- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
USB Forensics - Reconstructing Digital Data from a USB Drive
USB forensic digital analysis includes preservation, collection, verification, identification, analysis, interpretation, documentation and presentation digital data (evidence) obtained from digital sources, in order to facilitate or further restore events that have been criminalized.
Disk Image Processing - USB Forensics:
FTK imaging unit
The image above is a panel Access data FTK Imager .
Evidence tree
Data tree data
USB image creation:
Choose and create disk image from the file menu.
Disk image format
Click the Add button and select appropriate type format image E01.
The figure above illustrates that the selected image type - E01 .
Data Information
Should necessarily Add additional information about USB type, size, color and more data identification information.
Destination Address
Choose the destination path of the USB file C: \ Users \ Balaganesh \ Desktop \ New folder and the image file name is HP Thumb Drive.
Image Capture - USB Forensics
Unplug the USB drive and keep the original data safe and always work with an image specially made for forensic analysis.
This image shows that a forensic copy or image should be selected. In this case, the image for forensic analysis is HP.E01
Digital Data Analysis:
The image illustrates some dubious activity on a USB drive that can be detected.
Deleted antivirus, illegal materials and other folders.
Recovery of deleted files and folders:
Here we found out that USB contains some suspicious file names in pdf format.
Data Extraction:
Finally, we restored the Tor malicious links in .onion in pdf format as evidence. Happy investigation !!!
Note: In some cases, the extracted file may be empty; it indicates that new files have been recorded. In this case, the file attributes will be evidence.
Source
USB forensic digital analysis includes preservation, collection, verification, identification, analysis, interpretation, documentation and presentation digital data (evidence) obtained from digital sources, in order to facilitate or further restore events that have been criminalized.
Disk Image Processing - USB Forensics:
- A disk image is defined as a computer file, where there is content and structure of the data storage device, it can be hard drive, CD-drive, phone, tablet, RAM or USB stick .
- A disk image consists of actual content data storage devices , as well as the information needed to replicate the structure and layout of device content.
- However, a wide range of well-known tools is used in court for analysis.
- Standard tools allowed exclusively in accordance with the law . Forensic experts do not allow image processing using unknown tools, or new tools.
- Standard tools : Encase Forensic Imager and its extension (Imagename.E01) Forensic Instruments and Analysis:
- Because Encase forensic software costs about $ 2,995.00 - $ 3,594.00 , then in this article, data processing and analysis will be carried out using forensic analysis software FTK (FTK Forensic software), created Accessdata .
FTK imaging unit
The image above is a panel Access data FTK Imager .
Evidence tree
- Click on the green button in the upper left corner to add data to the panel and select the type of data source.
- Data source - logical drive ( USB )
- Check the drop-down menu to select HP USB for analysis
Data tree data
- Expansion USB device data tree will represent a general view of data deleted in the past.
- Scroll again to check and explore type of deleted data.
USB image creation:
Choose and create disk image from the file menu.
Disk image format
Click the Add button and select appropriate type format image E01.
The figure above illustrates that the selected image type - E01 .
Data Information
Should necessarily Add additional information about USB type, size, color and more data identification information.
Destination Address
Choose the destination path of the USB file C: \ Users \ Balaganesh \ Desktop \ New folder and the image file name is HP Thumb Drive.
Image Capture - USB Forensics
- This image shows that the image is a USB format .E01 is in the process of processing.
- Creating a file image can take anywhere from a few minutes to several hours.
Unplug the USB drive and keep the original data safe and always work with an image specially made for forensic analysis.
This image shows that a forensic copy or image should be selected. In this case, the image for forensic analysis is HP.E01
Digital Data Analysis:
The image illustrates some dubious activity on a USB drive that can be detected.
Deleted antivirus, illegal materials and other folders.
Recovery of deleted files and folders:
Here we found out that USB contains some suspicious file names in pdf format.
Data Extraction:
Finally, we restored the Tor malicious links in .onion in pdf format as evidence. Happy investigation !!!
Note: In some cases, the extracted file may be empty; it indicates that new files have been recorded. In this case, the file attributes will be evidence.
Source
Original message
Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя
Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.
Обработка образа диска – криминалистический анализ USB:
FTK блок формирования изображений
Изображение, приведенное выше, является панелью Access data FTK Imager.
Дерево доказательств
Данные дерева данных
Создание образа USB:
Выберите и создайте образ диска из меню файла.
Формат образа диска
Нажмите кнопку «Добавить» и выберите соответствующий тип формата образ E01.
