Digital Forensics (Adli Bilişim): USB Forensic Tracker

USB Forensic Tracker (USBFT) , Windows, Linux ve Mac işletim sistemlerindeki ilgili sistem dosyalarını kullanarak USB aygıt bağlantıları(takma/çıkarma sonucunda oluşan log bilgileri) ile bilgileri çıkaran bir adli bilişim aracıdır. Bu bilgileri ayrıca mount edilmiş imaj dosyaları,çalışan işletim sistemi ve volume shadow copy'ler içerisinden de çıkarabilir. Bulunan verileri Excel belgesi olarak export eder.

USB Forensic Tracker'in işletim sisteminde baktığı yerler:

Windows

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7)
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx (Window 10)
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx
C:\Windows\INF\setupapi.dev.log
C:\Windows\INF\ setupapi.dev.yyyymmdd_hhmmss.log
C:\Windows\INF\setupapi.upgrade.log
C:\Windows\setupapi.log
“Windows.old” folder
Volume Shadow Copies

Mac OSX (tested on OSX 10.6.8 and 10.10.3)

/private/var/log/kernel.log
/private/var/log/kernel.log.incrementalnumber.bz2
/private/var/log/system.log
/private/var/log/system.log.incrementalnumber.gz

Linux (tested on Ubuntu 17.04)

/var/log/syslog

Gereksinimler: .Net Framework 4.5

Programı indirmek için: USB Forensic Tracker v1.0.8

Kaynak: www.orionforensics.com

Digital Forensics (Adli Bilişim)

5 Mayıs 2018 Cumartesi

USB Forensic Tracker

Hiç yorum yok:

Yorum Gönder