Extraire des données médico-légales d'ordinateurs avec OSForensics

Les tables arc-en-ciel sont des tables précalculées, utilisées pour inverser les fonctions de hachage cryptographiques, qui sont souvent utilisées pour casser les hachages de mot de passe. Les ordinateurs qui s'appuient sur l'authentification par mot de passe nécessitent un mécanisme pour déterminer si le mot de passe entré est correct. On peut stocker un hachage cryptographique du mot de passe pour protéger les informations stockées car de tels hachages sont difficiles à inverser.

OSForensics vous permet d'utiliser Rainbow Tables pour récupérer des mots de passe, à condition que vous disposiez du hachage de ce mot de passe. L'utilisation de tables arc-en-ciel sert de compromis temps-mémoire dans le décryptage d'un hachage. Avec OSForensics, vous pouvez également récupérer les mots de passe du navigateur, agréger et organiser les résultats et les éléments de cas, analyser les informations de la mémoire principale du système, du processeur, de l'USB et du disque dur, découvrir les actions utilisateur effectuées récemment sur le système, créer un index des fichiers sur un disque dur, rechercher des fichiers plus rapidement que la fonctionnalité par défaut de Windows, et bien plus plus. L'interface principale contient plusieurs onglets et sous-catégories qui contiennent des options pour effectuer les tâches susmentionnées.

Vous pouvez créer un cas à partir du Créer un cas option dans le Début onglet pour regrouper tous les résultats des différentes fonctionnalités de OSFForensics. Une fois terminé, vous pouvez gérer le dossier à partir de l'onglet Gérer le dossier et effectuer une recherche par nom de fichier, créer et indexer et rechercher des index à partir des trois onglets suivants. OSForensics peut également rechercher le contenu des fichiers et renvoyer des résultats après l'indexation. Il est capable de rechercher dans les formats de fichiers les plus courants.

Pour afficher un journal des activités récentes des utilisateurs, accédez au Activité récente onglet et cliquez sur Numériser. Cela affichera une liste des fichiers récemment consultés, des applications et des fonctions exécutées. Vous pouvez affiner votre recherche en fonction de la date, du type d'heure et utiliser les options de filtrage pour afficher les fichiers les plus récemment utilisés, WLAN, USB, historique du navigateur, téléchargements, journal de discussion et cookies. De même, le Recherche de fichiers supprimés L'onglet permet de rechercher des fichiers supprimés.

Du Fichiers incompatibles Dans l'onglet Recherche, vous pouvez localiser les fichiers par défaut (intégrés), incompatibles (intégrés) et tous les fichiers intégrés. Vous pouvez affiner la taille de la vue miniature à partir du curseur en bas et utiliser l'option de tri pour trier les fichiers par extension, nom, dossier, taille et type de non-correspondance.

La mémoire brute et les informations sur le disque peuvent être récupérées Mémoire brute et Disque brut onglets. Cela peut être utile pour vérifier les informations sur le disque dur, la partition, le système de fichiers et la position actuelle. le Mémoire brute L'onglet permet de récupérer le processus de vidage, les fichiers de vidage sur incident et le contenu de la mémoire physique.

OSForencis permet également de créer des images de lecteur qui peuvent être montées ultérieurement à partir de l'onglet Mount Drive Image.

Peut-être que la fonction la plus importante qu'OSForensics remplit est sa capacité à créer un identifiant d'un fichier ou d'un volume de disque en calculant sa valeur de hachage à l'aide du module Verify / Create Hash dans OSForensics. Vous pouvez choisir parmi un certain nombre d'algorithmes cryptographiques pour créer un hachage, tels que SHA-1, MD5 et SHA-256. Les valeurs de hachage identifient de manière unique le contenu d'un fichier et peuvent être utilisées pour découvrir d'autres fichiers avec le même contenu, quel que soit le nom de fichier ou l'extension de fichier. Ceci peut être réalisé à partir du Vérifier / créer un hachage et Ensembles de hachage onglets.

Pour en savoir plus sur l'utilisation des fonctionnalités d'OSForencis, vous pouvez visiter le site Web des développeurs pour comprendre plus en détail la procédure et l'utilité de la fonctionnalité mentionnée ci-dessus. OSForencis fonctionne sur Windows XP, Windows Vista et Windows 7.

Télécharger OSForensics