Een harde schijf is geen statisch gegeven: voortdurend worden er bestanden verwijderd en komen er nieuwe bij, waarbij niet zelden oude data deels worden overschreven. Je zou dus denken dat er van je oude data al snel geen spoor meer terug te vinden is. Die visie moet je echter al snel bijspijkeren wanneer je er een forensische tool als Autopsy op loslaat.

Autopsy is eigenlijk een grafische schil, zowel voor Linux (in een iets oudere versie) als voor Windows, rond The Sleuth Kit en aanverwante (opdrachtregel)programma’s: een reeks openbrontools die er specifiek op gericht zijn op allerlei manieren “verwijderde” of verloren gewaande gegevens alsnog weer op te diepen. Forensische software van het zuiverste kaliber dus.

[download_file]

In feite is het de bedoeling Autopsy op en schijfimage los te laten, hoewel het ook mogelijk is het programma op een bestaande volume naar sporen te laten zoeken. Dat laatste valt natuurlijk niet aan te raden, omdat er altijd een risico bestaat dat je de originele data (ongewild) wijzigt – wat in forensisch-wetenschappelijke kringen alvast not done is. Maar goed, het kan wel.

Bij het opstarten van deze ‘forensische browser’ start je logischerwijze een n ieuwe ‘case’ op, waarbij je een of meer volumes (images) kunt betrekken. Je geeft tevens te kennen in welk soort data je zoal geïnteresseerd bent. Houd er wel rekening mee dat zo’n forensisch onderzoek een werk van lange adem is, waarbij het af en toe kan voorkomen alsof Autopsy  – of zelfs het complete systeem – vastgelopen is. Een paar keren crashte Autopsy ook effectief op onze test-pc. Een analyse van enkele uren is in elk geval niet uitzonderlijk, vooral afhankelijk van de grootte van de image(s).

Autopsy opereert grotendeels bij de gratie van een reeks (standaard meegeleverde) plug-ins. De namen van deze plug-ins geven al een aardig idee van de gehanteerde methodes: KeywordSearch, HashDatabase, ThunderbirdParser, SevenZip, ExifParser, RecentActivity, enz.

Als het goed is, krijg je dan na afloop de resultaten gepresenteerd. De gevonden data worden netjes gecategoriseerd in (onder meer) ip-adressen, e-mailadressen, cookies, webgeschiedenis, downloads, enz. Daar kunnen overigens ook data tussen zitten, afkomstig van bestanden die al (veel) eerder waren “verwijderd”. Een tijdlijn maakt het mogelijk dat je data opvraagt volgens het tijdstip waarop ze zijn gecreëerd. Detailrapporten laten zich bovendien exporteren naar onder meer html en Excel.

 

External links

Zoeken naar digitale sporen