Цифрова криміналістика та найкращі аспекти методів відновлення даних

Зміст:

Anonim

Вступ у методики відновлення даних -

Методи відновлення даних є невід'ємною частиною цифрової криміналістики. Це важливо не тільки для етичних хакерів та тестерів проникнення, але і для нормальних людей у ​​нашому щоденному житті. Більшість із вас навіть можуть подумати, що після форматування вашого жорсткого диска або мобільного телефону всі ваші дані втрачаються. Але це не справжній факт. Дані можна відновити будь-яким способом. Крім того, якщо це лише форматування, методи відновлення даних - це легке завдання, яке можна виконати за допомогою простих та безкоштовних інструментів, доступних в Інтернеті. Але для початківців людей, які про це не мають жодного поняття, методи відновлення даних можуть стати ситуацією, що займається вирішенням справ.

Дехто з вас може навіть не знати, що таке методи відновлення даних та які аспекти цифрової криміналістики. Отже, давайте глибше розглянемо це.

Цифрова криміналістика

Тому більшість із вас можуть подумати, що коли у вас захищений паролем жорсткий диск, ваші дані захищені. І якщо ви видалите все, а потім відформатуєте його ще раз, ви б подумали, що його вже немає, так? Але це не так. І ось тут починає грати Digital Forensics.

Цифрова криміналістика є частиною етичного злому. Він стосується не лише методів відновлення даних, а й маніпулювання даними, відстежуючи джерело зображень, відео та mp3-файлів, завантажених в Інтернет. Цифрова криміналістика - це різноманітна категорія, з якою можна боротися. Він також включає сканування, ремонт та збирання Intel з найбільш пошкоджених дисків жорсткого диска та інших пристроїв, таких як стільникові телефони, КПК, портативні комп’ютери, біометричні дані та багато іншого. Таким чином, методи відновлення даних є однією з найважливіших частин Кіберзлочинності, оскільки достатньо даних про конкретного хакера / учасника допоможе у вирішенні злочину легко. Якщо ні, то, принаймні, відновлені дані могли б допомогти визначити робочий метод хакера.

Сценарій щоденного життя

Тепер ви думаєте: Гаразд, це добре для Білого капелюха і тестера на проникнення, але чим це корисно в нашому щоденному житті? Дозвольте дати вам сценарій реального життя.

I сценарій: Одкровення Nexus 5

Протягом моїх днів, коли я починав дізнаватися про хакерство та інше, я був гаджетом-виродком. Я завжди мав звичку купувати багато пристроїв і експериментувати з цим. Але оскільки гроші - це проблема, я купував б / у мобільні телефони, що продаються на eBay, olx або у придорожніх продавців за чверть від початкової ціни. Не так довго, коли я експериментував із Nexus 5, який купував у eBay за 8K, я втратив багато даних, що були в ньому. З матеріалами сталося щось подібне:

Завантажувач Nexus 5

Після того як я придбав Nexus 5, він був повністю відформатований попереднім власником. Я вкоренив його і встановив Cyanogen Mod 11.00 (CM11-KitKat) і встановив повністю ядро ​​АК. Насправді це було так чудово, що я почав використовувати його як свого щоденного водія. Але коли я спробував розігнати його, телефон насправді помер. Батарея згоріла через перевантаження. Я придбав ще один акумулятор і припаяв його. Але коли я запустив Cell, він застряг на циклі завантаження (Bootloop означає нескінченне завантаження при екрані завантаження при запуску). Отже, мені довелося перевстановити всю ОС. Але оскільки я хотів відновити всі дані, що були у мене, мені довелося зробити кілька мавпочок, щоб відновити всі дані. Це була не пряма ситуація вперед. І коли я кажу про методи відновлення даних, я не маю на увазі внутрішні дані. Я маю на увазі фактичні дані телефону, де зберігаються налаштування та інші речі. Отже, я почав шукати в Інтернеті інструменти для навчання відновлення даних і знайшов інструмент Safecopy для Linux. Я мав перевагу в Linux, але ніколи нічого про це не знав. Я встановив його, ввівши:

Рекомендовані курси

  • Онлайн-курс з HTML та HTML5
  • Курс професійного тестування програмного забезпечення
  • Онлайн-сертифікаційний курс в Drupal 7
  • Навчання онлайн-сертифікації в JQuery

$ apt-get встановити безпечну копію

Після встановлення я спробував створити цілий образ диска з розділу даних та кешу за допомогою Safecopy за допомогою команди нижче:

$ safecopy / dev / Nexus5 nexus5.iso

. Всі мої дані складали приблизно 5-6 концертів, але відновлені дані, здавалося, складали близько 14 гігів. Я був шокований, побачивши це. Тепер я відчайдушно і цікаво повертати свої дані без корупції; Я також використав інструменти ADB (Android Debug Bridge), щоб зробити резервну копію.

