Digital Forensics: How to Forensics image with CAINE Live USB/DVD
CAINE (Computer Aided Investigative Environment) is an Italian GNU/Linux live distribution created as a Digital Forensics project.
CAINE 11 - GNU/Linux Live Distribution For Digital Forensics Project, Windows Side Forensics And Incident Response
CAINE 11.0 "Wormhole" 64bit - Official CAINE GNU/Linux distro latest release.
The important news is that CAINE 11.0, 10.0, 9.0, 8.0 and 7.0 block all the block devices (e.g. /dev/sda), in Read-Only mode. You can use a tool with a GUI named UnBlock present on Caine's Desktop.
This new write-blocking method assures all disks are really preserved from accidentally writing operations, because they are locked in Read-Only mode.
By: https://www.caine-live.net
Tools
- CAINE 11 Live USB/DVD
-Kingston data Traveler_3.0 15.5 GB (Evidence)
-Laptop Workstation
After CAINE boots, choose the "Boot Live system". If all goes well, the following desktop should appear:
หลังจาก Boot ด้วย CAINE
CAINE can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.
CAINE can boot to RAM
CAINE has a utility called Mounter, which is located in the task bar. It's the tiny icon circled above. Double clicking this icon brings up a dialog box that shows which block devices are currently mounted:
From the CAINE website documentation:
This new write-blocking method assures all disks are really preserved from accidentally writing operations, because they are locked in Read-Only mode.
If you need to write a disk, you can unlock it with BlockOn/Off or using "Mounter" changing the policy in writable mode.
1. เราจะทำ Forensic image /dev/sdb1 evidence สถานะ Read-only
การเขียนข้อมูลลง External HDD ที่เป็นระบบ NTFS ต้องทำการเขียนคำสั่ง - #sudo ntfs-3g -o rw /dev/sda4 /media/sda4
2.จะทำการ สร้าง Folder CF010 และเก็บไฟล์ CF010.e01 ไว้ที่ /dev/sda4 สถานะ Writable /Media/sda4/CF010
3 Check Timezone and Date time Setting
4.ตั้งชื่อ Case Number ,Evidence number CF010.e01
5.เปิดโปรแกรม Guymager เลือก Forensic image /dev/sdb Kingston data Traveler_3.0 15.5 GB
just start GuyMager (which is the imaging software we will use). A link to Guymager is on the main desktop.
The guymager main screen shows four disks. In our case disk WDC_WDS500G2B0A is the internal HDD (/dev/sda) and the Kingston data Traveler_3.0 is the Flash Drive. The third drive (linux loop) is the memory space CAINE uses to run the live USB/DVD.Guymager supports two formats: Linux dd raw image and Expert Witness Format. Newer version of guymager also support the advanced forensic image format (AFF). Only DD and EWF support splitting the image onto subfile. This is recommended, as handling files larger than 4GB can be difficult on some filesystems (FAT). In this case we use EWF that support built-in metadata. EWF is a well supported format in most forensic packages (EnCase, Autopsy…etc).
6.เมื่อเสร็จ จะได้ CF010.e01
7.นำ Forensic image file CF010.e01 ทำการวิเคราะห์ไฟล์โดยใช้ Autopsy
A new page will open. Enter the details in ‘Case Name’ and ‘Base Directory’ . Then click on next to proceed to next step.
Here in next step you have to enter the case number and Examiner details and click on finish to proceed to next step.A new window will open .It will ask for add data source in Step 1. Select source type to add & browse the file Path (Disk Image and click on NEXT Option to proceed further.
In Step . Configure ingest Modules I have chosen all the modules as I am looking for complete information on evidence device or disk or system etc. and click next to proceed further.
After Process completion, it will show Forensic Investigation Report.
สรุป
1. การใช้ CAINE 11 จะป้องการเขียนข้อมูลลงหลักฐาน โดยจะใช้ Read-Only mode. หากจะเขียนข้อมูลลง Disk ต้องเปลี่ยน writable mode ก่อน (Unblock)
2. การเขียนข้อมูลลง External HDD ที่เป็นระบบ NTFS ต้องทำการเขียนคำสั่ง - #sudo ntfs-3g -o rw /dev/sda1 /media/sda1
If the user wants to mount and write on an NTFS media should instead use the "ntfs-3g" command (e.g., $ sudo ntfs-3g -o rw /dev/sda1 /media/sda1).
sudo ntfs-3g -o rw /device-path /your-mount-point
3.ถ้าไม่สามารถ boot USB ได้ให้ลองปิด disable UEFI ( If secureboot failed, try to disable it from UEFI.)
4. สามารถใช้ guymager ในการทำ Imager
5. ตรวจสอบ วันเวลา Time setting
Cerdit:
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation
Digital Forensics is a very important as nowadays hacking and cyber illegal activities increasing.
ReplyDelete