Kryminalistyka cyfrowa i najlepsze aspekty technik odzyskiwania danych

Spisie treści:

Anonim

Wprowadzenie do technik odzyskiwania danych -

Techniki odzyskiwania danych są istotną częścią Digital Forensics. Jest to niezbędne nie tylko dla etycznych hakerów i testerów penetracji, ale także dla zwykłych ludzi w naszym codziennym życiu. Większość z was może nawet pomyśleć, że po sformatowaniu dysku twardego lub telefonu komórkowego wszystkie dane znikną. Ale to nie jest prawdziwy fakt. Dane można odzyskać w dowolny sposób. Poza tym, jeśli chodzi tylko o formatowanie, techniki odzyskiwania danych to łatwe zadanie, które można wykonać za pomocą prostych i bezpłatnych narzędzi dostępnych online. Ale dla początkujących ludzi, którzy nie mają o tym pojęcia, techniki odzyskiwania danych mogą być sytuacją przełomową.

Niektórzy z was mogą nawet nie wiedzieć, jakie są techniki odzyskiwania danych i jakie są aspekty Digital Forensics. Przyjrzyjmy się temu głębiej.

Digital Forensics

Więc większość z was może pomyśleć, że kiedy masz dysk twardy chroniony hasłem, to twoje dane są zabezpieczone. A jeśli wszystko usuniesz, a następnie sformatujesz ponownie, pomyślałbyś, że tego nie ma, co? Ale tak nie jest. I tu właśnie wkracza Digital Forensics.

Kryminalistyka cyfrowa jest częścią hakowania etycznego. Zajmuje się nie tylko technikami odzyskiwania danych, ale także manipulowaniem danymi, śledząc źródła obrazów, filmów i plików mp3 przesyłanych do sieci. Digital Forensics to różnorodna kategoria, z którą należy sobie radzić. Obejmuje to także skanowanie, naprawę i zbieranie procesorów Intel z najbardziej uszkodzonych dysków twardych i innych urządzeń, takich jak telefony komórkowe, urządzenia PDA, komputery przenośne, dane biometryczne i wiele innych. Dlatego techniki odzyskiwania danych są jedną z najważniejszych części cyberprzestępczości, ponieważ wystarczająca ilość danych na temat konkretnego hakera / strony pomogłaby w łatwym rozwiązaniu przestępstwa. Jeśli nie, to przynajmniej odzyskane dane mogą pomóc w identyfikacji metody działania hakera.

Scenariusz życia codziennego

Teraz myślisz: Ok, to w porządku dla Białego Kapelusza i testera penetracji, ale jak to jest przydatne w naszym codziennym życiu? Pozwól, że dam ci scenariusz z życia.

Scenariusz I: Objawienie Nexusa 5

W czasach, gdy zaczynałem uczyć się o hakowaniu i tym podobnych sprawach, byłem dziwakiem. Zawsze miałem zwyczaj kupowania wielu urządzeń i eksperymentowania z nimi. Ale ponieważ pieniądze stanowią problem, kupowałem używane telefony komórkowe sprzedawane w serwisie eBay, olx lub od sprzedawców drogowych za jedną czwartą oryginalnej ceny. Nie tak dawno temu, kiedy eksperymentowałem z Nexusem 5, który kupiłem w serwisie eBay za 8K, straciłem wiele danych, które miałem w sobie. Stało się coś takiego:

Bootloader Nexusa 5

Po zakupie Nexusa 5 został on w pełni sformatowany przez poprzedniego właściciela. Zrootowałem go i zainstalowałem Cyanogen Mod 11.00 (CM11-KitKat) i zainstalowałem całkowicie jądro AK. Właściwie działało tak dobrze, że zacząłem używać go jako mojego codziennego sterownika. Ale kiedy próbowałem go przetaktować, telefon faktycznie przestał działać. Akumulator został spalony z powodu przeciążenia. Kupiłem kolejną baterię i przylutowałem. Ale kiedy uruchomiłem Cell, utknął w pętli rozruchowej (Bootloop oznacza niekończące się ładowanie na ekranie ładowania podczas uruchamiania). Musiałem więc ponownie zainstalować cały system operacyjny. Ale ponieważ chciałem odzyskać wszystkie dane, które miałem w środku, musiałem wykonać kilka sztuczek małp, aby odzyskać wszystkie dane. To nie była prosta sytuacja. A kiedy mówię o technikach odzyskiwania danych, nie mam na myśli danych wewnętrznych. Mam na myśli rzeczywiste dane telefonu, w których przechowywane są ustawienia i inne rzeczy. Zacząłem więc szukać online bezpłatnych narzędzi szkoleniowych w zakresie odzyskiwania danych i znalazłem narzędzie Safecopy dla systemu Linux. Miałem przewagę w Linuksie, ale nigdy nic o tym nie wiedziałem. Zainstalowałem go, wpisując:

