bigdata autopsy forensic

Günümüzde birçok ticari olarak hazırlanmış mobil cihaz adli veri inceleme yazılımı bulunmaktadır. Bunlar arasında yaygın olarak kullanılanları Oxygen Forensic, Cellebrite UFED, MSAB XRY, Belkasoft ve MobilEdit Forensic'dir

Elbette, bu araçlar çok, hatta son derece güçlü ve Android de dahil olmak üzere birçok mobil cihazdan büyük veri kümeleri çıkartabilmektedirler. Ancak ticari olanların oldukça pahalı olması nedeniyle kullanıcılar bunlar yerine kullanılabilecek alternatif açık kaynak kodlu yazılım arayışındadır.

Endişelenmeyin ticari yazılımlar yerine kullanılabilecek bir alternatif ürün bulunmaktadır. Bilgisayar incelemelerinde kullanılan açık kaynak kodlu Autopsy adli veri inceleme yazılımı imdadınıza yetişecektir.

Tabii ki bu araç yeni bir araç değildir. Geleneksel bilgisayar adli veri inceleme işlemlerinde özellikle de dosya sistemlerinin incelenmesinde dünya çapında adli bilişim uzmanları tarafından yaygın şekilde kullanılmaktadır. Linux platformunda çalışan bu uygulama Windows işletim sistemi platformalarında da kullanılabilir hale getirilmiştir.

Autopsy adli veri inceleme yazılımın 4.0.0. üzeri sürümlerinde “Android Analyzer Modülü” bulunmaktadır. Bu mödül ile mobil cihazların adli kopyalarından aşağıda belirtilen bilgiler çıkartılabilmektedir. Bunlar;

  • Kısa mesajlar (SMS / MMS);
  • arama kayıtları;
  • Rehber;
  • Tango mesajları;
  • Arkadaşlar mesajları ile Kelimeler;
  • Tarayıcıdan ve Google Haritalar'dan GPS;

Ancak bu, Android adli incelemesi için uygun olan tek modül değildir. EXIF Ayrıştırıcı Modülü, Anahtar Kelime Arama Modülü, PhotoRec Veri Kazıma Modülü ve diğerleri gibi önemli modüllerdir.

Bir vaka oluşturup bir Android mobil cihaz adli kopyasını ekleyelim. Paketi çalıştırırsanız Hoş Geldiniz penceresini görürsünüz.

Yeni bir vaka oluşturmamız gerekiyor, bu nedenle ilgili seçeneği seçin.

 Dava bilgilerimizi doldurmamızın zamanı geldi:

bigdata autopsy forensic 1

Vaka adından başlayarak "WeAre4n6_Android_Test" i seçiyoruz, temel dizinimiz D: \, kendi verilerinizi seçebilirsiniz, böylece verilerimiz D: \ WeAre4n6_Android_Test dosyasında saklanacaktır.

Vaka numarasını ve muayene görevlisinin adını belirlemek isteğe bağlıdır, isterseniz atlayabilirsiniz:

bigdata autopsy forensic 2

Veri kaynağımızı seçmenin zamanı geldi.

bigdata autopsy forensic 3 Bizim incelememizde, C: \ Users \ Olly \ Desktop'da bulunan bir Android mobil cihaz fiziksel adli kopyası (userdata.dd) bulunmaktadır. İnceleme için doğru saat dilimini ayarlamayı unutmayın!

Şimdi resim üzerinde çalıştırmak istediğiniz içe aktarma modüllerini seçin.

bigdata autopsy forensic 4

Android Analyzer'ı seçmeyi unutmayın! Exif Ayrıştırıcı, Anahtar Kelime Araması ve PhotoRec Carver da çok yararlıdır. Ayrılmış Alan Çalıştırma seçeneğini işaretlediğinizden de emin olun - otomatik olarak PhotoRec ile kurtarılmış olacaktır.

Şimdi adli kopya Autopsy Ingest Modülleri tarafından analiz edilmektedir.

bigdata autopsy forensic 5

İşte Android Analyzer modülünden elde ettiğimiz şey

bigdata autopsy forensic 6

Gördüğünüz gibi oldukça fazla veri otomatik olarak çıkarılmaktadır. Arama günlükleri, kişiler, GPS trackpoints ve mesajları Android Analyzer modülü tarafından ayıklanır, EXIF ​​meta verileri EXIF ​​Ayrıştırıcı modülü tarafından ayıklanır, yanlış uzantılara sahip dosyalar Uzantı Uyumsuzluğu Dedektörü modülü, web çerezleri, web indirmeleri, web geçmişi ve web aramaları tarafından algılanır.

Uzantı Uyumsuzluğu Dedektör modülü, örneğin, Android adli veri inceleme işlemi için çok yararlıdır, önbelleklenmiş resimleri bulmak için kullanılabilir.

bigdata autopsy forensic 7

Gördüğünüz gibi ön belleğe eklenmiş resim "jpg" yerine "0" uzantısına sahip:

bigdata autopsy forensic 8

Konumunu analiz ederek, bu resmin popüler bir Rus sosyal medya uygulaması olan "Odnoklassniki" tarafından önbelleğe alındığı sonucuna varıyoruz.

Ayrıca Autopsy, Ext4 dosya sisteminden otomatik olarak silinen dosyaları kurtarmayı desteklemektedir.

bigdata autopsy forensic 9

Son olarak, PhotoRec Carver modülü, bir adli incelemecinin, ayrılmamış alanından veri kazıma tekniği ile veri çıkarmasına yardımcı olmaktadır.

bigdata autopsy forensic 10

Bu yazı, Autopsy'nin, hem veri ayrıştırma hem de kurtarma yeteneğine sahip birçok modülle Android forensics için oldukça güçlü bir açık kaynak aracı olduğunu göstermiştir.

star forensic iletisim

mobil veri kurtarma

goruntu inceleme

  • Veri Kurtarma Yapılan Aygıtlar

hard-disk-kurtarma

  

flash-kurtarma

          

ss-veri-kurtarma

   

server-kurtarma

   

raid-kurtarma

   

dvr kayit

 

mobil

 
Hard Disk   USB Bellek   

SSD

 

Server

 

RAID

 

DVR-Kayıt Cihazı

   Mobil Cihaz