Forenzika

Poglobljena vadnica za obdukcijo kompleta Sleuth

Poglobljena vadnica za obdukcijo kompleta Sleuth
Digitalna forenzika vključuje obnovitev in pridobivanje kakršnih koli dokazov iz naprav, kot so trdi diski, računalniki in mobilni telefoni, ki lahko shranijo kakršne koli podatke. Obdukcija je orodje, ki ga uporabljajo vojska, organi pregona in različne agencije, kadar obstaja forenzična potreba. Obdukcija je v bistvu grafični vmesnik za zelo znane Komplet Sleuth uporablja za pridobivanje dokazov s fizičnega pogona in številnih drugih orodij. Sleuth Kit upošteva samo navodila ukazne vrstice. Po drugi strani pa obdukcija omogoča enak postopek enostaven in uporabniku prijazen.  Obdukcija ponuja različne funkcije, ki pomagajo pri pridobivanju in analiziranju kritičnih podatkov, poleg tega pa uporablja različna orodja za opravila, kot je Analiza časovne premice, Filtriranje zgoščenk, izrezovanje podatkov, Exif podatki, Pridobivanje spletnih artefaktov, iskanje po ključnih besedah, itd. Obdukcija uporablja več jeder in vzporedno izvaja procese v ozadju in vam takoj, ko se pojavi nekaj, kar vas zanima, postane izjemno hitro in zanesljivo orodje za digitalno forenziko.

Namestitev:

Najprej v sistemu Linux zaženite naslednji ukaz za posodobitev skladišč paketov:

[e-pošta zaščitena]: ~ $ sudo apt-get update

Zdaj zaženite naslednji ukaz, da namestite paket obdukcije:

[zaščiteno po e-pošti]: ~ $ sudo apt namesti obdukcijo

To bo namestilo Obdukcija kompleta Sleuth v vašem sistemu Linux.

Za sisteme s sistemom Windows preprosto prenesite Obdukcija s svoje uradne spletne strani  https: // www.sleuthkit.org / obdukcija /.

Uporaba:

Zaženimo obdukcijo s tipkanjem $ obdukcija v terminalu. Odprl nas bo zaslon z informacijami o lokaciji omarice z dokazi, času zagona, lokalnem pristanišču in različici obdukcije, ki jo uporabljamo.

Tu lahko vidimo povezavo, do katere nas lahko pripeljemo obdukcija. Na navigaciji do http: // localhost: 9999 / obdukcija v katerem koli spletnem brskalniku nas bo pozdravila domača stran in zdaj lahko začnemo uporabljati Obdukcija.

Ustvarjanje primera:

Prva stvar, ki jo moramo storiti, je ustvariti nov primer. To lahko storimo s klikom na eno od treh možnosti (Open case, New case, Help) na domači strani Autopsy. Po kliku nanjo bomo videli tak zaslon:

Vnesite podrobnosti, kot je omenjeno, tj.e., ime primera, imena preiskovalca in opis primera, da bomo lahko organizirali naše podatke in dokaze, uporabljene za to preiskavo. Večino časa več kot en preiskovalec izvaja digitalno forenzično analizo; zato je treba izpolniti več polj. Ko končate, lahko kliknete Nov primer gumb.

To bo ustvarilo primer z danimi informacijami in vam pokazalo lokacijo, kjer je ustvarjen imenik primerov i.e./ var / lab / obdukcija / in lokacijo konfiguracijske datoteke. Zdaj kliknite na Dodaj gostitelja, in prikazal se bo zaslon, kot je ta:

Tu nam ni treba izpolniti vseh danih polj. Izpolniti moramo samo polje Ime gostitelja, kamor vnesemo ime sistema, ki ga preiskujemo, in njegov kratek opis. Druge možnosti so neobvezne, na primer določanje poti, kamor se bodo shranile slabe razpršilke, ali tiste, kamor bodo šli drugi, ali nastavitev časovnega pasu po naši izbiri. Po zaključku tega kliknite na Dodaj gostitelja , da si ogledate podrobnosti, ki ste jih navedli.

