DIGITAL FORENSICS:PALADIN and Autopsy ACQUISITION TOOL

DIGITAL FORENSICS:PALADIN and Autopsy ACQUISITION TOOL 

Forensic Data Collections with PALADIN

PALADIN Forensic  คือ ระบบปฏิบัติการลินุกซ์ Ubuntu ที่ถูกออกแบบและปรับแต่งเพื่อการทำงานด้านนิติวิทยาศาสตร์ดิจิตอล รองรับการทำสำเนาหลักฐานดิจิทัล ( forensics Image )

PALADIN Toolbox is the easiest way to image a device in a forensically sound manner.

All without the need of hardware write-blockers.

 

เตรียม อุปกรณ์และ ทดสอบก่อนไป Acquisition Tool On site step by step

1. Notebook HP 120 GB   (Evidence) 

2. PALADIN EDGE 64 (Version 8.01) USB boot
3. Autopsy 4.15 + Digital Forensics Laptop Workstation

4. External HDD WD SATA HDD 2 TB  (forensics Image)

Step 1  เข้าไป Download 

1.Navigate to www.sumuri.com. >. Sign into your account via the “My Account” menu. If you do not currently have an account you will need to register for a free account. and Download PALADIN ISO 

PALADIN EDGE 64

2. ทำการ create the PALADIN USB Boot and  you can use the ISO to make your own PALADIN USBs  > Rufus - https://rufus.akeo.ie   > 

3. How To Make Your Own Paladin USB?

Quick Summary to Boot PALADIN on a PC 

    3.1. Insert PALADIN DVD or USB. 

    3.2. Disable Secure Boot. 

    3.3. Set the boot order in the BIOS/UEFI Setup Menu to boot to PALADIN or choose to boot to PALADIN from the Boot Manager.

4. Booting PALADIN  USB on a Computer. >

       - Set the boot order in the BIOS/UEFI Setup

Forensic Mode

5. PALADIN Toolbox

      you can prepare the drive using the Disk Manager in the PALADIN Toolbox.

5.1 The default Time Zone in PALADIN is GMT. To change the time zone click on the Time and Date icon found at the bottom of the desktop to access its settings.  

Note: It may take a minute or two for the displayed system clock to update.

 

6. PALADIN Toolbox - Imaging a Drive

6.1 Logs in PALADIN Toolbox can be saved automatically to a destination drive of your choice.

Click the “Logs” icon in the upper right-hand corner of the PALADIN Toolbox Window.

• Source = Select the physical or logical drive that you want to image.
• Source =/dev/sda Kinston SUV400S37120G 111.79GB
• Image Type = This is where you select the type of forensic image for the output or select “Device” to make a clone. 
•  Image Type = EWF(E01)
• EWF (Expert Witness Format or .E01)
• Destination = This is the volume where you want your forensic image to go.
• Destination =/dev/sdv1 WDC WD20NMVW-11AV353 E-2TB.4 1862.98GB ntfs  (read-Write)
• Verify after creation = Select this if you want to hash the forensic image files after they have been created (SHA-1 and MD5).
• Segment Size = Select this if you would like to divide your forensic image file into smaller segments or “chunks”. Due to Linux FAT32 limitations (VFAT), 2000 Mb is the largest size allowed

WD SATA HDD 2 TB(forensic image)

Start - Starts imaging once your parameters as set.

Image Details

• check box Verify after creation  /Verify Button – The Verify Button will generate a MD5 and SHA1 hash for any device or forensic image selected.
• Set Segment Size
• Imaging to an Additional Drive or Creating Two Different Images PALADIN Toolbox supports imaging to two separate destinations or as a different format on a single destination drive as a different format by selecting the “Additional” box.
  

• Start - Starts imaging once your parameters as set.

Process

Disk Manager

Imager Logs

 7. Navigate to the destination for the decrypted data, hashes and log reports

Log Report

8. Images made with PALADIN can immediately be processed with Autopsy (Digital Forensics Laptop Workstation)

After imaging with PALADIN start Autopsy and select “Create New Case”.

Enter a “Case Name” select your “Base Directory” (drive mounted read-write) for output.

9.Add a “Case Number” and “Examiner” name. 

10. Select “Image File” for your source and navigate to the forensic image file

11. Select and configure your “Ingest Modules”.  and Click “Finish” to begin the processing.

ingest modules utilized by autopsy

12.Autopsy provides an easy to use and intuitive interface that makes processing and finding data easy!

Operating System Information

Web Downloads

Shell Bags

Wireless Networks

13.After tagging and bookmarking data click the “Generate Report” button and select your report type.

Autopsy Forensic Report

Download paladi manual

Download Paladin Test Results for Disk Imaging Tool October 14,2016

สรุป 

    1.  PALADIN EDGE เป็นเครื่องมือที่ใช้ทำสำเนาหลักฐานไช้งานง่าย

    2. สามารถนำไปใช้ทำสำเนาหลักฐานในงานภาคสนามและนอกสถานที่ได้ (Onsite)

    3. มีเครื่องมือ Convert Forensic Image file 

    4. เป็นอีกTools ทางเลือกสำหรับ Digital forensics investigator 

    5. มีคู่มือแล Update เสมอ

    6. ใน PALADIN V.6 มีเอกสารทดสอบจากหน่วยงาน The Department of Homeland Security

     7. ให้เลือก Verify after creation และกำหนด Segment Size  และบีบอัดไฟล์

ในกรณีที่ Source Harddisk (2TB) เท่ากับขนาดของ Destination Harddisk (2TB)หลักฐาน *แนะนำให้เอา HDD ที่มีขนาดใหญ่กว่าฮาร์ดิสก์ต้นฉบับ

     8. หากต้องการสำเนาหลักฐาน 2 ชุดให้เลือกคำสั่ง Additional Imager  และเลือกตำแหน่งเก็บ forensic Image (Create two forensic images or clones at the same time)

Ref:

   https://sumuri.com/

   Paladin Manual

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud