Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

USB Forensics - Reconstructing Digital Data from a USB Drive

DronVR

Private access level
Joined
Jun 1, 2014
Messages
284
Reaction score
263
Points
63
USB Forensics - Reconstructing Digital Data from a USB Drive

USB forensic digital analysis includes preservation, collection, verification, identification, analysis, interpretation, documentation and presentation digital data (evidence) obtained from digital sources, in order to facilitate or further restore events that have been criminalized.

Disk Image Processing - USB Forensics:

  • A disk image is defined as a computer file, where there is content and structure of the data storage device, it can be hard drive, CD-drive, phone, tablet, RAM or USB stick .
  • A disk image consists of actual content data storage devices , as well as the information needed to replicate the structure and layout of device content.
  • However, a wide range of well-known tools is used in court for analysis.
  • Standard tools allowed exclusively in accordance with the law . Forensic experts do not allow image processing using unknown tools, or new tools.
  • Standard tools : Encase Forensic Imager and its extension (Imagename.E01) Forensic Instruments and Analysis:
  • Because Encase forensic software costs about $ 2,995.00 - $ 3,594.00 , then in this article, data processing and analysis will be carried out using forensic analysis software FTK (FTK Forensic software), created Accessdata .
FTK Includes a standalone drive, simple but clear tool.

FTK imaging unit

759f23980b14a01660b18.png

The image above is a panel Access data FTK Imager .

Evidence tree

257ad93900d68104a7300.png

  • Click on the green button in the upper left corner to add data to the panel and select the type of data source.
  • Data source - logical drive ( USB )
Logical drive

  • Check the drop-down menu to select HP USB for analysis
9606c10278c2aa6cffb97.png

aed6064d787872ed9d7a7.png

Data tree data

22c4004370ffdc8b988e8.png

  • Expansion USB device data tree will represent a general view of data deleted in the past.
  • Scroll again to check and explore type of deleted data.
Warning: it is recommended not to work with the original data during the investigation, because accidentally copying new data to USB will be superimposed on past deleted files on the USB drive. Data integrity does not work, so always work with a forensic copy of the image.
USB image creation:


Choose and create disk image from the file menu.

a77c33b3cc1d48040b63e.png

Disk image format

Click the Add button and select appropriate type format image E01.

3710bc1adfe321b0f2945.png

The figure above illustrates that the selected image type - E01 .

Data Information

Should necessarily Add additional information about USB type, size, color and more data identification information.

bce8129c6c339f64694b7.png

Destination Address

Choose the destination path of the USB file C: \ Users \ Balaganesh \ Desktop \ New folder and the image file name is HP Thumb Drive.

d3edde1121cb5f50b6dc1.png

177af566bd3f58ec4be31.png

Image Capture - USB Forensics

7e2d7d88ad74fcc9cba86.png

  • This image shows that the image is a USB format .E01 is in the process of processing.
  • Creating a file image can take anywhere from a few minutes to several hours.
Forensic image:

Unplug the USB drive and keep the original data safe and always work with an image specially made for forensic analysis.

a1008c6d8a089b5b596e3.png

This image shows that a forensic copy or image should be selected. In this case, the image for forensic analysis is HP.E01

Digital Data Analysis:

56b118f389ff128cfc7d9.png

The image illustrates some dubious activity on a USB drive that can be detected.

Deleted antivirus, illegal materials and other folders.

Recovery of deleted files and folders:

Here we found out that USB contains some suspicious file names in pdf format.

475a4d51d4cea205c8afe.png

Data Extraction:

c0dae8cbfba6d1ad6e66e.png

3fd10d9aa93fd89145b06.png

Finally, we restored the Tor malicious links in .onion in pdf format as evidence. Happy investigation !!!

Note: In some cases, the extracted file may be empty; it indicates that new files have been recorded. In this case, the file attributes will be evidence.

Source
 
Original message
Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя

Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.

Обработка образа диска – криминалистический анализ USB:

  • Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
  • Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
  • Однако широкий ассортимент известных инструментов используется в суде для проведения анализа.
  • Стандартные инструменты разрешены исключительно в соответствии с законом. Криминалистические эксперты не разрешают выполнять обработку образа с помощью неизвестных инструментов, или новых инструментов.
  • Стандартные инструменты: Encase Forensic Imager и его расширение (Imagename.E01) Инструменты Судебно-медицинской экспертизы и анализ:
  • Т.к. Encase forensic software стоит около $2,995.00 – $3,594.00, то в этой статье обработка данных и анализ будут проведены при помощи программного обеспечения для криминалистического анализа FTK (FTK Forensic software), созданного AccessData.
FTK Включает автономный дисковод, простой, но четкий инструмент.

FTK блок формирования изображений

759f23980b14a01660b18.png

Изображение, приведенное выше, является панелью Access data FTK Imager.

Дерево доказательств

257ad93900d68104a7300.png

  • Нажмите на зеленую кнопку в верхнем левом углу, чтобы добавить данные в панель и выбрать тип источника данных.
  • Источник данных - логический диск (USB).
Логический диск

  • Проверьте выпадающее меню, для того, чтобы выбрать HP USB для анализа
9606c10278c2aa6cffb97.png

aed6064d787872ed9d7a7.png

Данные дерева данных

22c4004370ffdc8b988e8.png

  • Расширение дерева данных устройства USB будет представлять общий вид данных, удаленных в прошлом.
  • Прокрутите еще раз, чтобы проверить и исследовать тип удаленных данных.
Предупреждение: рекомендуется не работать с оригинальными данными в ходе расследования, потому что случайное копирование новых данных на USB будет накладываться на прошлые удаленные файлы на USB-диске. Целостность данных не срабатывает, поэтому всегда работайте с криминалистической копией образа.
Создание образа USB:


Выберите и создайте образ диска из меню файла.

a77c33b3cc1d48040b63e.png

Формат образа диска

Нажмите кнопку «Добавить» и выберите соответствующий тип формата образ E01.

3710bc1adfe321b0f2945.png

Рисунок, изображенный выше, иллюстрирует, что выбранный тип образа - E01.

Информация о данных

Следует обязательно добавить дополнительную информацию о типе USB, размере, цвете и больше идентификационной информации о данных.

bce8129c6c339f64694b7.png

Адрес назначения образов

Выберите путь назначения USB-файла C:\Users\Balaganesh\Desktop\New folder, а название файла образа - HP Thumb Drive.

d3edde1121cb5f50b6dc1.png

177af566bd3f58ec4be31.png

Создание образа – криминалистический анализ USB

7e2d7d88ad74fcc9cba86.png

  • Данное изображение показывает, что образ USB формата .E01 находится в процессе обработки.
  • Создание образа файла может занять от нескольких минут до нескольких часов.
Криминалистический образ:

Отключите USB-накопитель и храните оригинальные данные в безопасности, а всегда работайте с образом, специально сделанным для криминалистического анализа.

a1008c6d8a089b5b596e3.png

Данное изображение показывает, что должна быть выбрана криминалистическая копия или образ. В данном случае образ для криминалистического анализа - HP.E01

Анализ цифровых данных:

56b118f389ff128cfc7d9.png

Изображение иллюстрирует некоторую сомнительную деятельность на USB-накопителе, которая могут быть обнаружена.

Удалены антивирус, незаконные материалы и другие папки.

Восстановление удаленных файлов и папок:

Здесь мы выяснили, что USB содержит некоторые подозрительные названия файлов в формате pdf.

475a4d51d4cea205c8afe.png

Извлечение данных:

c0dae8cbfba6d1ad6e66e.png

3fd10d9aa93fd89145b06.png

Наконец, мы восстановили вредоносные ссылки Tor в .onion в формате pdf в качестве доказательства. Счастливого расследования!!!

Примечание: В некоторых случаях извлеченный файл может быть пустым, он показывает, что на новые файлы была произведена запись. В этом случае атрибуты файлов будут являться доказательством.

Источник