Zdaj je dodan gostitelj in imamo lokacijo vseh pomembnih imenikov, lahko dodamo sliko, ki jo bomo analizirali. Kliknite na Dodaj sliko če želite dodati slikovno datoteko, se bo prikazal tak zaslon:

V položaju, ko morate zajeti sliko katere koli particije ali pogona določenega računalniškega sistema, lahko sliko diska dobite z dcfldd uporabnost. Če želite dobiti sliko, lahko uporabite naslednji ukaz,

[zaščiteno po e-pošti]: ~ $ dcfldd if = od
bs = 512 count = 1 hash =

če =cilj pogona, katerega želite imeti sliko

od =cilj, kjer bo shranjena kopirana slika (lahko je karkoli, npr.g., trdi disk, USB itd.)

bs = velikost bloka (število bajtov za kopiranje hkrati)

hash =vrsta razpršitve (npr.g md5, sha1, sha2 itd.) (neobvezno)

Lahko tudi uporabimo dd pripomoček za zajem slike pogona ali particije z

[e-pošta zaščitena]: ~ $ dd, če = od = bs = 512
count = 1 hash =

Obstajajo primeri, ko imamo nekaj dragocenih podatkov Oven za forenzično preiskavo, kar moramo storiti, je zajeti Physical Ram za analizo spomina. To bomo storili z naslednjim ukazom:

[zaščiteno po e-pošti]: ~ $ dd, če = / dev / fmem od = bs = 512 štetje = 1
hash =

Lahko si še ogledamo dd razne druge pomembne možnosti pripomočka za zajemanje slike particije ali fizičnega rama z uporabo naslednjega ukaza:

[e-pošta zaščitena]: ~ $ dd --help
dd možnosti pomoči
 
bs = bajtov prebere in zapiše do toliko bajtov naenkrat (privzeto: 512);
preglasi ibs in obs
cbs = BYTES pretvori BYTES bajtov hkrati
conv = CONVS pretvori datoteko po seznamu simbolov, ločenih z vejicami
count = N kopiraj samo N vhodnih blokov
ibs = BYTES prebere do BYTES bajtov hkrati (privzeto: 512)
if = DATOTEKA bere iz FILE namesto stdin
iflag = ZASTAVE se berejo po seznamu simbolov, ločenih z vejicami
obs = BYTES naenkrat napiši BYTES bajtov (privzeto: 512)
of = FILE piši v FILE namesto v stdout
oflag = ZASTAVE pišite po seznamu simbolov, ločenih z vejicami
išči = N preskoči N obs velikih blokov na začetku izhoda
preskoči = N preskoči N blokov velikosti ibs na začetku vnosa
status = LEVEL NIVO informacij, ki jih je treba natisniti v stderr;
'none' zatira vse, razen sporočil o napakah,
'noxfer' zatira statistiko končnega prenosa,
'napredek' prikazuje periodične statistike prenosa
 
N in BYTES lahko spremljajo naslednji multiplikativni priponi:
c = 1, w = 2, b = 512, kB = 1000, K = 1024, MB = 1000 * 1000, M = 1024 * 1024, xM = M,
GB = 1000 * 1000 * 1000, G = 1024 * 1024 * 1024 itd. Za T, P, E, Z, Y.
 
Vsak simbol CONV je lahko:
 
ascii iz EBCDIC v ASCII
ebcdic od ASCII do EBCDIC
ibm iz ASCII na nadomestni EBCDIC
zapiši zapise, zaključene z novo vrstico, s presledki do velikosti cbs
odblokiraj zamenjaj zadnje presledke v zapisih velikosti cbs z novo vrstico
Sprememba velikih črk v male črke
ucase spremeniti male črke v velike
redki poskusite iskati in ne zapisovati izhoda za vhodne bloke NUL
zamenjajte bris vsakega para vhodnih bajtov
sinhronizirajte vsak vhodni blok z NUL-ji na velikost ibs; kadar se uporablja
z blokom ali odblokiranjem, blazinico s presledki namesto z NUL-ji
excl ne uspe, če izhodna datoteka že obstaja
nocreat ne ustvari izhodne datoteke
notrunc ne okrni izhodne datoteke
noerror se nadaljuje po bralnih napakah
fdatasync fizično napiši podatke izhodne datoteke pred zaključkom
fsync, ampak tudi zapisati metapodatke
 
Vsak simbol ZASTAVE je lahko:
 
dodajanje dodajanje način (smiselno samo za izhod; conv = notrunc predlagano)
neposredna uporaba neposrednih V / I za podatke
imenik ne uspe, razen če imenik
dsync uporabi sinhronizirani V / I za podatke
sinhronizacijo, vendar tudi za metapodatke
fullblock kopiči celotne vhodne bloke (samo iflag)
neblokirana uporaba neblokirajočih V / I
noatime ne posodabljajte časa dostopa
nocache Zahteva za spuščanje predpomnilnika.

Uporabili bomo sliko z imenom 8-jpeg-search-dd prihranili smo na našem sistemu. To sliko je za testne primere ustvaril Brian Carrier za uporabo pri obdukciji in je na voljo na internetu za testne primere. Preden dodamo sliko, bi morali zdaj preveriti md5 razpršitev te slike in jo primerjati kasneje, ko jo shranimo v omarico z dokazi, in obe bi se morali ujemati. Vsoto slike md5 lahko ustvarimo tako, da v naš terminal vnesemo naslednji ukaz:

[e-pošta zaščitena]: ~ $ md5sum 8-jpeg-search-dd

To bo naredilo trik. Mesto, kjer je shranjena slikovna datoteka, je / ubuntu / Desktop / 8-jpeg-search-dd.

Pomembno je, da moramo vstopiti na celotno pot, kjer se nahaja slika i.r / ubuntu / desktop / 8-jpeg-search-dd v tem primeru. Symlink , zaradi česar je slikovna datoteka neobčutljiva na težave, povezane s kopiranjem datotek. Včasih se prikaže napaka »neveljavna slika«, preverite pot do slikovne datoteke in poskrbite, da bo poševnica naprej »/ ” je tam. Kliknite na Naslednji nam bo pokazal naše podrobnosti o sliki, ki vsebujejo Datotečni sistem tip, Namestite pogon, in md5 vrednost naše slikovne datoteke. Kliknite na Dodaj da slikovno datoteko postavite v omarico z dokazi in kliknite v redu. Pojavil se bo zaslon, kot je ta:

Tu smo uspešno dobili sliko in odšli na našo Analizirajte del za analizo in pridobivanje dragocenih podatkov v smislu digitalne forenzike. Preden preidemo na del »analiziraj«, lahko s klikom na možnost podrobnosti preverimo podrobnosti slike.

To nam bo dalo podrobnosti o slikovni datoteki, kot je uporabljeni datotečni sistem (NTFS v tem primeru), particijo za pritrditev, ime slike in omogoča hitrejše iskanje ključnih besed in obnovitev podatkov z ekstrahiranjem nizov celotnih zvezkov in tudi nedodeljenih presledkov. Po pregledu vseh možnosti kliknite gumb za nazaj. Zdaj, preden analiziramo svojo slikovno datoteko, moramo preveriti celovitost slike s klikom na gumb Image Integrity in generiranjem md5 zgoščene slike.

Pomembno je omeniti, da se bo ta razpršitev ujemala s tisto, ki smo jo ustvarili z md5 sum na začetku postopka. Ko končate, kliknite na Zapri.

Analiza:

Zdaj, ko smo ustvarili svoj primer, mu dali ime gostitelja, dodali opis, opravili preverjanje integritete, lahko analiziramo možnost analize s klikom na Analizirajte gumb.

Vidimo lahko različne načine analize, tj.e., Analiza datoteke, iskanje po ključnih besedah, vrsta datoteke, podrobnosti slike, podatkovna enota. Najprej kliknemo Podrobnosti slike, da dobimo podatke o datoteki.

O naših slikah lahko vidimo pomembne informacije, kot so vrsta datotečnega sistema, ime operacijskega sistema in najpomembnejša stvar, serijska številka. Serijska številka zvezka je na sodišču pomembna, saj kaže, da je slika, ki ste jo analizirali, enaka ali kopija.

Oglejmo si Analiza datotek možnost.

Na sliki lahko najdemo kup imenikov in datotek. Navedeni so v privzetem vrstnem redu, mi pa lahko krmarimo v načinu brskanja po datotekah. Na levi strani vidimo trenutno naveden imenik, na dnu pa območje, kjer je mogoče iskati po določenih ključnih besedah.

Pred imenom datoteke so poimenovana 4 polja napisano, dostopno, spremenjeno, ustvarjeno. Napisano pomeni datum in uro, v katero je bila datoteka nazadnje zapisana,  Dostopno pomeni zadnji dostop do datoteke (v tem primeru je edini datum zanesljiv), Spremenjeno pomeni zadnjič, ko so bili opisni podatki datoteke spremenjeni, Ustvarjeno pomeni datum in čas, ko je bila datoteka ustvarjena, in MetaData prikazuje informacije o datoteki, ki niso splošne informacije.

Na vrhu bomo videli možnost Ustvarjanje md5 zgoščenk datotek. In spet bo to zagotovilo celovitost vseh datotek z ustvarjanjem md5 zgoščenih datotek vseh datotek v trenutnem imeniku.

Leva stran Analiza datotek zavihek vsebuje štiri glavne možnosti, tj.e., Iskanje po imeniku, iskanje po imenih datotek, vse izbrisane datoteke, razširitev imenikov. Iskanje po imeniku uporabnikom omogoča iskanje po želenih imenikih. Iskanje po datoteki omogoča iskanje določenih datotek v danem imeniku,

Vse izbrisane datoteke vsebujejo izbrisane datoteke s slike v enaki obliki, tj.e., napisane, dostopne, ustvarjene, metapodatki in spremenjene možnosti in so prikazane rdeče, kot je navedeno spodaj:

Vidimo, da je prva datoteka jpeg datoteka, druga datoteka pa ima pripono "Hmm". Oglejmo si metapodatke te datoteke s klikom na metapodatke na desni strani.

Ugotovili smo, da metapodatki vsebujejo a JFIF vstop, kar pomeni Format izmenjave datotek JPEG, tako dobimo, da gre le za slikovno datoteko s pripono »hmm". Razširi imenike razširi vse imenike in omogoča večje območje za delo z imeniki in datotekami znotraj danih imenikov.

Razvrščanje datotek:

Analiza metapodatkov vseh datotek ni mogoča, zato jih moramo razvrstiti in analizirati z razvrščanjem obstoječih, izbrisanih in nedodeljenih datotek z uporabo Vrsta datoteke zavihek."

Če želite razvrstiti kategorije datotek, da bomo lahko z lahkoto pregledali tiste z isto kategorijo. Vrsta datoteke ima možnost razvrščanja istovrstnih datotek v eno kategorijo, tj.e., Arhivi, zvok, video, slike, metapodatki, datoteke exec, besedilne datoteke, dokumenti, stisnjene datoteke, itd.

Pomembno pri ogledu razvrščenih datotek je, da Autopsy tukaj ne dovoli ogleda datotek; namesto tega moramo poiskati lokacijo, kjer so ti shranjeni, in si jih tam ogledati. Če želite vedeti, kje so shranjene, kliknite Ogled razvrščenih datotek na levi strani zaslona. Lokacija, ki nam jo bo dala, bo enaka tisti, ki smo jo določili med ustvarjanjem primera v prvem koraku i.e./ var / lib / obdukcija /.

Če želite znova odpreti primer, preprosto odprite obdukcijo in kliknite eno od možnosti »Odprta zadeva."

Primer: 2

Oglejmo si analizo druge slike z uporabo avtopsije v operacijskem sistemu Windows in ugotovimo, katere pomembne informacije lahko dobimo iz pomnilniške naprave. Prva stvar, ki jo moramo storiti, je ustvariti nov primer. To lahko storimo s klikom na eno od treh možnosti (Open case, New case, recent Open case) na domači strani Obdukcije. Po kliku nanj bomo videli tak zaslon:

Navedite ime primera in pot, kamor želite shraniti datoteke, nato vnesite podrobnosti, kot je omenjeno, tj.e., ime primera, imena izpraševalca in opis primera, da bomo lahko organizirali naše podatke in dokaze, uporabljene za to preiskavo. V večini primerov preiskuje več izpraševalcev.

