может кому и пригодится
итак поехали :
Основы: Ведение дел и визуализация (обновлено 09.08.2024)
1. Создание дела (кейса)
► Показать
XWF позволяет эксперту взаимодействовать с различными вещами, такими как жесткие диски, физическую память и файловые системы без создания кейса. Однако мы настоятельно рекомендуем создать кейс, так как именно столько дополнительных функций XWF доступны, включая автоматическое ведение журнала, глобальный сбор и преобразование SID в имена пользователей и создание файлов отчетов, и это лишь некоторые из них. Для работы с обращением необходимо отобразить окно Данные обращения. по умолчанию XWF отображает это окно в левой части интерфейса, как показано на рисунке 1.1
[External Link Removed for Guests]
[External Link Removed for Guests]
► Показать
Чтобы создать новое дело, выберите Файл- Создать дело в окне данных дела, после чего появится диалоговое окно, позволяющее вам установить различные свойства дела. Окно свойств дела состоит из четырех разделов и доп. настроек, как показано на рисунке.
[External Link Removed for Guests]
В каждом из разделов поля в основном не требуют пояснений, но некоторые заслуживают внимания, однако их обсуждение выходит за пределы данной книги. По умолчанию XWF создаст подпапку по пути, указанному в свойстве «Каталог». с тем же именем, которое мы вводим в свойстве Название/номер обращения. Как напоминание, значение по умолчанию для Каталога будет взято из любого пути,
введенного в поле Опции | Меню «Общее» в текстовом поле «Папка для кейсов и проектов». Соответствующий файл дела XWF (.xfc) и папка будут созданы по указанному пути. в свойстве Directory. Например, если для создания В случае, как показано на рисунке 1.2
будут созданы файл и папка, показанные
на рисунке 1.3
[External Link Removed for Guests]
В каждом из разделов поля в основном не требуют пояснений, но некоторые заслуживают внимания. По умолчанию XWF создаст подпапку по пути, указанному в свойстве «Каталог». с тем же именем, которое мы вводим в свойстве Название/номер обращения.
По мере создания большего количества дел одновременно будет создаваться больше каталогов и файлов .xfc.
Следует отметить, что Windows не допустит двух случаев с одинаковым имя должно существовать в том же каталоге. Если существующий случай существует, XWF сообщит вам об этом и предложит исправить разногласие. Чтобы избежать этого, просто используйте уникальное значение для заголовка обращения/свойство числа. Например, использование уникального номера дела может быть более
подходящим.
[External Link Removed for Guests]
В каждом из разделов поля в основном не требуют пояснений, но некоторые заслуживают внимания, однако их обсуждение выходит за пределы данной книги. По умолчанию XWF создаст подпапку по пути, указанному в свойстве «Каталог». с тем же именем, которое мы вводим в свойстве Название/номер обращения. Как напоминание, значение по умолчанию для Каталога будет взято из любого пути,
введенного в поле Опции | Меню «Общее» в текстовом поле «Папка для кейсов и проектов». Соответствующий файл дела XWF (.xfc) и папка будут созданы по указанному пути. в свойстве Directory. Например, если для создания В случае, как показано на рисунке 1.2
будут созданы файл и папка, показанные
на рисунке 1.3
[External Link Removed for Guests]
В каждом из разделов поля в основном не требуют пояснений, но некоторые заслуживают внимания. По умолчанию XWF создаст подпапку по пути, указанному в свойстве «Каталог». с тем же именем, которое мы вводим в свойстве Название/номер обращения.
По мере создания большего количества дел одновременно будет создаваться больше каталогов и файлов .xfc.
Следует отметить, что Windows не допустит двух случаев с одинаковым имя должно существовать в том же каталоге. Если существующий случай существует, XWF сообщит вам об этом и предложит исправить разногласие. Чтобы избежать этого, просто используйте уникальное значение для заголовка обращения/свойство числа. Например, использование уникального номера дела может быть более
подходящим.
► Показать
После создания нового дела или открытия существующего мы можем добавлять различные фрагменты доказательства, такие как судебно-медицинские изображения (например, файлы e01 и dd), которые большинство экспертам знакомы. Файл e01 представляет собой собственный формат файла, который содержит побитовую копия носителя. Помимо данных, найденных на носителе, файл e01 содержит проверку
циклическим избыточным кодом (CRC) для определенных фрагментов данных размером 32 000, а также возможность хранить хэш всего потока данных внутри e01. Сравнивая оба хэша и CRC различных фрагментов данных, можно сказать, изменились ли какие-либо данные (поскольку общий хэш не совпадает), а также именно эти части данных были повреждены (поскольку один или несколько CRC не
работают). Образы dd похожи на файлы e01 тем, что содержат побитовую копию файла.
