Professional Documents
Culture Documents
Lab 2
Lab 2
Розуміння деталей про підозрілий диск є основним кроком під час отримання зображення. Метою
має бути заздалегідь зібрати якомога більше інформації про розмір, тип формату файлу та інші
важливі деталі. Утиліта команд fdisk повідомляє та керує таблицею розділів диска. Він присутній
майже на всіх машинах Linux і macOS
1. Введіть fdisk -h для швидкого огляду аргументів, які можна передати разом з ним.
2. Введіть fdisk -l, щоб отримати список усіх доступних дисків та інформацію про розділи.
В системі є два жорстких диска: /dev/sda і /dev/sdb. Linux зберігає імена дисків в алфавітному
порядку. Тут /dev/sda — перший жорсткий диск розміром 20 ГБ і містить три розділи, а саме
/dev/sda1, /dev/sda2 і /dev/sda5. /dev/sdb — це другий жорсткий диск розміром 5 ГБ, який буде
використаний для створення зображень на наступному кроці.
3. Після того як ви отримуєте список жорстких дисків у системі, створіть dd образ диска, жорсткого
диска чи флеш-накопичувача.
dd — це утиліта командного рядка для операційних систем Unix, основна функціональність якої
— копіювання та конвертування файлів.
LiME — інструмент з відкритим кодом для отримання пам’яті, під час виконання він мінімізує
взаємодію між користувачем і процесами простору ядра, що дозволяє створювати захоплення
пам’яті, які є більш обґрунтованими з точки зору форензіки. LiME також можна використовувати
для захоплення пам'яті Android
3. Тепер побудуємо бінарнік. Перейдіть до каталогу src у каталозі LiME. Введіть команду make, щоб
створити об’єкт.
4. Щоб отримати вміст RAM, введіть команду, як показано нижче. Ви можете використовувати будь-
який шлях для збереження файлу пам’яті, включаючи зовнішній диск.
Ви можете вибрати параметри в головному меню, щоб виконати аналіз системи Linux в реальному
часі та отримати інформацію про операційну систему, часові позначки, інформацію про HOST і DNS,
інформацію про пам’ять, користувача, який увійшов у систему, та останніх користувачів, які
ввійшли в систему.
4. Аналіз необробленого зображення
Тепер проведемо аналіз файлової системи за допомогою набору інструментів «The Sleuth Kit» у
системі Ubuntu.
1. Щоб перевірити, чи належить образ до типу диска чи розділу, скористайтеся командою mmls
image.001. Зображення є жорстким диском, а не розділом на жорсткому диску; отже, результатом
буде «неможливо відобразити тип розділу».
2. Команда fsstat використовується для визначення типу розділу. Він відображає деталі, пов’язані з
файловою системою. Тут ми бачимо файлову систему EXT4.
3. Використовуйте ils –a image.001, щоб вивести інформацію про inode та знайти список записів
MFT. Записи MFT містять такі відомості, як створення файлу, модифікація, доступ тощо, файлу, що
зберігається в образі.