Zdaj navedite sliko, ki jo želite pregledati. E01(Oblika izvedencev), AFF(napredna oblika forenzike), surova oblika (DD) in slike forenzike pomnilnika so združljive. Shranili smo podobo našega sistema. Ta slika bo uporabljena v tej preiskavi. Navesti moramo celotno pot do lokacije slike.

Zahteval bo izbiro različnih možnosti, kot so analiza časovne premice, filtriranje zgoščenk, rezbarenje podatkov, podatki Exif, pridobivanje spletnih artefaktov, iskanje po ključnih besedah, razčlenjevalnik e-pošte, ekstrakcija vdelane datoteke, preverjanje nedavne dejavnosti itd. Za najboljšo izkušnjo kliknite na izberite vse in kliknite naslednji gumb.

Ko končate, kliknite Finish in počakajte, da se postopek zaključi.

Analiza:

Obstajata dve vrsti analiz, Analiza mrtvih, in Analiza v živo:

Preiskava mrtvih se zgodi, če se za pregled informacij iz špekuliranega okvira uporabi zavezani preiskovalni okvir. Na točki, ko se to zgodi, Obdukcija kompleta Sleuth lahko teče na območju, kjer je odpravljena možnost poškodb. Obdukcija in komplet Sleuth nudita pomoč za surove formate, Expert Witness in AFF.

Preiskava v živo se zgodi, ko se domnevni okvir med izvajanjem razbije. V tem primeru, Obdukcija kompleta Sleuth lahko deluje na katerem koli območju (kar koli drugega kot omejen prostor). To se pogosto uporabi med reakcijo pojava, medtem ko se epizoda potrjuje.

Zdaj, preden analiziramo svojo slikovno datoteko, moramo preveriti celovitost slike s klikom na gumb Image Integrity in generiranjem md5 zgoščene slike. Pomembno je omeniti, da se bo ta razpršitev ujemala s tisto, ki smo jo imeli za sliko na začetku postopka. Razpršena slika je pomembna, saj pove, ali je določena slika spremenjena ali ne.

Medtem, Obdukcija je zaključil svoj postopek in imamo vse potrebne informacije.

  • Najprej bomo začeli z osnovnimi informacijami, kot so uporabljeni operacijski sistem, zadnjič, ko se je uporabnik prijavil, in zadnja oseba, ki je v času nesreče dostopala do računalnika. Za to bomo šli Rezultati> Izvlečena vsebina> Informacije o operacijskem sistemu na levi strani okna.

Če si želite ogledati skupno število računov in vse povezane račune, pojdimo na Rezultati> Izvlečena vsebina> Uporabniški računi operacijskega sistema. Videli bomo tak zaslon:

Podatki, kot je zadnja oseba, ki je dostopala do sistema, in pred uporabniškim imenom so navedena nekatera polja dostop, sprememba, ustvarjanje. Dostopno pomeni zadnji dostop do računa (v tem primeru je edini datum zanesljiv) in creagiral pomeni datum in uro, ko je bil račun ustvarjen. Vidimo, da je bil imenovan zadnji uporabnik, ki je dostopal do sistema gospod. Zlo.

Pojdimo na Programske datoteke mapo vklopljeno C pogon na levi strani zaslona za odkrivanje fizičnega in internetnega naslova računalniškega sistema.

Lahko vidimo IP (Naslov internetnega protokola) in MAC naslov navedenega računalniškega sistema.

Gremo k Rezultati> Izvlečena vsebina> Nameščeni programi, vidimo tukaj je naslednja programska oprema, ki se uporablja za izvajanje zlonamernih nalog, povezanih z napadom.

