![使用OSForensics调查计算机系统或对其进行故障排除[Windows]](https://static.pcpc.me/cover/2010/11/crime.jpg)
以我自己的经验,很少能找到可以做到这一点的免费软件。全世界大多数警察机构都为他们的计算机取证部门购买了昂贵的软件。
Guy所涵盖的内容以及Karl所涵盖的管理工具Net Tools 2008。 OSForensics是又一个与许多付费计算机取证软件包一样强大和功能的免费工具。
进行取证分析
进行分析和故障排除的最佳方法从上到下的计算机系统是缓慢而有条理的。 OSForensics的伟大之处在于,它就像一个虚拟的公文包,您可以在其中存储您正在做的所有工作。如果您正在使用多台计算机,则可以在工作PC上设置此软件,然后映射远程PC的硬盘进行分析。该软件可让您为正在使用的每台计算机存储一个“保护套"。
如上图所示,所有工具都位于左侧菜单栏中。如果您不确定从哪里开始,那么您要做的就是努力解决这些问题。如果您有一个更集中的目标,那么请跳到要更仔细研究的PC区域。对于任何寻求识别病毒或特洛伊木马文件的支持人员来说,最好的工具之一就是“ 哈希集"。
该区域可让您分析定义的特定应用程序,而不仅仅是文件。每个应用程序都有一组文件,您可以在双击该应用程序时查看它们。哈希集查看器将显示每个文件的所有计算结果。
下一个可用的工具是创建“签名"的功能。当怀疑某些活动正在进行时,这对于长期研究很有用。
您可以创建一个签名,该签名将捕获文件和目录的快照。然后,您可以使用“ 比较签名"工具检查更改是在几周还是一个月后进行的。该软件还带有文件搜索实用程序,您可以在其中按图像,办公文档或压缩文件过滤结果。
更好的是,您可以使用独特且非常有用的“ 不匹配文件搜索< / em>"工具来筛选可疑目录,并识别PC所有者可能已重命名的所有文件,只是掩盖了文件的真实标识。例如,重命名具有“ txt"扩展名的图像文件或具有“ .jpg"扩展名的机密文档。
回到使用哈希方法进行文件分析的过程中,“ Verify" / Create Hash "实用程序,您可以将文件的已知哈希值(应该为的值)与此计算机上文件的计算哈希值进行比较。
此软件在法医分析方面真正擅长的另一个领域是能够快速筛选成千上万个文件以识别特定的文本关键字的能力。加快此过程的第一步是为计算机上的任何目录创建索引。完成后,它将报告在所有文件中找到的唯一单词的数量。
完成后,只需使用“ 搜索索引"工具来浏览文件,图片和电子邮件以跟踪您要查找的特定事件或内容。
大多数Windows用户会识别的另一种计算机取证工具是“ 近期活动"工具。尽管它看起来类似于“ 最近文档"工具,但该实用程序实际上对它进行了更深入的挖掘,可搜索MRU记录,USB记录,Cookie,下载内容等。所有者可能已经尝试清理PC,但是许多人不了解活动记录的所有位置,因此该工具可以找到该活动的所有剩余痕迹。
另一个非常酷的功能是“ 已删除文件搜索"工具,可让您在记录中进行筛选,以查找是否有问题的最近删除的文件。我注意到此特定功能并非万无一失。它将尝试识别任何已删除文件的痕迹元素,但它并不总是成功。
最后,当您真的很想找到一些残留的犯罪证据时,您可能需要乘坐“ 内存查看器"。此计算机取证应用程序显示所有硬盘存储器地址以及存储的信息量。您可以将内存中的内容转储到CSV文件中,以便随意查找任何线索或抽烟的枪支。
如您所见,OSForensics是功能强大的软件,适用于需要执行有时不幸任务的任何人必须调查被指控做错事的人的计算机系统。有时,对计算机进行适当彻底的取证研究可能会得出令人信服的证据,这些证据可能导致案件成败。
您是否曾经使用过OSForensics?你怎么看?您是否知道其他任何同样出色或更出色的应用程序?在下面的评论部分中分享您的想法。
图片来源:Peter Hostermann
标签:
