Giới thiệu
Ở đây, chúng tôi giải thích cách dữ liệu được thu thập bằng cách thu thập hình ảnh của cả bên ngoài Ổ cứng HDD và SSD. Là một phần của bước tiếp theo, chúng ta sẽ thảo luận về cách chúng ta đã trích xuất dữ liệu từ những hình ảnh thu được và cách thức so sánh và phân tích dữ liệu đã được thực hiện cùng với sự so sánh kết quả thu được từ cả hai ổ đĩa. Các công cụ đã được
được sử dụng cho quá trình này là FTK imageer và FTK.
Trình bày dữ liệu
Trong phần này, chúng ta sẽ thảo luận về loại tệp nào có trong ổ đĩa. Ở đó là các định dạng khác nhau như PDF, tài liệu word, trang tính excel. Chúng có phạm vi cao về
bằng chứng có trong chúng vì chúng có thể chứa thông tin quan trọng.
Hình 7. Nội dung của Thư mục Động vật
Hình 9. Nội dung của Thư mục Sunshine
Hình 10. Nội dung của Thư mục Du lịch
Bằng chứng sẽ được chuyển sang HDD cũng như SSD. Năm thư mục rác có
nhiều loại dữ liệu như trang tính Excel, PDF, Hình ảnh, MP3 với kích thước 80GB sẽ được sao chép cho cả hai.
Đầu tiên, chúng tôi kết nối cả SSD và HDD với máy tính xách tay và chúng tôi có thể xem bản xem trước như
sau:
Hình 12. SSD và HDD được kết nối với máy tính
Là một phần của quá trình tiếp theo, chúng tôi sao chép tất cả các tệp và thư mục bằng chứng vào cả ổ cứng và SSD, và chúng ta có thể thấy hành động bên dưới:
Thư mục bằng chứng trong SSD và HDD. Chúng ta có thể thấy bằng chứng dưới dạng
tệp và thư mục trong SSD
Hình 14. Nội dung của HDD và SSD
Vì có Năm Thư mục Rác, chúng được chuyển vào SSD và HDD với các kết hợp như sau:
Xóa bằng chứng và các thư mục Rác và sao chép các thư mục Rác mới vào HDD và SSD.
Hình 16. Thư mục rác trong HDD và SSD
Hình 17. Chuyển các thư mục rác trong HDD và SSD
Cài đặt FTK Imager.
1. Đầu tiên, chúng tôi đi đếnhttps://accessdata.com/product-download/ftk-imager-version-4.2.0
Hình 18. Trang web để tải xuống FTK Imager
2. Sau đó, chúng ta cần điền vào biểu mẫu để nhận liên kết tải xuống như sau:
3. Chúng tôi có thể thấy liên kết mà chúng tôi nhận được trong email như sau:
Hình 20. Email để tải xuống FTK Imager
4. Các bước cài đặt sau khi tải xuống tệp FTK.exe:
Hình 22. Hoàn tất cài đặt FTK Imager
Tạo hình ảnh của SSD.Bây giờ, chúng tôi mở trình hình ảnh FTK và chọn tệp nguồn cho
chọn SSD. Chúng ta có thể xem bản xem trước như sau:
Chọn tệp và tùy chọn tạo ảnh đĩa.
Hình 24. Chọn nguồn cho FTK Imager
Hình 26. Chọn nguồn hình ảnh
Sau đó, chúng tôi cung cấp thông tin bằng chứng cho việc tạo hình ảnh như sau:
Hình 28. Biểu mẫu thông tin bằng chứng
Sau đó, chúng ta có thể thấy việc tạo ra một hình ảnh như sau:
Hình 30. Tạo hình ảnh
Sau đó, chúng ta có thể thấy rằng hình ảnh được tạo ra như sau:
Hình 32. Tóm tắt hình ảnh đã tạo
SSD Image 2, Image 3 và Image 4 được cấu tạo tương tự.
Hình 33. Hình ảnh SSD trong thư mục
Tạo hình ảnh của ổ cứng.Là một phần của quy trình tiếp theo, chúng tôi mở FTK Imager để tạo hình ảnh của ổ cứng. Chúng tôi chọn "Loại bằng chứng nguồn" làm Ổ đĩa vật lý.
