OSForensics ile şüpheli etkinlikleri tanımlayın
OSForensics ile şüpheli dosyaları tespit etmek için gelişmiş karma algoritmalar kullanarak bir dosyayı tanımlamak için kullanılabilecek bir dijital tanımlayıcı oluşturabilir.
OSForensics ile Dosyaları Doğrula ve Eşle
Bu tanımlayıcı, bir dosyanın değiştirilmediğini doğrulamak veya bir dosyanın bilinen bir dosya grubunun parçası olup olmadığını hızlı bir şekilde bulmak için kullanılabilir.
OSForensics’teki Verify / Create Hash modülünü kullanarak karma değerini hesaplayarak dosya veya disk birimi için benzersiz, dijital bir tanımlayıcı oluşturun. SHA-1, MD5 ve SHA-256 gibi bir karma oluşturmak için birçok şifreleme algoritmasından birini seçin. Karma değerleri, bir dosyanın içeriğini benzersiz bir şekilde tanımlar ve farklı dosya adı veya dosya uzantısına bakmaksızın, aynı içeriğe sahip diğer dosyaları bulmak için kullanılabilir.
OSForensics ile Yanlış Adlandırılmış Dosyaları Bul
Bir dosyanın içeriğine bakarak OSForensics, ne tür bir dosya olduğunu belirleyebilir ve ardından dosyanın yanlış bir uzantısı olup olmadığını belirleyebilir. Bu , kullanıcının gizlemeye çalıştığı ” Karanlık Veri ” nin bulunmasına yardımcı olabilir .
Uyumsuzluk Dosya Arama modülü ile dosyaların içeriğini analiz eder ve işlenmemiş baytları dosya uzantılarıyla tutarlı olmayan dosyaları tanımlar. Erişilemeyen dosyaları içerecek şekilde dosya aramayı yapılandırın veya kendi özelleştirilmiş dosya filtrenizi kullanın!
Keşfedildikten sonra, eşleşmeyen veya erişilemeyen dosyalar Dosya Listesinden önizlenebilir ve Küçük Resimler görünümünden daha da analiz edilebilir.
OSForensics ile Sürücü İmzaları Oluşturun ve Karşılaştırın
Sabit sürücüdeki dosyaların detaylarını kaydederek daha sonra değiştirilmiş olanı bulmak için bir karşılaştırma yapılabilir.
İmza oluşturma, sürücünün dizin yapısının oluşturma noktasındaki görüntüsünü oluşturur. Bu bilgiler bir dosyanın dizin yolu, dosya boyutu ve dosya öznitelikleri hakkındaki verileri içerir. OSForensics, bir sürücü imzası oluştururken farklı sürücüler ve dizinleri dahil etmek veya hariç tutmak veya hatta sistemdeki her dosya için SHA1 karmaları hesaplamak üzere yapılandırılabilir.
OSForensics, yeni imzaları önceden oluşturulmuş imzalarla karşılaştırabilir ve dosya veya dizin yapısındaki şüpheli değişiklikleri hızlı bir şekilde tanımlamanıza izin verir. OSForensics, çift dosyaları tanımlamak için dosya imzalarını da kullanabilir. İki imza karşılaştırmak, dosya adı, fark türü, dosya öznitelikleri, SHA1 karması (yapılandırıldığı yerde) ve daha fazlasına göre sıralanabilen tüm dosya farklılıklarının erişilebilir bir özetini oluşturur. Özet görünümü ayrıca yalnızca değiştirilmiş, yeni veya silinmiş dosyaları göstermek için filtrelenebilir. Tüm karşılaştırma sonuçları ileride başvurmak üzere kolayca yerel sürücünüze aktarılabilir.
Email Viewer
Farklı kaynaklardan gelen e-postaları görüntülemek için birden fazla posta istemcisi kurmanıza gerek kalmadan, en popüler biçimlerden doğrudan OSForensics’in içindeki e-postaları açın.
Kayıt Görüntüleyicisi
Kayıt defteri dosyalarını, şu anda Windows tarafından kilitlenmiş çevrimdışı ve canlı kayıt defteri dosyaları olan OSF içinden açın, bilinen önemli konumlara gidin ve hızlı arama yapın. Windows API kullanmıyorsa, daha fazla bilgi görülebilir, örneğin bir anahtarın en son düzenleme ve kayıt defteri girişlerinin tarih ve saatlerinde kötü amaçlı yazılım tarafından gizlenebilecek bilgileri görebilirsiniz.
Kayıt defteri görüntüleyicisi Windows API çağrılarını kullanmaz, bu nedenle RegEdit’e göre aşağıdaki avantajları sunar;
- Anahtarlar için son düzenleme saati ve tarihi
- Çevrimdışı kayıt defteri kovanlarını kolayca açın (örneğin, taşınabilir bir sürücüde depolananlar)
- Hızlı arama ve bilinen bir anahtar konuma doğrudan gitme yeteneği
- Kayıt defterinin bazı bölümlerine uygulanan pencere izinlerini atlar
- Kötü amaçlı yazılım / rootkit’lerin eylemleri nedeniyle gizlenebilecek kayıt defteri konumlarını görüntüleyebilir
- Tek bir anahtarın, tüm alt anahtarların veya tüm kayıt defteri dosyasının metnine kolay aktarma
- Geçerli duruma anahtarlar ve değerleri ekleyebilir
$ UsnJrnl Görüntüleyici
$ UsnJrnl görüntüleyici, kullanıcının belirli bir metin ifadeleriyle eşleşen kayıtları aramasını sağlar. Birimdeki değişiklikleri izlemek için NTFS tarafından kullanılan USN Journal’da depolanan girişleri görüntüleyin.
OSForensics ™, NTFS $ UsnJrnl birim değişikliği günlüğünde depolanan günlük kayıtlarını ayrıştırıp görüntüleyen bir $ UsnJrnl görüntüleyici içerir. Bu bilgi, artık dosya sisteminde veya $ MFT’de bulunmayan şüpheli dosyaları (örn. Kötü amaçlı yazılımları) tanımlamak için kullanışlıdır. USN günlüğü, dosya ve dizinlerde değişiklik yapıldığında aşağıdakileri içeren bir birime yapıldığında güncellenir:
- Dosya Meta Verileri değişiklikleri
- Dosya Yaptıklarım
- Dosya Silme
- Dosyanın Üzerine Yazma
Daha fazla ayrıntı için OSForensics resmi web adresini ziyaret edebilirsiniz.
OSForensic ile ilgili diğer yazılar
- OSForensic Adli İnceleme Yazılımı Hakkında
- Adli kanıtları daha hızlı keşfedin
- Dijital araştırmanızı yönetin
