Autopsy Digital forensics :- digital forensics का chapter बहोत important है क्यों की आज के लेख में हम Autopsy के मदत से यह जानेंगे की कैसे हम किसी के भी File system के याने Window के NTFS ,FAT16, FAT32, Linux Tool या Android Device का पोस्टमॉर्टम कर सकते है.
जिस से किसी भी victim या criminal के Storage Devices जैसे की Hard-disk, Pen-drive, Computer, laptop में उसने क्या गतिविधियों को अंजाम दिया है | Data कहा छुपाकर रखा है|
कौनसा Data Delete किया है अगर Data delete किया है तो उस Data को कैसे Recover कर सकते है अदि की पुरी जानकारी हम इस लेख के माध्यम से आप के साथ साझा करने कोशिश करेंगे
Autopsy | Digital forensics से Criminal को कैसे पकड़े
Autopsy याने क्या
Autopsy Opensource Digital forensics Easy GUI Based tool है जिसे Window,Mac,Linux जैसे OS पर आसानी से इस्तिमाल किया जा सकता है इस Tool का इस्तिमाल Cyber Security Expert,Military या corporate examiners के द्वारा किया जाता है
इसके अलावा Disk image, Local drive या किसी Local Folder के फाइल को Analyze किया जा सकता है और उपयोगकर्ता ने जो भी investigation और Research किया है उस data का different-different Format में Report Generate कर सकते है
example : मान लेते है किसी Crime branch से किसी Criminal को पकड़ा गया है जिसके पास से Hard disk,Pen-drive,Smart Phone या Memory card जप्त की है
तो उसके छान बिन के लिए याने उन devices में क्या क्या Activity हुई थी | उन devices में किस तरह का Data available था…
उस के System में कौन कौन से प्रोग्राम इनस्टॉल थे | उस क्रिमिनल ने इंटरनेट पर क्या क्या कर कब Search, download और browse किया था
इसके अलावा उस criminal ने कौन कौन Devices आपने System से Connect किये थे और जितने भी images और videos उन Devices में प्राप्त होते है वे कौनसे camera से Shoot किये थे
कहा और कैसे shoot किये थे उसका सारा report Autopsy से निकला जाता है इसके अलावा जितने भी Files और Folder उस क्रिमिनल ने Delete किये है उन्हें फिर से Recover भी किया जा सकता है
Autopsy Feature
Autopsy में कही सारे Feature उपलब्ध है जैसे की यहाँ किसी भी Case पर multiple User Work कर सकते है |यहाँ आप को time analyze मिलता है
जिसके मदत से आप देख सकते है की victim ने कौन कौन से time पर क्या-क्या Activity की है | यहाँ से Keywords को Search किया जा सकता है
जैसे की email address, IP Address, URL, Contact number , credit debit card Numbers या आप को किसी खास Keyword की तलाश है उसे भी आप Autopsy में खोज सकते है
इसके अलावा Web activity Disk का पता लगाया जा सकता है की victim ने इंटरनेट पर क्या -क्या Search किया है
कोनसे Site पर visit किया है और इंटरनेट से क्या-क्या Download किया गया है यह सब Autopsy के मदत से हम पता कर सकते है इसके साथ
- Email Analysis
- File Type Sorting
- Thumbnail viewer
- Hash Set Filtering
- Unicode Strings Extraction
- File Type Detection
- Android Support
जैसे कही सारे Feature Autopsy Tool में free में उपलब्ध है
Autopsy को कंप्यूटर में कैसे इनस्टॉल करे
1) सब से पहले सामने दिए Autopsy download button पर क्लिक कर के सॉफ्टवेयर को कंप्यूटर में डाउनलोड और इनस्टॉल करे
Link पर Click करने के बाद आप के सामने 32 बिट और 64 बिट download के दो विकल्प दिखाई देंगे जिस से आपने कंप्यूटर के बिट अनुसार सॉफ्टवेयर को डाउनलोड करे और उसे कंप्यूटर में इनस्टॉल कर दिजिये
हो सकता है यह Tool कंप्यूटर में इनस्टॉल होने में थोड़ा समय ले ! क्यों की इसकी सेटअप फाइल 730 MB की है जिसके वजह से installation Processes Complete होने में आप को थोड़ा इंतजार करना पड़ सकता है
2) installation Processes पूरी होने के बाद आप के Desktop पर Autopsy का Logo आया होगा उसपर डबल Click करे जिसके बाद आप के सामने Autopsy Tool का interface दिखाई देगा
जिसे आप निचे image में देख सकते है जहा आप को New case button पर click करना होगा
3) New Case बटन पर Click करने के बाद आप के सामने एक information Window खुलेगी जहा आप को कुछ basic information Fill करनी होगी जैसे की Case Name, base Directory जहा आप आपने अनुसार Case name और Data Saving Location Select कर के Next Button पर click कर सकते है
4) next button पर Click करने के बाद आप के सामने optional Window ओपन होगी जहा कुछ Fill करने की जरूरत नहीं है लेकिन अगर आप Fill करना चाहते है तो optional info दे सकते है उसके बाद Finish बटन पर click करे
5) Finish button पर click करने के बाद आप के सामने Select type Window ओपन होगी जहा आप को Source Select करना है जैसे की आप को कौनसे Devices का Postmortem करना है
- Disk Image
- Local disk
- Logical Files
- Unallocated Space Image File
- Autopsy Logical Imager Results
हमे USB DRIVE का investigation करना है इसीलिए हम ने Local Disk को Select किया है आप आपने अनुसार किसी भी Disk का investigation कर सकते है
6) Drive Select करने के बाद Next Button पर click करे जिसके बाद आप के सामने data Source का Window ओपन होगा जहा आप को Select Disk पर Click कर के आपने Drive को Select करना है जैसे की आप निचे image में देख सकते है
7) Drive सेलेक्ट करने बाद Next Button पर click करे जिसके बाद आप के सामने Configuration ingest Modules की Window खुलेगी जहा आप आपने जरूरत के हिसाब से इन Modules को Select कर सकते है
हम आप को इन modules की बेसिक जानकारी देने की कोशिश करेंगे जिस से आप को एक idea आएगा की आप को आगे किस तरह से काम करना है
- Recent Activity – recently किस तरह के Activity usb Drive में किये है जैसे की क्या browse किया है,क्या Install किया है क्या delete और changes किया है .अदि
- Hash Lookup – Hash file की पहचान और extract करने के लिए आप इस विकल्प का इस्तिमाल कर सकते है
- File Type Identification – फाइल के टाइप को identify करने के लिए आप इस विकल्प का इस्तिमाल कर सकते है
- Extension Detector – यदि किसी ने किसी फाइल के Extension को change कर के छुपा कर रखा है तो उसके Real extension का पता करने के लिए Extension Detector का इस्तिमाल किया जाता है
- Embedded file Extractor – इसके मदत से किसी भी फाइल में Embedded फाइल को Extract किया जा सकता है इसके मदत से किसी भी images,photos में छुपाये data को Extract किया जा सकता है
- Exif parser – इसके मदत से किसी भी images,photos में छुपाये data को Extract किया जा सकता है
- Keyword Research – आपने आपने according यहाँ किसी भी particular Keyword को search कर सकते है जैसे की IP Address,URLs,Web Address,Credit Card number
- Email parser – यदि आप किसी भी Storage को Scan कर रहे है और अगर उसमे Email Related Data available है तो यह tool उन data से email को open कर के Extract कर सकता है
- Encryption Detection – Encryption या password protected File को detect करने के लिए Encryption Detection tool का इस्तिमाल किया जा सकता है
- interesting File identifier – interesting Costume data को identify करने के लिए इस विकल्प का इस्तिमाल किया जाता है
- PhotoRec Carver – इसके मदत से unallocated disk में से Photo file को Recover कर सकते है
- Virtual Machine Extractor – यदि किसी Disk में Virtual Machine की Files है तो उसे यहाँ से Extract किया जा सकता है
- Android Analyzer – इस tool के मदत से आप किसी भी Android device के data को Analyze कर सकते है
आप इन में से आपने जरूरत नुसार किसी भी विकल्प को Select कर के Next Button पर click कर सकते है | जिसके बाद Finish बटन पर Click करे
Finish Button पर click करने के बाद यह tool Disk को Analyze करना शुरू कर देगा यहाँ समय भी लग सकता है यह समय आप के Disk के Storage पर निर्भय करता है
8) Analyze पूरा होने के बाद Left Site में आप को एक Menu bar दिखाई देगा जहा से आप आपने अनुसार किसी भी विकल्प को Select कर के data का postmortem कर सकते है
जहा से आप को Drive का A to Z डाटा मिल जायेगा जिसमे deleted images, Videos, Email, Document, Hash file, Keyword, Account जैसे बहोत सारे important Data को रिकवर किया जा सकता है
इसके अलावा delete data को Recover करना या Extract करने जैसे सारे काम यहाँ से कर सकते है इसमें आप को thumbnail image and video gallery का भी विकल्प दिया जाता है
जिसके मदत से आप Direct इस tool के अंदर ही किसी भी image या Video को Play कर के देख सकते है | यदि Disk में कोई Important data उपलब्ध है तो उस डाटा का पूरा Analyze करने का control आपके हाथो में होता है आप जैसे चाहिए वैसे उसे Modify कर सकते है
Disclaimer
Autopsy बहोत बड़ा tool है जिसके बारे में हम एक लेख में लिख नहीं सकते है यदि आप आपने हिसाब से कोशिश करोगे तो खुद ही इसे Access करना सिख जाओगे इसके अलावा यह वेबसाइट खुद आपने उपयोगकर्ता के लिए Training भी उपलब्ध करवाती है
जिस में आप participate कर सकते है तो देखा जाये तो यह Tool हमारे बहोत काम का लेकिन इसपर हमारा command होना जरूरी है और यह command daily इस्तिमाल से हो सकता है