Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

Analiza P2 eXplorer alata

Sažetak

Računalni alat P2 eXplorer omogućuje korisniku montiranje forenzičke slike (ili drugih slika pogona) i istraživanje te slike. Pritom čuva forenzičku prirodu svojih dokaza bez da ih pokreće direktno sa svog računala.

Slika se jednostavno montira (mount-a) na jedno od dostupnih diskova u alatu, a zatim se može otvoriti u programu sličnom Windows Explorer-u. Budući da je slika na disku, ona se samo čita. To znači da možete provjeriti sadržaj, ali ga ne možete mijenjati. Ipak, to je važan alat ako morate detaljno pregledati diskove ili kada imate previše diskova računala da biste ih pregledali. Svi podaci dostupni su na jednom sučelju i sve što trebate je montirati slikovnu datoteku i proučiti ga. Alat P2 eXplorer besplatan je za korištenje na 32-bitnim sustavima.

Ključne riječi: p2 explorer; alati; besplatni alat; računalni alat; mount slike; iso mount;

Uvod

Računalna forenzika grana je digitalne forenzičke znanosti koja se odnosi na dokaze pronađene u računalima i digitalnim medijima za pohranu podataka. Ako se želimo baviti računalnom forenzikom potrebni su nam prikladni alati. Alati za računalnu forenziku variraju od vrlo jednostavnih do vrlo složenih. Ako tek ulazimo u vode računalne forenzike, zanimljiviji su nam jednostavni (i po mogućnosti besplatni) alati. Jedan od takvih alata je p2 eXplorer alat, koji omogućuje pregledavanje slike diska bez potrebe za snimanje iste na DVD.

Instalacija

P2 eXplorer je dostupan u besplatnim i plaćenim verzijama. Besplatna verzija radi samo na 32-bitnim operacijskim sustavima. U svrhu analize ovog programa koristila sam virtualnu sliku Windows 10 (32 bit).

Slika 1. Prikaz početka instalacije P2 eXplorera

Alat se instalira tako da se slijede jednostavne upute čarobnjaka za instalaciju. Nakon pritiska na tipku “Finish”, program se prvi puta pokreće.

Slika 2. Prikaz pokretanja programa

Za instalaciju i pravilan rad alata potrebno je imati instaliran NET framework (2.0 ili više).

Izgled sučelja

Sučelje je minimalističkog izgleda i jednostavno za korištenje (Slika 3). Na vrhu prozora vidimo tri kolone: “File”, “View” i “Help”.

Pomoću File polja bira se jedna od tri opcije: Mount storage, Unmount i Unmount All. Može se odabrati odgovarajuće slovo na zaslonu (od A: do Z:) te na tu poziciju mountati novu sliku koju želimo proučavati.

A: je rezervirano za removable drive, dok je C: rezervirano za local drive (C: disk računala kojeg koristimo). D: polje rezervirano je za CD-ROM. Sva ostala polja mogu se koristiti po želji.

Slika 3. Izgled sučelja alata

Značajke

Neke od značajki alata:

  • Mount Paraben's Forensic Replicator slike (PFR)
  • Mount komprimirane & enkriptirane PFR slike
  • Mount EnCase slike
  • Mount SafeBack 1 & 2 slike
  • Mount RAW slike s Linux DD-a & ostalih alata
  • Podržava Dynamic drive images
  • Automatski detektira format slike
  • MD5 hash verifikaciju
  • Shell support za lakši mounting/unmounting
  • Zaštitu pisanja za očuvanje dokaza
  • Mount nekoliko slika istovremeno

Upute za korištenje

Klikom na File → mount, možemo odabrati source file te ga dodati u p2 eXplorer. (Slika 4)

Slika 4. Odabir fileova za mount

Primjer za unos ISO filea u p2 eXplorer:

Slika 5. Mount slike na disk koji je dostupan

Slika 6. Unutar p2 eXplorera dostupna je slika na disku E:

Slika 7. Moguće je pristupiti iso fileu iz p2 eXplorera

Zaključak

P2 eXplorer važan je alat ako moramo detaljno pregledati diskove ili ako imamo previše diskova računala da bismo ih pregledali. Svi podaci smješteni su na jednom sučelju te sve što moramo je mountati datoteku i ona je spremna za proučavanje u exploreru alata.

Literatura

racfor_wiki/seminari/analiza_p2_explorer_alata.txt · Zadnja izmjena: 2023/06/19 18:17 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0