El análisis forense digital de los forenses USB incluye la preservación, recopilación, validación, identificación, análisis, interpretación, documentación y presentación de evidencia digital derivada de fuentes digitales con el fin de facilitar o promover la reconstrucción de eventos que se consideran criminales.
Disk Imaging – USB Forensics:-
- Una imagen de disco se define como un archivo de computadora que contiene el contenido y la estructura de un dispositivo de almacenamiento de datos, como un disco duro, una unidad de CD, un teléfono, una tableta, una RAM o un USB.
- La imagen de disco consiste en el contenido real del dispositivo de almacenamiento de datos, así como la información necesaria para replicar la estructura y el diseño de contenido del dispositivo.
- Sin embargo, se utiliza una amplia gama de herramientas conocidas de acuerdo con el tribunal de justicia para realizar el análisis.
- Las herramientas estándar están autorizadas únicamente según la ley, los examinadores forenses no tienen permitido realizar imágenes con herramientas desconocidas, herramientas nuevas.
- Herramientas estándar: Encase Forensic Imager y su extensión (Imagename.E01) Forensic Toolkit Imaging & Analysis:
- Dado que el software forense de Encase cuesta alrededor de $ 2,995.00 – $ 3,594.00, so in this Las imágenes y el análisis se realizarán con el software FTK Forensic realizado por AccessData.
- FTK Incluye un generador de imágenes de disco independiente es una herramienta simple pero concisa.
FTK Imager:-
- Arriba se muestra la figura del panel de datos de access FTK Imager.
Árbol de evidencia
- Haga clic en el botón de color verde superior izquierdo para agregar evidencia al panel y seleccione el tipo de evidencia de origen.
- La evidencia de la fuente seleccionada es la unidad lógica (USB).
Unidad lógica
- Consulte el menú desplegable,hasta aquí seleccionado HP USB para análisis.
Datos del árbol de evidencia
- La expansión del árbol de evidencia del dispositivo USB representará la vista general de los datos eliminados en el pasado.
- Profundiza más para verificar e investigar el tipo de evidencia eliminada.
Advertencia: Se recomienda no trabajar con evidencia original en la investigación, ya que copiar accidentalmente nuevos datos a USB sobrescribirá los archivos eliminados anteriormente en USB. La integridad de la evidencia fallará, por lo que siempre trabaje con la copia forense de la imagen.
Creación de imagen USB:-
- Seleccione y cree una imagen de disco desde el menú Archivo.
Formato de imagen de disco
- Haga clic en el botón Agregar y seleccione el tipo apropiado de formato de imagen E01.
- La figura anterior ilustra el tipo de imagen seleccionado es E01.
Información de evidencia
- Es obligatorio agregar más información sobre el tipo de USB, el tamaño, el color y más Identidad de la evidencia.
Destino de la imagen
- Seleccione la ruta de destino del nombre de archivo USB C:\Users\Balaganesh\Desktop\New carpeta y el nombre del archivo de imagen es HP Thumb Drive.
Creación de imágenes – USB Forensics
- La figura anterior muestra que la imagen del formato USB de . E01 está en curso.
- Tomará de varios minutos a horas crear el archivo de imagen.
Imagen forense:-
- Desconecte la evidencia USB y mantenga la evidencia original segura y trabaje con la imagen forense siempre.
- La figura anterior muestra esa copia forense o imagen a seleccionar. Aquí la imagen forense es HP. E01
Análisis digital de evidencia:-
- La figura anterior ilustra algunas actividades sospechosas en la unidad USB que es probable que se encuentren.
Antivirus, cosas ilegales y más carpetas se eliminan.
Recuperación de archivos y carpetas eliminados:-
Aquí hemos descubierto, USB contiene algunos nombres sospechosos de archivos en formato pdf.
Extraiga la evidencia:
- Finalmente, hemos recuperado enlaces Tor maliciosos en .onion en formato pdf como evidencia. ¡¡Feliz investigación!!
Nota: En algunos casos, el archivo extraído puede estar vacío, muestra que los nuevos archivos se han sobrescrito. En este escenario, los atributos de archivo serán evidencia.