Но файлы dd не содержат в себе дополнительных проверочных данных. Как таковой,вы должны проверить изображение dd на соответствие хешу всего носителя. В обоих случаях вы будете знать, что что-то изменилось, если хеш источника не соответствует хешу изображения.
Помимо полной поддержки этих часто используемых типов изображений, XWF понимает Режим 1 и Режим 2 Форма 1 ISO-образа компакт-диска с 2352 байтами на сектор (если они не расширены), а также образы дисков виртуальных машин VMware (VMDK) и динамические образы VHD Virtual PC. XWF также позволяет создавать отдельные каталоги и/или файлы, которые нужно добавить в дело. Хотя мы еще не
рассматривали файлы-контейнеры, часто бывает лучше добавлять отдельные файлы и/или каталоги в файл-контейнер, а не напрямую к делу. Это будет описано в разделе о файлах-контейнерах ниже. Одной из очень мощных и уникальных возможностей XWF является возможность создания изображения жесткого диска, и «диск наоборот». Это полезно, если на жестком диске имеется поврежденный участок,
который невозможно восстановить.
Создавая образ в традиционной манере до предела, а затем продолжая процесс в обратном порядке, начиная с последнего сектора, XWF может генерировать почти полное изображение с небольшим пробелом, который соответствует физике сильно поврежденного участка диска.
XWF: СОВЕТЫ И ПОДСКАЗКИ
Файловая система имеет значение!
При создании обратных образов обязательно сохраняйте такие образы в раздел,
отформатированный в NTFS.
FAT32 не поддерживается.
Помимо криминалистических образов жестких дисков, компакт-дисков и т. д., вы можете добавлять образы физической памяти.
XWF полностью способен работать с жестким диском или другим запоминающим устройством, но мы рекомендуем использовать образ устройства, а не работать с реальными доказательствами. Вы также можете использовать блокировщик записи, если вы хотите проверить исходное устройство.
В некоторых случаях, работы на работающей системе избежать невозможно (при обнаружении шифрования, при работе на бизнес-сервере, который невозможно отключить, работа с экзотическим RAID настройки и др.). Если вы столкнетесь с таким случаем, XWF полностью способен работать с работающей системой с минимальным воздействием.
циклическим избыточным кодом (CRC) для определенных фрагментов данных размером 32 000, а также возможность хранить хэш всего потока данных внутри e01. Сравнивая оба хэша и CRC различных фрагментов данных, можно сказать, изменились ли какие-либо данные (поскольку общий хэш не совпадает), а также именно эти части данных были повреждены (поскольку один или несколько CRC не
работают). Образы dd похожи на файлы e01 тем, что содержат побитовую копию файла.
Но файлы dd не содержат в себе дополнительных проверочных данных. Как таковой,вы должны проверить изображение dd на соответствие хешу всего носителя. В обоих случаях вы будете знать, что что-то изменилось, если хеш источника не соответствует хешу изображения.
Помимо полной поддержки этих часто используемых типов изображений, XWF понимает Режим 1 и Режим 2 Форма 1 ISO-образа компакт-диска с 2352 байтами на сектор (если они не расширены), а также образы дисков виртуальных машин VMware (VMDK) и динамические образы VHD Virtual PC. XWF также позволяет создавать отдельные каталоги и/или файлы, которые нужно добавить в дело. Хотя мы еще не
рассматривали файлы-контейнеры, часто бывает лучше добавлять отдельные файлы и/или каталоги в файл-контейнер, а не напрямую к делу. Это будет описано в разделе о файлах-контейнерах ниже. Одной из очень мощных и уникальных возможностей XWF является возможность создания изображения жесткого диска, и «диск наоборот». Это полезно, если на жестком диске имеется поврежденный участок,
который невозможно восстановить.
Создавая образ в традиционной манере до предела, а затем продолжая процесс в обратном порядке, начиная с последнего сектора, XWF может генерировать почти полное изображение с небольшим пробелом, который соответствует физике сильно поврежденного участка диска.