Polecane kursy

  • Kurs online na temat HTML i HTML5
  • Profesjonalny kurs testowania oprogramowania
  • Kurs certyfikacji online w Drupal 7
  • Szkolenie certyfikacyjne online w JQuery

$ apt-get zainstaluj bezpieczną kopię

Po zainstalowaniu próbowałem zrobić obraz całego dysku z danymi i partycją pamięci podręcznej przy użyciu Safecopy przy użyciu poniższego polecenia:

$ safecopy / dev / Nexus5 nexus5.iso

. Całe moje dane zawierały około 5-6 koncertów, ale odzyskane dane wyglądały na około 14 koncertów. Byłem w szoku, gdy to zobaczyłem. Teraz, gdy byłem zdesperowany i ciekawy, aby odzyskać moje dane bez uszkodzenia; Użyłem również narzędzi ADB (Android Debug Bridge) do wykonania kopii zapasowej.

Zainstalowałem narzędzia ADB w systemie Linux, wpisując:

$ apt-get install android-tools-ADB

Użyłem następującego polecenia, aby wykonać pełną kopię zapasową mojego telefonu komórkowego:

$ adb backup -apk -shared -all -f /root/temp.ab

Jeśli chcesz po prostu wykonać kopię zapasową bez apk, możesz użyć jednej z następujących czynności:

$ adb backup -all -f /root/temp.ab

Możesz jednak sprawdzić polecenie pomocy, aby sprawdzić więcej flag i opcji.

Teraz nadchodzi najbardziej szokująca część. Pełna kopia zapasowa telefonu komórkowego zajęła około 3-4 godzin. Po zakończeniu całkowita liczba plików, które otrzymałem, wyniosła 33 koncerty. Byłem w szoku, gdy to zobaczyłem. Cały mój Nexus 5 był wyłączony z 16 koncertów, z których miałem tylko 12 koncertów do przechowywania rzeczy, i znowu użyłem tylko do 5-6 koncertów z tego. A skąd, u licha, pozostało 26 koncertów? Najgorsze pytanie brzmiało, gdzie to wszystko było przechowywane? Mylić z tym, użyłem SQLite Viewer, aby wyświetlić plik kopii zapasowej, zanim mógłbym go przywrócić ponownie, a to, co zobaczyłem, było niewiarygodne. Nie tylko wykonałem kopię zapasową, ale kiedy próbowałem odzyskać dane, wszystkie dane poprzedniego właściciela zostały również przywrócone. Mogłem przeglądać czaty na Facebooku i dane na czacie, a także przeglądarkę SQLite i przeglądarkę SQLite. To tylko kwestia czasu, kiedy mogłem oddzielić stare dane odzyskiwania od własnych danych. Mógłbym również odzyskać SMS i informacje o kontaktach za pomocą niesławnego zestawu Sleuth Kit, ale pomyślałem, że powinienem poświęcić trochę czasu, zanim będę w stanie opanować podstawowe odzyskiwanie bazy danych. Odzyskałem również bazę danych Whatsapp i przy odrobinie inżynierii społecznej zhakowałem również zaszyfrowany klucz osoby, od której kupiłem telefon komórkowy. Jednak później zadzwoniłem do konkretnej osoby, ponieważ był on pokornym człowiekiem i poinformowałem go o problemach, które mogłyby się zdarzyć, gdyby wpadł w niepowołane ręce.

