkat lunak ini di PC kantor Anda dan kemudian memetakan hard drive PC jarak jauh untuk dianalisis. Perangkat lunak ini akan memungkinkan Anda menyimpan "kasing" untuk setiap komputer yang sedang Anda kerjakan.

Seperti yang dapat Anda lihat dari gambar di atas, semua alat berjajar di bilah menu kiri. Yang harus Anda lakukan adalah merobohkannya jika Anda tidak benar-benar yakin harus mulai dari mana. Jika Anda memiliki tujuan yang lebih terfokus dalam pikiran, maka lanjutkan ke area PC yang ingin Anda selidiki lebih dekat. Salah satu alat terbaik untuk staf pendukung yang ingin mengidentifikasi virus atau file trojan adalah “set hash.”

Area ini memungkinkan Anda menganalisis aplikasi spesifik yang Anda tentukan, bukan hanya file. Setiap aplikasi memiliki set file yang dapat Anda tinjau ketika Anda mengklik dua kali pada aplikasi. The Hash Set Viewer menampilkan semua memiliki perhitungan untuk setiap file.

Alat yang tersedia berikutnya adalah kemampuan untuk membuat "tanda tangan." Ini berguna untuk jangka panjang belajar, ketika diduga bahwa kegiatan tertentu sedang berlangsung di lokasi tertentu di komputer.

Anda dapat membuat tanda tangan yang akan mengambil snapshot file dan direktori. Maka Anda bisa menggunakan "bandingkan tanda tangan”Alat untuk memeriksa apakah perubahan dilakukan beberapa minggu atau satu bulan ke depan. Perangkat lunak ini juga dilengkapi dengan utilitas pencarian file, di mana Anda dapat memfilter hasil berdasarkan gambar, dokumen kantor atau file terkompresi.

Bahkan lebih baik, Anda bisa menggunakan yang unik dan sangat berguna “Pencarian File Tidak Sesuai”Alat untuk memilah-milah direktori yang dicurigai dan mengidentifikasi file apa pun yang mungkin telah diubah namanya oleh pemilik PC hanya untuk menutupi identifikasi sebenarnya dari file tersebut. Misalnya, mengganti nama file gambar dengan ekstensi "txt", atau dokumen rahasia dengan ekstensi ".jpg".

Kembali menggunakan pendekatan hash untuk analisis file, "Verifikasi / Buat HashUtilitas ”memungkinkan Anda membandingkan nilai hash yang diketahui untuk suatu file (berapa nilainya Sebaiknya menjadi), dan nilai hash yang dihitung untuk file di komputer ini.

Bidang lain di mana perangkat lunak ini benar-benar unggul dalam analisis forensik adalah kemampuan untuk menyaring ribuan file dengan sangat cepat untuk mengidentifikasi kata kunci teks tertentu. Langkah pertama untuk mempercepat proses adalah membuat indeks untuk direktori apa pun di komputer. Setelah selesai, ia akan melaporkan jumlah kata unik yang ditemukan dalam semua file.

Setelah selesai, cukup gunakan "Indeks Pencarian”Alat untuk menggali file, gambar, dan email untuk melacak kejadian atau konten spesifik apa pun yang Anda cari.

Alat forensik komputer lain yang akan dikenali sebagian besar pengguna Windows adalah "Aktivitas Terbaru”Alat. Meskipun terlihat mirip dengan "Dokumen terbaru”Alat, utilitas ini sebenarnya menggali sedikit lebih dalam, mencari catatan MRU, catatan USB, cookie, unduhan dan banyak lagi. Pemilik mungkin sudah mencoba membersihkan PC, tetapi banyak orang tidak memahami semua tempat aktivitas dicatat - sehingga alat ini dapat menemukan jejak yang tersisa dari aktivitas itu.

Fitur lain yang sangat keren adalah "Pencarian File Terhapus”Alat yang memungkinkan Anda menyaring catatan untuk setiap indikasi file yang baru-baru ini dihapus dipertanyakan. Saya perhatikan bahwa fitur khusus ini tidak bodoh. Itu akan mencoba mengidentifikasi elemen jejak dari setiap file yang dihapus, tetapi itu tidak selalu berhasil.

Akhirnya, ketika Anda benar-benar putus asa untuk menemukan sisa bukti untuk kejahatan, Anda mungkin perlu mengambil "penampil memori" untuk tumpangan. Aplikasi forensik komputer ini menampilkan semua alamat memori keras dan berapa banyak informasi yang disimpan. Anda dapat membuang konten memori ke file CSV sehingga Anda bisa mencari-cari petunjuk atau senjata merokok.

Seperti yang Anda lihat, OSForensics adalah perangkat lunak yang cukup kuat untuk siapa saja yang memiliki perangkat lunak tertentu tugas malang karena harus menyelidiki sistem komputer seseorang yang dituduh melakukan sesuatu yang salah. Kadang-kadang, investigasi forensik yang tepat dan menyeluruh dari komputer dapat menemukan bukti kuat yang dapat membuat atau menghancurkan suatu kasus.

Pernahkah Anda menggunakan OSForensics? Bagaimana menurut anda? Apakah Anda tahu ada aplikasi serupa lainnya yang sama baiknya atau lebih baik? Sampaikan pendapatmu pada bagian komentar di bawah ini.

Kredit gambar: Peter Hostermann