digital_forensics:magnet_process_capture
Table of Contents
MAGNET Process Capture
context
dit document beschrijft installatie en werking van MAGNET Process Capture
installatie
- download de installer (beetje vervelend dat je moet registreren om de link te krijgen, maar goed)
- controleer de installer even op VirusTotal
- next, next, next en gedaan.
werking
algemeen
in hoofdzaak kan je met FTK:
- een identieke kopie (image) maken van disk/partitie/mappen
- een memory dump doen.
- een dump van protected files (registry, SAM account, …) doen
- de image mounten en van daaruit bestanden onderzoeken.
disk image maken
Note: Controleer dat je write-blocker is aangesloten zodat je geen data naar de schijf schrijft die je wilt imagen.
Je kan ook USB-apparaten write-protect zetten
- File > Create Disk Image
- Source:
- Physical Drive: volledige schijf
- Logical Drive: partitie met drive letter (C, D, …)
Geen gemonteerde gedeelde mappen! - Image file: bestaande image file
- Contents of a Folder: geselecteerde map.
- Image destination: plaats waar je image wilt bewaren.
- Image type: raw, AFF
- Evidence item information: administratieve data mbt de case
- Image file name: bestandsnaam.
- zet volgende opties aan:
- verify images,
- create listing,
- calculate progress,
- START
- na afloop heb je een aantal aff-bestanden, een bestandslijst en een rapportje.
disk image bekijken
- Add Evidence Item
- Source Evidence Type: cfr hierboven. Meestal: Image File
- blader naar het image bestand
- nu kan je doorheen het bestand bladeren en de eigenschappen van bestanden bekijken.
problemen, problemen
logboeken
- in locatie waar je image bewaart: <NaamImage>.txt
werking
Note: schakel slaapstand uit anders zal je image onderbroken worden
meer info
voeg hier linken toe naar verdere uitleg
digital_forensics/magnet_process_capture.txt · Last modified: 2021/12/15 16:11 by koen