Saturday, January 25, 2020

DIGITAL FORENSICS: How to gather Forensics Investigation Evidence using ProDiscover Forensics

DIGITAL FORENSICS: How to gather Forensics Investigation Evidence using ProDiscover Forensics

 

ProDiscover Forensics is a simple digital forensic investigation tool that allows you to image, analyse and report on evidence found on a drive. Once you add a forensic image you can view the data by content or by looking at the clusters that hold the data. You can also search for data using the Search node based on the criteria you specify. 

This activity completes your analysis of the USB drive.

1. Double ProDiscover on desktop.

ProDiscover Compute Forensics Software

2.In the main window, click Action menu, click Capture Image.

 The following steps will show how to acquire an image of drive E called USB. Please note that this drive is not an actual USB drive but a fixed drive on the computer.


Note: On the USB drive, locate the write-protect switch (if one is available) and place the drive in write-protect mode. Then connect the USB drive to your computer.

3. In the Capture Image dialog box, click the Source Drive list arrow, and select the drive E:\[USB] Click the >> button next to the Destination text box and click Choose Local Path.

Click Save to save the file.

 4.When ProDiscover is finished, click OK in the completion message box.

 

Using ProDiscovery to analyze evidence

5.In the tree view of the main window, click to expand the Add item, and then click Image File.

click the InChp01-prac.eve file.Click Open.
6.Click to expand Images, and click the image filename path C:\Work\Chap01\Chapter\InChp01-prac.eve.

 7.In the upper-right pane (the work area), click the tracking.log file to view its contents in the data area.


Analyzing data

8.In the Search dialog box, click the Content Search tab, if necessary.

Next, in the text box under the Search for the pattern(s) option button, type: win810

9.Under Select the Disk(s)/Image(s) you want to search in section, click C:\Work\Chap01\Chapter\InChp01-prac.eve (substituting the path to your work folder), and then click OK to start the search.

For each search you do in a case, ProDiscover adds a new tab to help catalog your searches.
Click tracking.

Creating a Report

 10.In the tree view, click Report. The report is then displayed in the right pane.

 
11. To print the report, click FilePrint Report from the menu.

 12.On the Save As Print Output As dialog box, click in the File name box and type:
opens the report.

13. Click ActionExport from the menu.

 14.In the Export dialog box, click the RTF Format option button, then click Browse.
Click Save.

15.Review the report, close OpenOffice Writer application when done.


ProDiscover Forensics คือ

เป็นเครื่องมือสำหรับทำสำเนาหลักฐานดิจิทัลและวิเคราะห์หลักฐาน สามารถค้นหาตำแหน่งข้อมูลบนดิสก์ และทำรายงานสำหรับใช้ในการดำเนินคดีตามกฎหมายได้อย่างสมบูรณ์ รวมไปถึงกู้ไฟล์ที่โดนลบ 

 

แนะนำการใช้โปรแกรม  ProDiscover Forensics ทำสำเนาหลักฐานดิจิทัลและทำรายงานเบื่้องต้น

Introduction to Computer Forensics - ProDiscover Basic 7.0 - Analyzing a dd Acquisition

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #สอนการใช้ PRODISCOVER FORENSICS 

Saturday, January 11, 2020

DIGITAL FORENSICS: Using ProDiscover’s Raw Acquisition Format

DIGITAL FORENSICS: Using ProDiscover’s Raw Acquisition Format

 ใช้โปรแกรม ProDiscover Forensics ทำสำเนาหลักฐานดิจิทัล  เป็น Raw Image Format (DD)

ProDiscover Computer Forensics Software


Note:  For actual casework, however, always use a write-blocker.

Step 1

On workstation device, start ProDiscover  from desktop.
Click Action and select Capture Image. Source drive will be USB (E:) drive.

Capture Image.

Step 2

Follow the steps in this chapter for making a raw format acquisition, making sure you click UNIX style dd format in the Image Format drop-down list box. Assign a unique file name for the image file.
Source drive will be USB (E:) drive.

Step 3

Then click OK in the Capture Image dialog box.
Click Proceed when you get the WARNING message.

Preceed

Step4

 When the acquisition is finished, click OK.

Step5

  Check MD5

MD5
Image File CF-DFE-001.DD

Introduction to Computer Forensics - ProDiscover Basic 7.0 - Acquisition of an USB Drive


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud