Extrair dados forenses de computadores com o OSForensics

As tabelas Rainbow são tabelas pré-calculadas, usadas para reverter as funções de hash criptográfico, que são frequentemente usadas para quebrar hashes de senha. Os computadores que dependem da autenticação de senha requerem um mecanismo para determinar se a senha digitada está correta. Pode-se armazenar um hash criptográfico da senha para proteger as informações armazenadas porque esses hashes são difíceis de reverter.

OSForensics permite usar o Rainbow Tables para recuperar senhas, desde que você tenha o hash dessa senha. O uso de tabelas arco-íris serve como uma troca de memória de tempo na descriptografia de um hash. Com o OSForensics, você também pode recuperar senhas do navegador, agregar e organizar resultados e itens de caso, analisar a memória principal do sistema, CPU, USB e informações do disco rígido, descubra as ações do usuário executadas recentemente no sistema, crie um índice dos arquivos em um disco rígido, procure arquivos mais rapidamente que a funcionalidade padrão do Windows e muito Mais. A interface principal contém várias guias e subcategorias que contêm opções para executar as tarefas mencionadas acima.

Você pode criar um caso a partir do Criar Caso opção no Começar guia para agrupar todas as descobertas de diferentes recursos do OSFForensics. Depois de concluído, você pode gerenciar o caso na guia gerenciar caso e executar a pesquisa de nome de arquivo, criar e indexar e pesquisar índices nas três guias a seguir. O OSForensics também pode pesquisar o conteúdo dos arquivos e retornar resultados após a indexação. É capaz de pesquisar nos formatos de arquivo mais comuns.

Para visualizar um log de atividades recentes do usuário, vá para o Atividade recente guia e clique em Digitalizar. Isso exibirá uma lista de arquivos acessados ​​recentemente, aplicativos e funções executadas. Você pode refinar sua pesquisa de acordo com a data, o tipo de hora e usar as opções de filtro para visualizar os arquivos mais recentes, WLAN, USB, histórico do navegador, downloads, registro de bate-papo e cookies. Da mesma forma, o Pesquisa de arquivos excluídos A guia permite pesquisar arquivos excluídos.

De Arquivos de incompatibilidade Na guia Pesquisa, você pode localizar os arquivos Padrão (Interno), Incompatível (Interno) e todos os incorporados. Você pode refinar o tamanho da exibição em miniatura no controle deslizante na parte inferior e usar a opção de classificação para classificar arquivos por extensão, nome, pasta, tamanho e tipo de incompatibilidade.

Informações brutas de memória e disco podem ser recuperadas do Memória não processada e Disco não processado guias. Isso pode ser útil para verificar informações sobre o disco rígido, partição, sistema de arquivos e posição atual. o Memória não processada A guia permite recuperar o processo de despejo, arquivos de despejo de memória e conteúdo da memória física.

O OSForencis também permite criar imagens de unidade que podem ser montadas posteriormente na guia Montar imagem da unidade.

Talvez a função mais importante que o OSForensics desempenhe seja a capacidade de criar um ambiente digital único. identificador para um volume de arquivo ou disco calculando seu valor de hash usando o módulo Verificar / Criar Hash em OSForensics. Você pode escolher entre vários algoritmos criptográficos para criar um hash, como SHA-1, MD5 e SHA-256. Os valores de hash identificam exclusivamente o conteúdo de um arquivo e podem ser usados ​​para descobrir outros arquivos com o mesmo conteúdo, independentemente do nome ou extensão do arquivo. Isso pode ser alcançado a partir do Verificar / criar hash e Conjuntos de hash guias.

Para saber mais sobre o uso dos recursos do OSForencis, você pode visitar o site dos desenvolvedores para entender o procedimento e a utilidade do recurso mencionado em mais detalhes. OSForencis funciona no Windows XP, Windows Vista e Windows 7.

Baixar OSForensics