XWF: СОВЕТЫ И ПОДСКАЗКИ
Файловая система имеет значение!
При создании обратных образов обязательно сохраняйте такие образы в раздел,
отформатированный в NTFS.
FAT32 не поддерживается.
Помимо криминалистических образов жестких дисков, компакт-дисков и т. д., вы можете добавлять образы физической памяти.
XWF полностью способен работать с жестким диском или другим запоминающим устройством, но мы рекомендуем использовать образ устройства, а не работать с реальными доказательствами. Вы также можете использовать блокировщик записи, если вы хотите проверить исходное устройство.
В некоторых случаях, работы на работающей системе избежать невозможно (при обнаружении шифрования, при работе на бизнес-сервере, который невозможно отключить, работа с экзотическим RAID настройки и др.). Если вы столкнетесь с таким случаем, XWF полностью способен работать с работающей системой с минимальным воздействием.
► Показать
Наиболее распространенный тип визуализации, с которым вы можете столкнуться, — это визуализация жестких диски из системы «мертвого ящика». Все,что означает «мертвая коробка», заключается в том, что компьютер выключен, а не включено при работающей операционной системе, то есть «живой ящик». Если у вас есть один или несколько жестких дисков, нам нужно будет сделать их доступными для компьютерная системы, на которой работает XWF. Для этого мы используем блокировщик записи, который предотвратит внесение любых
изменений на жесткий диск во время процесса получения изображения. Короче говоря, Windows должна «видеть» хотя бы физическое устройство на компьютер независимо от того, есть ли у него буква диска в разделе «Мой компьютер». После подключения жесткого диска к блокировщику записи блокировщик записи включается. Включившись и Windows обнаружит диск, мы готовы создать образ диска.
Для большинства задач по созданию изображений XWF будет использоваться без создания дела. То есть XWF будет открыт и использован только для создания образа одного или нескольких фрагментов.
Чтобы создать изображение, нажмите F9 или воспользуйтесь меню Инструменты – Открыть диск, чтобы откройте диалоговое окно «Просмотр диска», как показано на рисунке 1.4
[External Link Removed for Guests]
Если вы используете WinHex вместо X-Ways Forensics (а не в режиме только для чтения), то вместо этого то же диалоговое окно называется «Редактировать диск».
Если у вас нет необходимости создавать образ отдельного раздела, мы рекомендуем что вы выбираете устройство в разделе «Физический носитель». Просто выберите физическое устройство, которое вы хотите открыть в XWF.
На рисунке 1.4 выбран HD0.
XWF откроется диск и отобразить некоторую основную информацию о диске, включая любую разделы, которые XWF смог обнаружить, начальные сектора, неразмеченное пространство и т.д.
Теперь XWF может полностью взаимодействовать с только что открытым жестким диском. Двойной-щелчок по разделу откроет этот раздел, и XWF начнет просматривать все сектора в разделе. Это первоначальный процесс создания моментального снимка тома, который состоит анализа различных метаданных файловой системы, таких как основная таблица файлов (MFT).
Дело в том, что мы не заинтересованы в работе напрямую с работающим жестким диском, поэтому мы позволим себе избежать открытия отдельного раздела.
Теперь XWF готов создать аналитический образ жесткого диска. Для начала процесса, выберите раздел Файл - Создать образ диска или нажмите AltC, как показано на рисунке 1.5
[External Link Removed for Guests]
Хотя на данный момент в XWF есть все необходимое для создания образа, несколько рекомендуются дополнительные изменения, как показано на рисунке 1.6
[External Link Removed for Guests]
Первые два параметра в разделе «Формат файла изображения» говорят сами за себя. Третий, это контейнер файлов доказательств, позволяющий создать образ диска в формате XWF. Контейнер, а не файл e01 или dd. Некоторые сторонние инструменты могут хранить основную информацию в контейнерах XWF, поэтому это приемлемый вариант в некоторые сценарии. Конечно, XWF (и некоторые другие
инструменты) можно использовать для создания образ e01 или dd контейнера доказательств XWF, который можно использовать любым инструментом.
Понимающим данные форматы, но это не обязательно для использования контейнера в XWF.
После того, как вы настроите параметры по своему вкусу, нажмите кнопку «ОК», чтобы начать процесс снятия образа.
В начале процесса создания образа создается текстовый файл, который обновляется по мере прогресса. Текстовый файл будет сохранен в том же каталоге, что и изображение. Файл и будет иметь то же имя файла, что и изображение. Этот текстовый файл будет содержать различную информацию о жестком диске. Диск, включая количество секторов, в которых был сохранен образ, его емкость,
разделы и т. д.
В конце процесса создания образа XWF добавит хэш-значения в файл с указанием, хешируются ли источник и назначение совпало.
Если вы отмените процесс создания образа до его завершения, XWF завершит сегмент файла изображения (при использовании формата e01), который он создает в данный момент так что создается согласованный файл изображения.
Процесс создания образа любого другого типа носителя аналогичен созданию образа
жесткого диска. Если это не так, это будет объяснено в следующих разделах.
изменений на жесткий диск во время процесса получения изображения. Короче говоря, Windows должна «видеть» хотя бы физическое устройство на компьютер независимо от того, есть ли у него буква диска в разделе «Мой компьютер». После подключения жесткого диска к блокировщику записи блокировщик записи включается. Включившись и Windows обнаружит диск, мы готовы создать образ диска.
Для большинства задач по созданию изображений XWF будет использоваться без создания дела. То есть XWF будет открыт и использован только для создания образа одного или нескольких фрагментов.
Чтобы создать изображение, нажмите F9 или воспользуйтесь меню Инструменты – Открыть диск, чтобы откройте диалоговое окно «Просмотр диска», как показано на рисунке 1.4
[External Link Removed for Guests]
Если вы используете WinHex вместо X-Ways Forensics (а не в режиме только для чтения), то вместо этого то же диалоговое окно называется «Редактировать диск».
Если у вас нет необходимости создавать образ отдельного раздела, мы рекомендуем что вы выбираете устройство в разделе «Физический носитель». Просто выберите физическое устройство, которое вы хотите открыть в XWF.
На рисунке 1.4 выбран HD0.
XWF откроется диск и отобразить некоторую основную информацию о диске, включая любую разделы, которые XWF смог обнаружить, начальные сектора, неразмеченное пространство и т.д.
Теперь XWF может полностью взаимодействовать с только что открытым жестким диском. Двойной-щелчок по разделу откроет этот раздел, и XWF начнет просматривать все сектора в разделе. Это первоначальный процесс создания моментального снимка тома, который состоит анализа различных метаданных файловой системы, таких как основная таблица файлов (MFT).
Дело в том, что мы не заинтересованы в работе напрямую с работающим жестким диском, поэтому мы позволим себе избежать открытия отдельного раздела.
Теперь XWF готов создать аналитический образ жесткого диска. Для начала процесса, выберите раздел Файл - Создать образ диска или нажмите AltC, как показано на рисунке 1.5
[External Link Removed for Guests]
Хотя на данный момент в XWF есть все необходимое для создания образа, несколько рекомендуются дополнительные изменения, как показано на рисунке 1.6
[External Link Removed for Guests]
Первые два параметра в разделе «Формат файла изображения» говорят сами за себя. Третий, это контейнер файлов доказательств, позволяющий создать образ диска в формате XWF. Контейнер, а не файл e01 или dd. Некоторые сторонние инструменты могут хранить основную информацию в контейнерах XWF, поэтому это приемлемый вариант в некоторые сценарии. Конечно, XWF (и некоторые другие
инструменты) можно использовать для создания образ e01 или dd контейнера доказательств XWF, который можно использовать любым инструментом.
Понимающим данные форматы, но это не обязательно для использования контейнера в XWF.
После того, как вы настроите параметры по своему вкусу, нажмите кнопку «ОК», чтобы начать процесс снятия образа.
В начале процесса создания образа создается текстовый файл, который обновляется по мере прогресса. Текстовый файл будет сохранен в том же каталоге, что и изображение. Файл и будет иметь то же имя файла, что и изображение. Этот текстовый файл будет содержать различную информацию о жестком диске. Диск, включая количество секторов, в которых был сохранен образ, его емкость,
разделы и т. д.
В конце процесса создания образа XWF добавит хэш-значения в файл с указанием, хешируются ли источник и назначение совпало.
Если вы отмените процесс создания образа до его завершения, XWF завершит сегмент файла изображения (при использовании формата e01), который он создает в данный момент так что создается согласованный файл изображения.
Процесс создания образа любого другого типа носителя аналогичен созданию образа
жесткого диска. Если это не так, это будет объяснено в следующих разделах.