Pisałem o wyzwaniu dotyczącym analizy obrazu dysku. Wyzwanie już się zakończyło, są wyniki. Muszę powiedzieć, że jestem niezły, znalazłem wszystkie pięć "podstawowych" dowodów, jak również pozostałe dwa nadmiarowe. Nie, nie ma mnie w wynikach, nie brałem udziału w zawodach.
I po wyzwaniu...
Wyzwanie było stosunkowo łatwe, w zasadzie podstawowe dowody można było znaleźć po przeglądnięciu timeline zmian na dysku. Można też było inaczej. Informacja o pliku ISO znajdowała się również $LogFile z operacji zmiany nazwy pliku. Oba pliki wykonywalne można było również znaleźć wyszukując charakterystyczny dla plików wykonywalnych (czyli na przykład fragment MZ), podobnie w przypadku plików PDF i mp3. Szukając plików PDF, można było również znaleźć usuniętych plików z Metasploit (dokumentacja w PDF).
Przyznam się, że po znalezieniu tych dowodów czułem się nieco rozczarowany (że to już koniec). Na przykład, według mnie, samo znalezienie tshark.exe nie oznacza, że użytkownik z narzędzia korzysta. Trochę czasu spędziłem wyszukując śladów po plikach *.pcap, ale ich nie znalazłem (bo ich nie było). Podobnie z obrazem ISO, szukałem śladów innych plików, bo obraz płyty recovery TrueCrypt wydawał mi się mało confidential (mały zysk z jego kradzieży i skopiowania).
Ktoś próbował się sprawdzić? Z jakimi wynikami?