  • Cain & abel: zmogljivo orodje za vohanje paketov in orodje za razbijanje gesel, ki se uporablja za vohanje paketov.
  • Anonimizator: orodje za skrivanje skladb in dejavnosti, ki jih zlonamerni uporabnik izvaja.
  • Ethereal: orodje za nadzor omrežnega prometa in zajemanje paketov v omrežju.
  • Lep FTP: programska oprema FTP.
  • NetStumbler: orodje za odkrivanje brezžične dostopne točke
  • WinPcap: priznano orodje, ki se uporablja za dostop do omrežja na ravni povezave v operacijskih sistemih Windows. Omogoča dostop do omrežja na nizki ravni.

V / Windows / system32 lokacija, lahko najdemo e-poštne naslove uporabnika. Lahko vidimo MSN e-poštni, Hotmail, Outlookovi e-poštni naslovi.  Prav tako lahko vidimo SMTP e-poštni naslov tukaj.

Pojdimo na lokacijo, kjer Obdukcija shranjuje možne zlonamerne datoteke iz sistema. Pomaknite se do Rezultati> Zanimivi predmeti, in lahko vidimo prisotno bombo z imenom z imenom unix_hack.tgz.

Ko smo se pomaknili do / Recikliranje lokacija, smo našli 4 izbrisane izvršljive datoteke z imenom DC1.exe, DC2.exe, DC3.exe in DC4.exe.

  • Ethereal, znan vohanje Odkrito je tudi orodje, ki se lahko uporablja za nadzor in prestrezanje vseh vrst žičnega in brezžičnega omrežnega prometa. Ujete pakete smo ponovno sestavili in imenik, kamor so shranjeni, je / Dokumenti, ime datoteke v tej mapi je Prestrezanje.

V tej datoteki lahko vidimo podatke, kot je bila žrtev brskalnika, in vrsto brezžičnega računalnika ter ugotovili, da je bil Internet Explorer v sistemu Windows CE.  Spletna mesta, do katerih je žrtev dostopala, so bila YAHOO in MSN .com, to pa so našli tudi v datoteki Interception.

O odkrivanju vsebine Rezultati> Izvlečena vsebina> Spletna zgodovina,

To lahko vidimo z raziskovanjem metapodatkov danih datotek, zgodovine uporabnika, spletnih mest, ki jih obišče, in e-poštnih naslovov, ki jih je navedel za prijavo.

Obnovitev izbrisanih datotek:

V prejšnjem delu članka smo odkrili, kako iz slike katere koli naprave, ki lahko shranjuje podatke, kot so mobilni telefoni, trdi diski, računalniški sistemi itd., Izvleči pomembne podatke. Med najosnovnejšimi potrebnimi talenti za forenzičnega agenta je verjetno najpomembnejše obnavljanje izbrisanih zapisov. Kot verjetno že veste, "izbrisani" dokumenti ostanejo na pomnilniški napravi, razen če je prepisana. Če izbrišete te zapise, je naprava v bistvu dostopna za prepis. To pomeni, da če je osumljenec izbrisal dokazne zapise, dokler jih dokumentni okvir ne prepiše, ostanejo dostopni za povrnitev.

Zdaj bomo preučili, kako obnoviti izbrisane datoteke ali zapise z uporabo Obdukcija kompleta Sleuth. Sledite vsem zgornjim korakom in ko bo slika uvožena, bomo videli tak zaslon:

Na levi strani okna, če še razširimo Vrste datotek Možnost bomo videli kup poimenovanih kategorij Arhivi, avdio, video, slike, metapodatki, datoteke exec, besedilne datoteke, dokumenti (html, pdf, word, .ppx itd.), stisnjene datoteke. Če kliknemo na slike, prikazal bo vse obnovljene slike.

Nekoliko spodaj, v podkategoriji Vrste datotek, videli bomo ime možnosti Izbrisane datoteke. S klikom na to bomo v spodnjem desnem oknu videli še nekaj drugih možnosti v obliki označenih zavihkov za analizo. Zavihki so poimenovani Šestnajstiška, rezultat, indeksirano besedilo, nizi, in Metapodatki. V zavihku Metapodatki bomo videli štiri imena napisano, dostopno, spremenjeno, ustvarjeno. Napisano pomeni datum in uro, v katero je bila datoteka nazadnje zapisana,  Dostopno pomeni zadnji dostop do datoteke (v tem primeru je edini datum zanesljiv), Spremenjeno pomeni zadnjič, ko so bili opisni podatki datoteke spremenjeni, Ustvarjeno pomeni datum in čas, ko je bila datoteka ustvarjena. Zdaj želite obnoviti izbrisano datoteko, ki jo želimo, kliknite izbrisano datoteko in izberite Izvozi. Zahteval bo lokacijo, kjer bo datoteka shranjena, izbral jo bo in kliknil v redu. Osumljenci si bodo pogosto prizadevali zakriti sledi z brisanjem različnih pomembnih datotek. Kot forenzična oseba vemo, da jih je mogoče povrniti, dokler datotečni sistem ne prepiše teh dokumentov.

Zaključek:

Ogledali smo si postopek za pridobivanje koristnih informacij iz naše ciljne slike s pomočjo Obdukcija kompleta Sleuth namesto posameznih orodij. Obdukcija je namenjena vsakemu forenzičnemu preiskovalcu in zaradi njegove hitrosti in zanesljivosti. Obdukcija uporablja več jedrnih procesorjev, ki vzporedno izvajajo procese v ozadju, kar poveča njegovo hitrost in nam prinese rezultate v krajšem času in prikaže iskane ključne besede takoj, ko so najdene na zaslonu. V dobi, ko so forenzična orodja nujna, obdukcija ponuja enake osnovne funkcije brezplačno kot druga plačana forenzična orodja.

Obdukcija je pred ugledom nekaterih plačljivih orodij in ponuja nekatere dodatne funkcije, kot sta analiza registra in analiza spletnih artefaktov, česar druga orodja ne.  Obdukcija je znana po svoji intuitivni uporabi narave. S hitrim desnim klikom odprete pomemben dokument. To pomeni, da ni nič časa, da bi ugotovili, ali so na naši sliki, telefonu ali računalniku, ki si ga ogledujemo, izrecni izrazi. Uporabniki se lahko tudi vrnejo nazaj, ko se globoka iskanja spremenijo v slepe ulice, pri čemer ulov zgodovine nazaj in naprej pomaga slediti njihovim sredstvom. Video je mogoče videti tudi brez zunanjih aplikacij, kar pospešuje uporabo.

Sličice sličic, zapis in vrsta dokumenta, razvrščanje filtriranja dobrih datotek in označevanje za grozno, z uporabo ločevanja nabora po meri po meri so le del različnih poudarkov, ki jih lahko najdete na Obdukcija kompleta Sleuth različica 3, ki ponuja pomembne izboljšave iz različice 2.Basis Technology je na splošno subvencioniral delo na različici 3, kjer je Brian Carrier, ki je opravil velik del dela na predhodnih izročitvah Obdukcija, je tehnični direktor in vodja napredne kriminologije. Prav tako velja za mojstra Linuxa in je sestavil knjige na temo merljivega informacijskega rudarstva in Basis Technology ustvarja Komplet Sleuth. Zato so stranke najverjetneje resnično prepričane, da dobijo spodoben izdelek, element, ki v bližnji prihodnosti ne bo izginil v nobenem trenutku, in takšnega, ki bo verjetno vsestransko podprt v prihodnosti.

Miška Kako uporabiti Xdotool za spodbujanje klikov in pritiskov mišk v Linuxu
Kako uporabiti Xdotool za spodbujanje klikov in pritiskov mišk v Linuxu
Xdotool je brezplačno in odprtokodno orodje za ukazno vrstico, ki simulira klike in pritiske tipk. Ta članek bo zajemal kratek vodnik o uporabi xdotoo...
Miška Najboljših 5 izdelkov z ergonomsko računalniško miško za Linux
Najboljših 5 izdelkov z ergonomsko računalniško miško za Linux
Ali dolgotrajna uporaba računalnika povzroča bolečine v zapestju ali prstih? Ali imate trde sklepe in bi se morali neprestano tresti z rokami? Ali čut...
Miška How to Change Mouse and Touchpad Settings Using Xinput in Linux
How to Change Mouse and Touchpad Settings Using Xinput in Linux
Most Linux distributions ship with “libinput” library by default to handle input events on a system. It can process input events on both Wayland and X...