whois
context
dit document beschrijft enkele zoekacties met whois
context
bevraagt whois databases waarin informatie rond domein registratie bewaard wordt.
werking
standaard
whois <domein>-H –verbose
:
vraagt info op, met meest mogelijke details (oa gebruikte whois server) met uitzonderin van legalese.
algemeen
in hoofdzaak kan je met FTK:
een identieke kopie (image) maken van disk/partitie/mappen
een memory dump doen.
een dump van protected files (registry, SAM account, …) doen
de image mounten en van daaruit bestanden onderzoeken.
disk image maken
Note: Controleer dat je write-blocker is aangesloten zodat je geen data naar de schijf schrijft die je wilt imagen.
Je kan ook USB-apparaten write-protect zetten
File > Create Disk Image
Source:
Physical Drive: volledige schijf
Logical Drive: partitie met drive letter (C, D, …)
Geen gemonteerde gedeelde mappen!
Image file: bestaande image file
Contents of a Folder: geselecteerde map.
Image destination: plaats waar je image wilt bewaren.
Image type: raw, AFF
Evidence item information: administratieve data mbt de case
Image file name: bestandsnaam.
zet volgende opties aan:
verify images,
create listing,
calculate progress,
START![{{ :digital_forensics:ftk_imager.png?600 | {{ :digital_forensics:ftk_imager.png?600 |](/lib/exe/fetch.php?w=400&tok=16fbba&media=digital_forensics:ftk_imager.png)
na afloop heb je een aantal aff-bestanden, een bestandslijst en een rapportje.
disk image bekijken
Add Evidence Item
Source Evidence Type: cfr hierboven. Meestal: Image File
blader naar het image bestand
nu kan je doorheen het bestand bladeren en de eigenschappen van bestanden bekijken.
problemen, problemen
logboeken
werking
Note: schakel slaapstand uit anders zal je image onderbroken worden
meer info
voeg hier linken toe naar verdere uitleg