Hình 34. Chọn loại nguồn
Sau đó, trong bước tiếp theo, chúng tôi chọn đường dẫn cho ổ cứng có sẵn và chúng tôi có thể thấy điều đó trong
hình ảnh bên dưới:
Sau khi chọn ổ đĩa, chúng tôi nhấp vào kết thúc, và điều này sẽ tiến tới việc tạo
hình ảnh của ổ cứng. Chúng tôi xem thông tin mà chúng tôi nhập cho mục đích kiểm tra là sau:
Hình 36.Thông tin vật phẩm bằng chứng
Là một phần của quá trình tạo ảnh, chúng ta có thể thấy quá trình như sau. Sau khi hoàn thành, chúng tôi
lấy hình ảnh của ổ cứng với tất cả nội dung của các tệp và thư mục.
Cài đặt bộ FTK data truy cập.Truy cập Dữ liệu tạo Bộ công cụ pháp y hoặc FTK. Nó sẽ quét một ổ cứng để tìm kiếm thông tin khác nhau. Ví dụ: để khôi phục các email đã xóa, hình ảnh. Nó cũng được sử dụng để quét các chuỗi văn bản để sử dụng chúng làm từ điển mật khẩu để bẻ khóa mã hóa.
Hình 38. Thỏa thuận cấp phép để truy cập dữ liệu FTK Suite
Sau khi cài đặt:
Để mở và phân tích một hình ảnh đã tạo chúng ta cần một số phần mềm như FTK, Khám nghiệm tử thi. bên trong bên dưới, tôi có một bộ công cụ Pháp y và Bước đầu tiên là chọn Bắt đầu một trường hợp mới và nhấp vào OK. Trong cấp độ tiếp theo, chúng ta cần cung cấp tên Điều tra viên. Trong trường hợp này, tên điều tra viên là Bhargav. Số hồ sơ đề cập đến một số duy nhất mà qua đó một vụ án hoặc cuộc điều tra giao. Tên vụ án là tên vụ án mà chúng tôi sắp điều tra. Đường dẫn trường hợp là đưa ra đường dẫn đích và thư mục trường hợp là tên thư mục mà dữ liệu phải được lưu trữ.
Hình 41. Thông tin giám định pháp y
Để giải quyết một trường hợp cho một công ty hoặc một dự án trường đại học, chúng ta cần phải nhắc đến cái tên đó. chúng tôi phải điền vào các chi tiết cá nhân như địa chỉ email hoặc số điện thoại.
Đây là những lựa chọn mà chúng tôi phải xem xét trong khi thực hiện một cuộc điều tra pháp y. Qua kiểm tra các trường bên dưới, chúng tôi có thể nhận được thông tin về các lỗi và sự kiện trường hợp.
Hình 43. Các quy trình để thực hiện
Nó giúp bao gồm các bộ lọc và chúng ta phải phối cảnh nào để có được kết quả.
Chúng tôi cần kiểm tra xem chúng tôi cần trạng thái xóa hoặc trạng thái mã hóa và trạng thái email.
Hình 45. Cài đặt chỉ mục mặc định
Đánh dấu vào các hộp như tệp chùng giúp xem dữ liệu bên trong tệp chùng cũng như
không gian trống trong hệ thống tệp
Chúng ta có thể thêm Hình ảnh đã tạo để làm bằng chứng
Hình 47. Loại bằng chứng để thêm
Chọn hình ảnh thu được của ổ đĩa và chọn tiếp tục.
Phân tích dữ liệu
Chọn Hình ảnh 1 và mở hình ảnh.
Hình 49. Thông tin bằng chứng
Để lại bình luận và múi giờ chúng tôi đang ở
Quá trình này sẽ mất khoảng năm đến sáu giờ để phân tích hình ảnh.
Hình 51. Kết quả hình ảnh đầu tiên
Kết quả của hình ảnh đầu tiên.Bây giờ trong hộp Cụm từ tìm kiếm, chúng tôi tìm kiếm các Từ được lập chỉ mục. Từ hình ảnh bên dưới, chúng ta có thể thấy một số lượng truy cập mẫu cho các mục tìm kiếm động vật, du lịch,
thực vật và ánh nắng mặt trời.
Hình 53. Lượt truy cập mẫu cho Ánh nắng mặt trời, Du lịch và Nhà máy cho SSD Hình ảnh 1
Bây giờ chúng tôi tìm kiếm các tệp .doc, .pdf và .xlxs và chúng tôi thấy số lần truy cập như sau.
Hình 55. Số lần truy cập mẫu cho .Doc, .Pdf và .Xlxs cho SSD Hình 1
Phân tích hình ảnh thứ hai của SSD.Bây giờ chúng ta điền vào thông tin trường hợp chẳng hạn như Trường hợp Số, Tên trường hợp, Đường dẫn trường hợp và Thư mục trường hợp và nhấp vào tiếp theo.
Bây giờ khi chúng ta nhấp vào tổng quan, chúng ta có thể thấy 4896 mục.
Hình 57. Tổng quan về hình ảnh thứ hai của SSD
Chúng ta có thể thấy định dạng mã Hex cho một trong các tệp đã chọn như sau:
Kết quả hình ảnh thứ hai.Bây giờ trong hộp Cụm từ tìm kiếm, chúng tôi tìm kiếm các Từ được lập chỉ mục. Từ hình ảnh bên dưới, chúng ta có thể thấy một số lượng truy cập mẫu cho các mục tìm kiếm động vật, du lịch, thực vật,
và ánh nắng mặt trời.
Hình 59. Số lượt truy cập mẫu cho Động vật, Du lịch và Thực vật cho SSD Hình ảnh 2
Bây giờ chúng tôi tìm kiếm các tệp .doc, .pdf và .xlxs và chúng tôi thấy số lần truy cập như sau.
Hình 61. Số lượt truy cập mẫu cho .Doc và .Xlxs cho SSD Hình ảnh 2
Hình 62. Số lượt truy cập mẫu cho .Doc, .Pdf và .Xlxs cho SSD Hình ảnh 2
Bây giờ chúng tôi điền vào thông tin trường hợp như Số trường hợp, Tên trường hợp, Đường dẫn trường hợp và Thư mục Case và nhấp vào tiếp theo.
Phân tích hình ảnh thứ ba của SSD.
Hình 63. Tạo vỏ mới cho SSD Image 3
Bây giờ chúng tôi điền thông tin bằng chứng, chẳng hạn như vị trí bằng chứng, Hiển thị bằng chứng
Đặt tên và nhấp vào OK.
Bây giờ chúng ta thấy trạng thái của phân tích hình ảnh.
Hình 65. Rời khỏi Múi giờ khi Xử lý Hình ảnh 2
Kết quả hình ảnh thứ ba của SSD.Sau khi phân tích hình ảnh xong, chúng ta có thể thấy số lượng các tập tin. Khi chúng ta nhấp vào một trong các tệp, chúng ta có thể thấy định dạng mã Hex như sau:
Bây giờ trong hộp Cụm từ tìm kiếm, chúng tôi tìm kiếm các Từ được lập chỉ mục. Từ hình ảnh dưới đây, chúng tôi có thể xem một số lượng truy cập mẫu cho các mục tìm kiếm động vật, du lịch, thực vật và ánh nắng mặt trời.
Hình 67. Lượt truy cập mẫu cho Động vật, Du lịch và Thực vật cho SSD Hình ảnh 3
Hình 68. Số lượt truy cập mẫu cho Ánh nắng mặt trời, Du lịch và Nhà máy cho SSD Hình ảnh 3
Bây giờ chúng tôi tìm kiếm các tệp .doc, .pdf và .xlxs và chúng tôi thấy số lần truy cập như sau.
`
Hình 70. Số lần truy cập mẫu cho .Doc, .Pdf và .Xlxs cho SSD Hình ảnh 3
Phân tích hình ảnh thứ tư của SSD.Bây giờ chúng ta điền vào thông tin trường hợp chẳng hạn như Trường hợp
Số, Tên trường hợp, Đường dẫn trường hợp và Thư mục trường hợp và nhấp vào tiếp theo.
