Forenzika računara u kućnim uslovima  | | Program je otkrio da smo juna 2009. godine uskladištili 656 slika većih od 20 KB |
Jeste, previše smo gledali krimi serije i da, svaki put se slatko ismejemo kad počnu da petljaju sa stvarima o kojima (očigledno) ništa ne znaju. Računar im uradio ono, računar im završio ono... A tek kad krenu sa izvlačenjem podataka, dekripcijom i ostalim slatkišima, zabavi nema kraja. Sigurno se pitate što uopšte pišemo o tome, kakve to veze ima sa tekstom? Budite dobar čitalac pa gvirnite jednim okom na podnaslov. Ne šalimo se, stvarno je u pitanju forenzički program, a dolazi i od jednog tako renomiranog proizvođača kao što je kompanija PassMark Software.Odmah da se ogradimo. Ovim tekstom verovatno nećemo pokriti ni pet procenata mogućnosti programa. I to ne samo zato što ne radimo za Horejšija i ne spadamo u krem IT detektiva, već zato što je OSForensics prepunjen mogućnostima i opcijama. Za svakog iole normalnog korisnika program sa ovolikim brojem stavki navodi na pitanje: „Čemu ovo služi, a uz to i ne radi?” Šalu na stranu, valja napomenuti to da se zainteresovanima program nudi u dve varijante – besplatnoj, koja je namenjena kućnim korisnicima, i komercijalnoj, namenjenoj Horejšiju i njegovim pajtašima. Verovali ili ne, registracioni harač iznosi 500 zelenih novčanica, a ako se odlučite da opremite celu laboratoriju sa 11 ili više računara, dobićete popust od 40 procenata. Nice!  | | Sekcija Start sortira najbitnije alatke po kategorijama |
Prvi susret sa programom izaziva osećaj strahopoštovanja. Opcije su postavljene u krajnjem levom delu ekrana i ima ih skoro 30. Centralni deo ekrana rezervisan je za ispisivanje podataka, te prezentovanje opcija koje hostuje svaka oblast. Zanimljivo je to što se ceo posao obavlja sa jednog ekrana i što u svakom trenutku imate pristup svim postojećim oblastima. Kako bi donekle olakšali snalaženje i nagovestili mogućnosti programa, autori su na prvo mesto postavili oblast Start. Ona je zapravo neka vrsta quick launcha, piste za uzletanje, na kojoj su već postavljeni avioni za predviđene destinacije. Čak su i tu prisutne oblasti (njih sedam), ali su one predstavljene opisno, tako da i potpuni početnici mogu da razumeju koje alatke skrivaju. Tako se odatle jednostavno može pristupiti funkciji Search, identifikaciji datoteka, raznim viewerima, odeljku help i slično. Dok se malo ne naviknete na raspored opcija, oblast Start će predstavljati polazište za obavljanje gotovo svakog posla.Suludo je opisivati svaku od uključenih sekcija. Ipak, da biste stekli uvid u to šta program zapravo može, opisaćemo neke od sekcija čiji nam se sadržaj i delokrug delovanja učinio zanimljivim. Pre toga važno je znati da OSForensics može da se koristi i u portabilnom izdanju, što umnogome olakšava upotrebu „na terenu”. Sve što ovaj program radi, radi punim plućima i uz maksimalan manevarski prostor. Recimo, funkcija Search dozvoljava zadavanje radnih parametara kakvih niste ni svesni da postoje. Potraga za slikama, audio i video datotekama, komprimovanim fajlovima, fajlovima sa sistemskim/enkriptovanim/skrivenim atributima, potraga za slikama većih od 20 KB... Sve se to nalazi u definisanim šablonima, ali imate i mogućnost njihovog ručnog setovanja, gde upisujete datum kreiranja (može da bude i opseg), minimalnu i maksimalnu veličinu... Rezultati mogu da se predstavljaju tekstualno, putem thumbnailova ili čak na svojevrsnoj vremenskoj liniji. Kao u seriji. Kad smo već kod pretrage, OSForensics na sličan način može da bistri „bazu” obrisanih fajlova (nažalost, vraćanje u život je ograničeno na po jedan fajl), te da prikazuje Recent Activity korisnika u naznačenom vremenskom intervalu. Iz programa je moguće raditi i indeksiranje datoteka, koje se opet obavlja uz masu parametara. Recimo, u bazu mogu da se uključe samo mejlovi (sa ili bez attachmenta), tekstualne datoteke ili slike, određeni folderi i slično. Program se može iskoristiti i za povraćaj šifara, i to onih korišćenih iz browsera (za pristup naročitim sajtovima) ili logovanje na sistem. Za vreme rada moguće je pogledati aktivne procese u memoriji i naročitom alatkom dolaziti do njihovih imena tako što ćete kliknuti na otvoren prozor. Tu je i dumpovanje memorije, a među opcijama je i ona za verifikovanje integriteta fajlova, što se obavlja na osnovu naročitih hash datoteka koje mogu besplatno da se preuzmu sa oficijelnog sajta. Dalje, od diskova i particija mogu se praviti „slike”, koje se direktno iz programa mogu mountovati ili vratiti nazad na (neki drugi) hard disk. Izuzetno je korisna i sekcija iz koje je moguće praviti digitalne otiske označene particije ili diska. Opet na raspolaganju imate veliki broj opcija za podešavanje, a najvažnije je to što se otisci mogu upoređivati i tako otkriti sumnjiva aktivnost ili promene koje ne bi trebalo da nastanu. OSForensics je zlata vredan program ako uspete da mu pronađete namenu. Imajte na umu to da se izigravanje detektiva u kućnim uslovima nikad nije završilo dobro. Vladimir PISODOROV | | |