Я встановив інструменти ADB в Linux, ввівши:

$ apt - встановіть android-tools-ADB

Я використовував таку команду, щоб отримати повну резервну копію свого мобільного телефону:

$ adb backup -apk -shared -all -f /root/temp.ab

Якщо ви просто хочете створити резервну копію без apk, ви можете скористатися одним із наведених нижче способів:

$ adb backup -all -f /root/temp.ab

Однак ви можете перевірити довідкову команду, щоб перевірити наявність інших прапорів та параметрів.

Тепер, приходить сама шокуюча частина. На повну резервну копію мобільного телефону знадобилося приблизно 3-4 години. Після закінчення я отримав загальний файл із 33 концертів. Я був в шоці, коли побачив це. Увесь мій Nexus 5 був знятий з 16 концертів, з яких у мене було лише 12 гігів, щоб зберігати речі, і я знову використовував до 5-6 гігів. Тоді звідки, до біса, залишилися 26 концертів? Найгірше питання було, де це все зберігалося? Плутати з цим я використовував SQLite Viewer для перегляду файлу резервної копії, перш ніж я міг відновити його назад, і те, що я побачив, було неймовірним. Він не тільки взяв резервну копію шахти, але коли я спробував відновити дані, усі дані, які зберігав попередній власник, також були відновлені. Я міг переглядати чати у Facebook та дані We-chat, а також за допомогою браузера SQLite та засобу перегляду SQLite. Це було лише питання часу, коли я зможу відокремити старі дані відновлення від власних даних. Я також міг відновити SMS та інформацію про контакти, використовуючи сумнозвісний набір Sleuth Kit, але я подумав дати йому трохи часу, перш ніж я міг освоїти базове відновлення бази даних. Я також відновив базу даних Whatsapp, і, за допомогою трохи соціальних інженерій, також зламав зашифрований ключ людини, у якої я придбав мобільний телефон. Однак пізніше я подзвонив конкретній людині, оскільки він був скромною людиною, і повідомив його про проблеми, які могли статися, якби це потрапило в чужі руки.

II сценарій: Метод Кевіна Мітніка

Сумніваюся, чи не чула більшість із вас про сумнозвісного хакера Кевіна Мітніка. Він написав безліч книг, пов’язаних із соціальною інженерією та хакерством. Він був у списку найбільш розшукуваних ФБР і також відбув 5 років ув'язнення за те саме, але згодом був звільнений, оскільки проти нього не знайдено багато доказів. Вам може бути цікаво, чому я це говорю. Причина тому, тому що; Кевін був відмінним соціальним інженером. І я використав кілька його хитрощів, щоб проникнути на веб-сайти та організації (очевидно юридично). Те, що він раніше робив, було дуже вражаючим, оскільки він використовував себе за себе, як себе, отримати фізичний доступ до організації, а потім зламати її. Він також робив водіння сміттєвого контейнера, через який міг отримати доступ до чутливих файлів, викинутих як сміття.

Тепер, коли я читав його книгу "Мистецтво обману", думав спробувати. І це було два роки тому, коли я працював в іншій ІТ-організації. Я знав, що кожні 3 роки компанія постійно оновлюється, змінюючи частину обладнання та використовуючи, щоб продавати ці компоненти найвищим учасникам на eBay партіями. Здавалося, я придбав кілька жорстких дисків звідти. Це все було чисто і відформатовано та повільно. Отже, я використовував цей інструмент, відомий як методи відновлення даних EASEUS, для відновлення видалених даних. На той момент я не знав про безпечну копію. Отже, я використав це програмне забезпечення для відновлення даних. Спочатку я використав пробну версію і знайшов багато файлів, але був сильно пошкоджений, і не зміг їх відновити. Крім того, файли, показані як "файли, які можна відновити", мали більше 2-3 років. Отже, у мене тоді був живий диск, на якому був Knoppix, відомий живий диск, щоб вирішити що-небудь. Але те, що я зробив, і пізніше зрозумів, що це можна зробити через будь-який дистрибутив Linux, а не лише Knoppix. Я використовував команду dd, щоб клонувати весь жорсткий диск і сканувати його по секторах. dd - це інструмент для копіювання дискових утиліт для Linux. Тут ви навіть можете вказати майже все, від розміру блоку до клонування цілого диска.

Я використовував таку команду для клонування жорсткого диска:

$ dd, якщо = / dev / sdb1 of = / root / tempclone.iso bs = 2048

Тут ви можете вказати будь-який розмір блоку за вашим бажанням від 512 до 4096 до тих пір, поки ви не знаєте, що робите. Тут dd просить комп'ютер перевірити наявність накопичувача з міткою sdb1, і якщо він є, зробіть копію всього диска в iso або файл зображення залежно від використання, розмір блоку має бути 2048k, а потім збережіть його до кореневого каталогу з іменем tempclone.iso. Ви також можете змінити процес перетворення ізо-клону у фізичний жорсткий диск, ввівши наступне:

$ dd, якщо = / root / tempclone.iso of = / dev / sdb1 bs = 1024

Тут я завжди вважаю за краще використовувати низький розмір бічного блоку через особисті переваги. Ви можете збільшити його, якщо хочете, але я мав поганий досвід з цим у минулому. Таким чином, низький розмір блоку.

Отже, клонувавши жорсткий диск, тепер у вас є повний клон всього HDD на вашому комп'ютері. Але зауважте, що це не буде працювати на звичайному відформатованому жорсткому диску, оскільки немає чого клонувати. Спочатку вам доведеться відновити пошкоджені дані, використовуючи гарне програмне забезпечення для відновлення диска, наприклад EASEUS, навіть якщо це не читається, це не проблема. Після відновлення ви можете його клонувати за допомогою команди dd. Причина цього полягає в тому, що якщо на вашому жорсткому диску є непоправні погані сектори, він не дозволить вам навіть прочитати залишки даних, що знаходяться поруч із цим сектором. Але ми можемо це зробити, клонувавши диск. Після клонування ви можете використовувати такі інструменти для виявлення та видалення поганих секторів та збереження лише хороших та відновлюваних секторів, а потім прочитати їх:

  1. HDDscan

(http://hddscan.com/)

  1. HDDLLF

(http://hddguru.com/)

  1. Перевірте Flash

(http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)

  1. Чіп-геній

(www.usbdev.ru/files/chipgenius/)

Таким чином, я витягнув приблизно 390 гігів даних із жорсткого диска на 500 гігів, і з цього я міг відновити непошкоджені дані близько 236 гігабайт. Тепер це було серйозним питанням, оскільки отримана мною інформація була надзвичайно конфіденційною. Переглянувши дані, я побачив, що це жорсткий диск, який використовує команда з людських ресурсів для збереження заробітної плати, забезпечення фондів та іншої бухгалтерської інформації. Я швидко повернув цю інформацію керівнику відділу інформаційних технологій і повідомив йому про це, але оскільки це Індія, не було вжито жодних належних дій. Я рекомендував компанії знищувати жорсткі диски, а не продавати їх, оскільки це насправді може бути кошмаром, якщо реквізити банківського рахунку потраплять не в руки. Тим не менш, мене попросили відмовитися, але, однак, я отримав підвищення по службі завдяки цьому, це зовсім інша історія.

Цифрова криміналістика та методи відновлення даних: Після

Але справа в тому, що методи відновлення даних застосовуються не тільки для будь-якої іншої організації, але і для звичайних людей, які використовують електронні пристрої для зберігання конфіденційних даних. Я міг би продовжувати цю справу, але це не має значення. Важливо знати, як знищити докази цифрової криміналістики. В даний час хакери використовують шифрування LUKS для знищення даних, якщо хтось підробляє їх, який переписує кожен байт нулями, а не будь-яким іншим шістнадцятковим числом. Це, однак, робить методи відновлення даних марними. Але знову ж таки, це не дитяча гра для того, щоб усі користувалися шифруванням LUKS. Крім того, використання шифрування LUKS має великий недолік, що якщо ви самі забудете пароль на збережені дані, його неможливо відновити незалежно від того. Ти будеш застряг назавжди. Але, очевидно, краще, щоб ніхто не мав доступу до даних, аніж якийсь злодій використовував їх у зловмисних цілях.

Методи відновлення даних та цифрова криміналістика - ще одна важлива причина, по якій хакери зазвичай знищують усі дані при безпечному видаленні з жертви чи рабовласницького комп'ютера, коли їх робота буде виконана, щоб нічого не було відстежено назад. Завжди є більше, ніж здається. Методи відновлення даних, як і будь-яка інша річ на планеті, є користю і прокляттям. Вони - дві сторони однієї і тієї ж монети. Ви не можете врятувати одного, знищуючи іншого.

Перше джерело зображення: Pixabay.com

Рекомендовані статті: -

Ось кілька статей, які допоможуть вам отримати більш детальну інформацію про цифрову криміналістику та важливі аспекти методів відновлення даних, тому просто перейдіть за посиланням.

  1. Потужний план маркетингової кампанії з цифрового маркетингу
  2. 5 простих стратегій цифрового маркетингу для успіху бізнесу
  3. 11 Важливі навички, які повинен мати менеджер цифрового маркетингу
  4. Як цифрове навчання змінює освіту?
  5. Належний путівник по Drupal vs Joomla
  6. Drupal 7 vs Drupal 8: Особливості
  7. ACCA vs CIMA: Функції