Hình 71. Tạo vỏ mới cho SSD Image 4
Bây giờ chúng tôi điền thông tin bằng chứng, chẳng hạn như vị trí bằng chứng, Hiển thị bằng chứng
Hình 72. Thông tin bằng chứng cho SSD Hình ảnh 4
Bây giờ chúng ta thấy trạng thái của phân tích hình ảnh.
Sau khi phân tích hình ảnh được thực hiện, chúng ta có thể thấy số lượng tệp. Khi chúng tôi nhấp vào một của các tệp, chúng ta có thể thấy định dạng mã Hex như sau:
Hình 74. Mã Hex cho SSD Hình ảnh thứ tư
Bây giờ trong hộp Cụm từ tìm kiếm, chúng tôi tìm kiếm các Từ được lập chỉ mục. Từ hình ảnh dưới đây, chúng tôi có thể xem số lượng truy cập mẫu là 0 cho các mục tìm kiếm động vật, du lịch, thực vật và ánh nắng mặt trời.
Hình 75. Số lượt truy cập mẫu cho Động vật, Du lịch và Thực vật cho SSD Hình ảnh 4
Hình 76. Lượt truy cập mẫu cho Ánh nắng mặt trời, Du lịch và Nhà máy cho SSD Hình ảnh 4
Bây giờ chúng tôi tìm kiếm các tệp .doc, .pdf và .xlxs và chúng tôi thấy số lần truy cập là 0 và chúng tôi có thể thấy như sau.
Hình 77. Số lượt truy cập mẫu cho .Doc, .Pdf và .Xlxs cho SSD Hình ảnh 4
Bây giờ khi chúng tôi tìm kiếm một mục cụ thể (động vật), chúng tôi nhận được số lần truy cập là 0, con số này ít hơn nhiều so với kết quả thu được từ các hình ảnh trước đó.
Kết quả thu được từ HDD.Bây giờ trong hộp Cụm từ tìm kiếm, chúng tôi tìm kiếm Từ ngữ. Từ hình ảnh bên dưới, chúng ta có thể thấy một số lượng truy cập mẫu cho các mục tìm kiếm động vật,
du lịch, thực vật và ánh nắng mặt trời.
Hình 79. Lượt truy cập mẫu cho Động vật, Du lịch và Thực vật cho Hình ảnh HDD
Bây giờ chúng tôi tìm kiếm các tệp .doc, .pdf và .xlxs và chúng tôi thấy số lần truy cập là 0 và chúng tôi có thể thấy như sau.
Hình 81. Lần truy cập mẫu cho .Doc, .Pdf và .Xlxs cho HDD Image
Khi chúng tôi phân tích Ổ đĩa cứng bằng FTK, chúng tôi có thể thấy tổng số tệp là
trong số 5000.
Khi chúng tôi nhấp vào một trong các tệp hình ảnh, chúng tôi có thể khôi phục nó và chúng tôi có thể xem bản xem trước của các hình ảnh như sau.
Hình 83. Xem trước hình ảnh cho Hình ảnh HDD
Hình 85. Xem trước hình ảnh 3 cho Hình ảnh ổ cứng
Khi chúng tôi nhấp vào một trong các tệp excel, chúng tôi có thể khôi phục nó và chúng tôi có thể xem bản xem trước của
excel như sau.
Hình 86. Xem trước Excel cho Hình ảnh HDD
Khi chúng tôi nhấp vào một trong các tệp tài liệu, chúng tôi có thể khôi phục nó và chúng tôi có thể thấy xem trước tài liệu như sau.
Hình 87. Xem trước tài liệu cho hình ảnh ổ cứng
Khi chúng tôi nhấp vào một trong các thư mục, chúng tôi có thể khôi phục nó và chúng tôi có thể xem bản xem trước của thư mục ở định dạng mã Hex như sau.
Tóm lược
Trong chương này, chúng tôi đã tải dữ liệu vào HDD và SSD và tạo hình ảnh bằng cách sử dụng Máy ảnh FTK. Bước tiếp theo là tải những hình ảnh đó và phân tích chúng theo pháp y kỹ thuật số kỹ thuật. Phân tích kết quả và kết luận được đưa ra trong chương tiếp theo.