Scenariusz II: Metoda Kevina Mitnicka

Wątpię, czy większość z was słyszała o niesławnym hakerze Kevinie Mitnicku. Napisał mnóstwo książek związanych z inżynierią społeczną i hakowaniem. Znajdował się na liście najbardziej poszukiwanych przez FBI i za to samo odbywał 5 lat więzienia, ale został później zwolniony, ponieważ nie znaleziono wielu dowodów przeciwko niemu. Być może zastanawiasz się, dlaczego to mówię. Powodem tego jest to, że; Kevin był doskonałym inżynierem społecznym. I wykorzystałem kilka jego sztuczek, aby przeniknąć do stron internetowych i organizacji (oczywiście prawnie). To, co robił, było bardzo imponujące, ponieważ podszywał się pod kogoś takiego jak on i uzyskiwał fizyczny dostęp do organizacji, a następnie hakował ją. Zwykł też jeździć śmieciami, przez które mógł uzyskać dostęp do poufnych plików wyrzucanych jako śmieci do śmieci.

Teraz, gdy czytam jego książkę „Art of Deception”, pomyślałem, że spróbujmy. I to było dwa lata temu, kiedy pracowałem w innej organizacji IT. Wiedziałem, że co 3 lata firma aktualizowała się na bieżąco, zmieniając część sprzętu, i sprzedawała te komponenty na aukcji eBayu oferującemu najwyższą cenę. Pozornie kupiłem stamtąd kilka dysków twardych. Wszystko było czyste, sformatowane i wolne. Tak więc użyłem tego narzędzia znanego jako techniki odzyskiwania danych EASEUS, aby odzyskać usunięte dane. W tym momencie nie wiedziałem o bezpiecznym kopiowaniu. Więc użyłem tego oprogramowania szkoleniowego Data Recovery. Najpierw użyłem wersji próbnej i znalazłem wiele plików, ale został poważnie uszkodzony i nie mogłem ich odzyskać. Poza tym pliki oznaczone jako „pliki do odzyskania” miały więcej niż 2-3 lata. Miałem wtedy dysk na żywo, którym był Knoppix, słynny dysk na żywo do rozwiązywania problemów. Ale to, co zrobiłem, a później uświadomiłem sobie, że można to zrobić za pomocą dowolnej dystrybucji Linuksa, a nie tylko Knoppixa. Użyłem polecenia dd do sklonowania całego dysku twardego i przeskanowania go sektor po sektorze. dd to narzędzie do kopiowania narzędzia dyskowego dla systemu Linux. Tutaj możesz nawet określić prawie wszystko, od rozmiaru bloku po klonowanie całego dysku.

Użyłem następującego polecenia, aby sklonować dysk twardy:

$ dd if = / dev / sdb1 z = / root / tempclone.iso bs = 2048

Tutaj możesz określić dowolny rozmiar bloku według swojego życzenia, od 512k do 4096, chyba że wiesz, co robisz. W tym miejscu dd prosi komputer o sprawdzenie dysku z etykietą sdb1, a jeśli tak, to skopiuj cały dysk do pliku ISO lub pliku obrazu, w zależności od użycia z rozmiarem bloku wynoszącym 2048 KB, a następnie zapisz go do katalogu głównego o nazwie tempclone.iso. Możesz także odwrócić proces konwersji klonu ISO na fizyczny dysk twardy, wpisując następujące polecenie:

$ dd if = / root / tempclone.iso of = / dev / sdb1 bs = 1024

Tutaj zawsze wolę używać niskiej wielkości bloku bocznego ze względu na osobiste preferencje. Możesz go zwiększyć, jeśli chcesz, ale w przeszłości miałem z tym złe doświadczenia. Zatem niski rozmiar bloku.

Klonując dysk twardy, masz teraz pełny klon całego dysku twardego na komputerze. Pamiętaj jednak, że nie będzie to działać na zwykłym formacie HDD, ponieważ nie ma nic do klonowania. Najpierw musisz odzyskać uszkodzone dane, używając dobrego oprogramowania do odzyskiwania dysku, takiego jak EASEUS, nawet jeśli jest nieczytelny, nie stanowi problemu. Po odzyskaniu możesz go sklonować za pomocą polecenia dd. Powodem tego jest fakt, że jeśli na dysku twardym znajdują się nieodwracalne uszkodzone sektory, dysk twardy nie pozwoli nawet na odczytanie pozostałej części danych w pobliżu tego sektora. Ale możemy to zrobić, klonując dysk. Po sklonowaniu możesz użyć następujących narzędzi do zidentyfikowania i usunięcia złych sektorów oraz zapisania tylko dobrych i możliwych do odzyskania sektorów, a następnie przeczytania go:

  1. HDDscan

(http://hddscan.com/)

  1. HDDLLF

(http://hddguru.com/)

  1. Sprawdź Flash

(http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)

  1. Chip Genius

(www.usbdev.ru/files/chipgenius/)

W ten sposób wyodrębniłem około 390 gigabajtów danych z 500-gigabajtowego dysku twardego, z którego mogłem odzyskać nieuszkodzone dane około 236 gigabajtów. To był poważny problem, ponieważ informacje, które otrzymałem, były niezwykle poufne. Przeglądając dane, zauważyłem, że był to dysk twardy wykorzystywany przez zespół ds. Zasobów ludzkich do oszczędzania wynagrodzenia, funduszu oszczędnościowego i innych informacji księgowych. Szybko przekazałem te informacje kierownikowi działu IT i poinformowałem go o tym, ale ponieważ są to Indie, nie podjęto żadnych odpowiednich działań. Poleciłem firmie zniszczenie dysków twardych zamiast ich sprzedaży, ponieważ może to być koszmar, jeśli szczegóły informacji o koncie bankowym dostaną się w niepowołane ręce. Niemniej jednak zostałem poproszony o ustąpienie, ale dostałem promocję z tego powodu, co jest zupełnie inną historią.

Cyfrowe medycyny sądowej i techniki odzyskiwania danych: Następstwa

Chodzi o to, że techniki odzyskiwania danych mają zastosowanie nie tylko do każdej innej organizacji, ale także do normalnych osób korzystających z urządzeń elektronicznych do przechowywania poufnych danych. Mógłbym o tym mówić dalej, ale to nie ma znaczenia. Ważne jest, aby wiedzieć, jak zniszczyć cyfrowe dowody sądowe. Hakerzy używają obecnie szyfrowania LUKS do niszczenia danych, jeśli ktoś manipuluje nim, co zastępuje każdy bajt zerami, a nie innymi liczbami szesnastkowymi. To jednak sprawia, że ​​techniki odzyskiwania danych są bezużyteczne. Ale znowu, nie jest dziecinnie proste korzystanie z szyfrowania LUKS. Poza tym stosowanie szyfrowania LUKS ma dużą wadę, ponieważ jeśli zapomnisz hasła do przechowywanych danych, nie będzie można go odzyskać bez względu na wszystko. Utkniesz na zawsze. Ale oczywiście lepiej, aby nikt nie miał dostępu do danych, niż jakiś złodziej wykorzystujący je do złośliwego celu.

Techniki odzyskiwania danych i cyfrowa kryminalistyka to kolejny ważny powód, dla którego hakerzy zwykle niszczą wszystkie dane po bezpiecznym usunięciu z komputera ofiary lub komputera podrzędnego po zakończeniu pracy, aby nic nie można było do nich przypisać. Zawsze jest w tym coś więcej niż się wydaje. Techniki odzyskiwania danych, jak każda inna rzecz na planecie, są dobrodziejstwem, a także przekleństwem. Są to dwie strony tej samej monety. Nie możesz uratować jednego, niszcząc drugiego.

Pierwsze źródło obrazu: Pixabay.com

Polecane artykuły: -

Oto kilka artykułów, które pomogą ci uzyskać więcej szczegółowych informacji na temat cyfrowej medycyny sądowej i ważnych aspektów technik odzyskiwania danych, więc po prostu przejdź przez link.

  1. Potężny plan kampanii marketingu cyfrowego
  2. 5 prostych cyfrowych strategii marketingowych dla sukcesu w biznesie
  3. 11 Ważne umiejętności, które musi posiadać menedżer ds. Marketingu cyfrowego
  4. W jaki sposób cyfrowe uczenie się zmieni edukację?
  5. Właściwy przewodnik na Drupal vs Joomla
  6. Drupal 7 vs Drupal 8: Funkcje
  7. ACCA vs CIMA: Funkcje