radionica encase v6-2009

i n

t e

g r

i r

a n

a s

i g

u r

n o

s t

EnCase – radionica Alat za forenzičku istragu računala

Damir Delija Dr.Sc.E.E

2

EnCase Forensic Guidance Software

Vodeći komercijalni alat za računalnu forenziku Proizvođač Guidance Software www.guidancesoftware.com Prihvaćen kao standardni alat u zemljama

razvijene IT infrastrukture Veliki broj sudskih presuda i postupaka u kojima

je ovaj alat korišten u dokaznom postupku (USA, UK ..)

Nije neophodno da je korisnik računalni ekspert da bi proveo standardnu računalnu istragu

3

Tree PaneTable Pane

View Pane Filter Pane

Osnovni izgleda alata

4Radionica

Cilj upoznati se sa alatom EnCase Forensic u stvarnim uslovima

Scenarij• na osnovi naloga provesti pretragu forenzički ispravne

slike predmetnog računala • sliku računala napraviti korištenjem Encase alata• analizu provesti istim forenzičkim alatom• koristi se EnCase Forensic 6.13. verzija• dokazi su stvarni

5

Postupak

Napraviti izuzimanje diskova i datoteke sa dokazima Otvoriti datoteku sa dokazima Definirati ključne riječi za traženje (keywords) Provesti pregled slika (gallery view)

sve što je zanimljivo zabilježiti (bookmarkirati) Provesti traženje po imenu datoteka (conditions)

• sve što je zanimljivo zabilježiti (bookmarkirati) Provesti traženje po ključnim riječima (search)

• sve što je zanimljivo zabilježiti (bookmarkirati) Na osnovu zabilježenog napraviti izvještaj (report)

6

Prvi korak izuzimanje diska

Zadatak je napraviti sliku diska kroz Encase unutar novog slučaja (case)

• Otvara se novi slučaj• U slučaj se dodaju diskovi • Rad sa alatom mora se osnivati na proceduri

prikupljanja i analize digitalnih dokaza• Alat se može prilagoditi specifičnostima

pojedinih procedura / zakonodavstava tj. integrirati u postojeći sustav

7

Pokretanje Encase-a

8

Otvaranje novog case-a

9

Dodavanje diska

10

Odabir lokalnih diskova

11

Odabir fizičkog diska

12

Disk selektiran

13

Pregled (preview) odabranog diska

14

Izuzimanje diska

Desni klik na disk da se otvori meni

15

Izuzimanje – podešavanje 1

16

Izuzimanje – podešavanje 2

17

Izuzimanje u toku – status posla

18

Kraj izuzimanja

19

Rad sa slikom diska (disk image)

20

Završavanje izuzimanja i spremanje slike diska

• Nakon izuzimanja diska se preporuča spremiti case

– File -> save

• Dobra praksa je zatvoriti case i ponovo ga otvoriti

– Zbog kontrole da li je sve uspjelo – Ili zbog izrade kopije case datoteka na druge

medije (stvar procedure)

• Zatvaranje case-a– File -> Exit – I odgovoriti na sve što program pita

21

kliknuti na open

Pokretanje alata i otvaranje slučaja (case)

22

Odaberite datoteku dokaza

Odabir datoteke dokaza

23

Forenzička slika računala - učitana i pripravna za pretragu

24

Conditions - traženje po imenu datoteke

kliknite na conditions i odaberite Search filename

25

Conditions - traženje po imenu datoteke

26

Rezultati traženja po imenu datoteke

27

Gallery pregled - prikaz slika

Za odabrane direktorije prikaz slikaplava kvačica odabrano

28

Dodavanje nađenog u bookmarks

kliknite plavu kvačicu za odabir

Desnim gumbom otvorite meni odaberite bookmark

29

Prikaz svih datoteka sa show-all boxom

30

Dodavanje ključnih riječi za pretraživanje

Odaberite keywords ikliknite na new

31

Otvorite box za dodavanje ključnih riječi

32

Unos riječi za traženje

33

Traženje - po svim datotekama na disku

kliknite na search otvara se maska za definiranje parametara

34

Odabir parametara traženja

35

Traženje u toku

Status traženja

36

Rezultati traženja- završetak

37

Rezultati pretraživanja

38

Traženje u odabranim direktorijima

kliknite na dir. u kojima želitetražiti i otvorite search

39

Rezultati traženja u odabranim direktorijima

40

Dodavanje bookmarka u izvještaj

Otvorite bookmarks

za bookmarke koje želitedesni klik

41

Izrada izvještaja iz bookmarka

42

Izvještaj o istrazi

sve što želite da uđe u report iz bookmarks mora imati kliknut zeleni trokut

43

Još ponešto

• Prošli smo nekih 25% sustava – osnovne mogućnosti• Postoji mrežna verzija

– Enterprise– FIM (Field Investigation Module)

• Postoje moduli za “automatsku” pripremu slučaja (case procesor)

• Postoji enskript jezik za proširenja / prilagođavanja

Nedostaci pojedinih verzija forenzičkih alata:• "Breaking Forensics Software: Weaknesses in Critical

Evidence ollection", www.isecpartners.com/publications.html• www.nist.gov

44Pitanja ?

damir.delija@insig2.hr

www.insig2.hr