IEF v6.3 sekarang mendukung native salinan bayangan pemasangan dan analisis
Sejak menjadi tersedia di Windows Vista , salinan bayangan volume
telah menjadi sumber yang berharga bagi para penyidik forensik ketika memeriksa sebuah PC Windows. Volume salinan bayangan berjalan sebagai sebuah layanan (layanan shadow volume) yang menciptakan dan memelihara beberapa snapshot sejarah dari volume pada disk . Sebelumnya pada Windows XP , System Restore memberikan backup dari file sistem pada disk sebelum update besar atau instalasi tetapi tidak pernah didukung setiap pengguna membuat file . Sebaliknya, salinan bayangan volume memungkinkan cadangan dari semua file pada volume , termasuk file pengguna . Ini menyediakan banyak informasi sejarah tentang file dan data yang mungkin sebelumnya telah dihapus atau kehilangan .Tantangan bagi peneliti selalu bagaimana menangani salinan bayangan volume karena file didukung tidak benar bahwa snapshot dapat diekspor dan dilihat dengan alat-alat forensik tradisional seperti EnCase atau FTK . Sementara pengguna dapat menentukan untuk menghilangkan file atau folder tertentu , volume layanan bayangan tidak peduli tentang sistem file karena berfungsi pada tingkat blok . Layanan Volume bayangan memelihara catatan dari setiap blok yang berubah dan hanya punggung atas blok jika itu adalah tentang untuk dimodifikasi yang memungkinkan untuk menyimpan begitu banyak data dalam seperti sejumlah kecil ruang ( 15 % Windows Vista , 5 % windows 7 secara default ) . Kesulitannya adalah bahwa volume layanan bayangan selalu diperlukan untuk mengembalikan atau memeriksa setiap volume shadow copy yang disimpan pada volume. Hal ini diperlukan penyidik untuk me-mount volume di tool forensik yang diinginkan dan kemudian menggunakan layanan shadow volume ( VSS admin ) untuk mengelola diperlukan backup ( Bimbingan dan Harlan Carvey keduanya memiliki sangat baik write- up merinci proses manual) . Langkah-langkah tambahan sering memakan waktu untuk penyidik ketika mereka berpotensi dapat menangani beberapa salinan bayangan sejarah , masing-masing memerlukan pemasangan dan analisis terpisah .Bukti Internet Finder ( IEF ) sebelumnya telah mampu memindai salinan bayangan ketika mereka disimpan dalam sebuah gambar atau sistem hidup , namun tidak ada cara mudah untuk me-mount dan menganalisa setiap file individual disimpan di dalam . Pencarian selanjutnya mirip dengan mencari ruang yang tidak terisi dan kadang-kadang memberikan hasil hanya parsial .
Baru dengan versi 6.3 , IEF sekarang dapat native mengurai volume shadow copy tanpa perlu me-mount bukti sebagai sistem hidup . Peneliti sekarang dapat memilih untuk memeriksa salah satu sistem hidup atau file gambar dan IEF otomatis akan memindai untuk setiap salinan bayangan tersedia . Penyelidik kemudian dapat memutuskan apakah mereka ingin mencari satu atau beberapa salinan pada suatu waktu . Hal ini memungkinkan pemeriksa untuk menganalisis setiap file sejarah yang dimodifikasi untuk itu salinan bayangan tertentu .
Sebuah skenario penggunaan yang sangat baik akan jika penyidik melakukan pencarian dari suatu gambar dan menemukan data nilai pembuktian potensial dalam volume shadow copy tapi mungkin ingin menggali lebih dalam sumber asli atau melihat apakah ada data tambahan dapat ditemukan . The IEF Report Viewer akan memberikan penyidik dengan rincian sekitar yang salinan bayangan dan file tertentu fragmen data berasal dari . Penyelidik kemudian bisa melakukan pencarian kedua hanya pada satu atau lebih volume shadow copy yang berisi file diubah . Hal ini akan memberikan penyidik dengan tidak hanya satu set yang lebih lengkap dari data tetapi juga potensial informasi historis juga.Seringkali , salinan bayangan akan memiliki versi sejarah dari registry hives , database seperti SQLite , dan beberapa artefak lain yang tidak tradisional menyimpan banyak data historis tetapi memiliki kekayaan informasi nilai pembuktian a . Sebuah contoh yang baik dari ini akan menjadi potensi untuk menemukan tambahan chatting catatan yang telah dihapus dan ditimpa atau hanya sementara disimpan dalam memori, tetapi mungkin masih tersedia dalam salinan bayangan dari dua minggu sebelumnya .
Volume salinan bayangan selalu menjadi sumber yang berharga bagi para penyidik , meskipun sumber daya yang diperlukan beberapa teknik rumit dan memakan waktu untuk menganalisis . Dengan IEF versi 6.3 , Magnet Forensik telah mencoba untuk membuatnya lebih mudah untuk menganalisis artefak dari dalam gambar atau sistem hidup hemat penyidik waktu yang berharga .Lihat video ini , di mana kita menunjukkan apa artinya ini untuk penyelidikan Anda dan bagaimana memaksimalkan artefak yang ditemukan di gambar yang sudah diperoleh .Seperti biasa , tolong beritahu saya jika Anda memiliki pertanyaan , saran atau permintaan . Saya bisa dihubungi melalui email di jamie.mcquaid ( at) magnetforensics ( dot ) com .
No comments:
Post a Comment