Рисунок, изображенный выше, иллюстрирует, что выбранный тип образа - E01.
Информация о данных
Следует обязательно добавить дополнительную информацию о типе USB, размере, цвете и больше идентификационной информации о данных.
Адрес назначения образов
Выберите путь назначения USB-файла C:\Users\Balaganesh\Desktop\New folder, а название файла образа - HP Thumb Drive.
Создание образа – криминалистический анализ USB
Отключите USB-накопитель и храните оригинальные данные в безопасности, а всегда работайте с образом, специально сделанным для криминалистического анализа.
Данное изображение показывает, что должна быть выбрана криминалистическая копия или образ. В данном случае образ для криминалистического анализа - HP.E01
Анализ цифровых данных:
Изображение иллюстрирует некоторую сомнительную деятельность на USB-накопителе, которая могут быть обнаружена.
Удалены антивирус, незаконные материалы и другие папки.
Восстановление удаленных файлов и папок:
Здесь мы выяснили, что USB содержит некоторые подозрительные названия файлов в формате pdf.
Извлечение данных:
Наконец, мы восстановили вредоносные ссылки Tor в .onion в формате pdf в качестве доказательства. Счастливого расследования!!!
Примечание: В некоторых случаях извлеченный файл может быть пустым, он показывает, что на новые файлы была произведена запись. В этом случае атрибуты файлов будут являться доказательством.
Источник
Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.
Обработка образа диска – криминалистический анализ USB:
- Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
- Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
- Однако широкий ассортимент известных инструментов используется в суде для проведения анализа.
- Стандартные инструменты разрешены исключительно в соответствии с законом. Криминалистические эксперты не разрешают выполнять обработку образа с помощью неизвестных инструментов, или новых инструментов.
- Стандартные инструменты: Encase Forensic Imager и его расширение (Imagename.E01) Инструменты Судебно-медицинской экспертизы и анализ:
- Т.к. Encase forensic software стоит около $2,995.00 – $3,594.00, то в этой статье обработка данных и анализ будут проведены при помощи программного обеспечения для криминалистического анализа FTK (FTK Forensic software), созданного AccessData.
FTK блок формирования изображений
Изображение, приведенное выше, является панелью Access data FTK Imager.
Дерево доказательств
- Нажмите на зеленую кнопку в верхнем левом углу, чтобы добавить данные в панель и выбрать тип источника данных.
- Источник данных - логический диск (USB).
- Проверьте выпадающее меню, для того, чтобы выбрать HP USB для анализа
Данные дерева данных
- Расширение дерева данных устройства USB будет представлять общий вид данных, удаленных в прошлом.
- Прокрутите еще раз, чтобы проверить и исследовать тип удаленных данных.
Создание образа USB:
Выберите и создайте образ диска из меню файла.
Формат образа диска
Нажмите кнопку «Добавить» и выберите соответствующий тип формата образ E01.
Рисунок, изображенный выше, иллюстрирует, что выбранный тип образа - E01.
Информация о данных
Следует обязательно добавить дополнительную информацию о типе USB, размере, цвете и больше идентификационной информации о данных.
Адрес назначения образов
Выберите путь назначения USB-файла C:\Users\Balaganesh\Desktop\New folder, а название файла образа - HP Thumb Drive.
Создание образа – криминалистический анализ USB
- Данное изображение показывает, что образ USB формата .E01 находится в процессе обработки.
- Создание образа файла может занять от нескольких минут до нескольких часов.
Отключите USB-накопитель и храните оригинальные данные в безопасности, а всегда работайте с образом, специально сделанным для криминалистического анализа.
Данное изображение показывает, что должна быть выбрана криминалистическая копия или образ. В данном случае образ для криминалистического анализа - HP.E01
Анализ цифровых данных:
Изображение иллюстрирует некоторую сомнительную деятельность на USB-накопителе, которая могут быть обнаружена.
Удалены антивирус, незаконные материалы и другие папки.
Восстановление удаленных файлов и папок:
Здесь мы выяснили, что USB содержит некоторые подозрительные названия файлов в формате pdf.
Извлечение данных:
Наконец, мы восстановили вредоносные ссылки Tor в .onion в формате pdf в качестве доказательства. Счастливого расследования!!!
Примечание: В некоторых случаях извлеченный файл может быть пустым, он показывает, что на новые файлы была произведена запись. В этом случае атрибуты файлов будут являться доказательством.
Источник