Professional Documents
Culture Documents
Διπλωματική 1
Διπλωματική 1
Διπλωματική 1
ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ
ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
ΑΜ: 18390162
ΑΙΓΑΛΕΩ, [μήνας/2024]
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
από την
ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
ΑΜ: 18390162
Η έγκριση της διπλωματικής εργασίας δεν υποδηλοί την αποδοχή των γνωμών του συγγραφέα.
Κατά τη συγγραφή τηρήθηκαν οι αρχές της ακαδημαϊκής δεοντολογίας.
ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
ΠΕΡΙΛΗΨΗ
δικανική έρευνα και στη νομοθεσία περί αυτών, καθώς και θα συγκριθούν και θα δοκιμαστούν
Λέξεις κλειδιά
εργαλεία
PAPAPANAGIOTOU GEORGIA
ABSTRACT
will take place, while also the most popular tools will be compared and used to demonstrate
evidence extraction.
Key words:
ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ
ΣΥΜΒΟΛΙΣΜΟΙ
[Καταγράφονται σε μορφή πίνακα όλα τα σύμβολα που χρησιμοποιούνται στην εργασία καθώς
και η σημασία τους]
ΠΕΡΙΕΧΟΜΕΝΑ
ΠΕΡΙΛΗΨΗ..................................................................................................................................V
ABSTRACT..............................................................................................................................VIII
ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ..........................................................................................................X
ΣΥΜΒΟΛΙΣΜΟΙ.....................................................................................................................XIV
ΠΡΟΛΟΓΟΣ..................................................................................................................................1
1. ΕΙΣΑΓΩΓΗ............................................................................................................................3
1.1.1 Μορφές..............................................................................................................5
1.3.1 Δικονομία.........................................................................................................12
1.3.3 CIRT................................................................................................................15
2. ΜΕΘΟΔΟΛΟΓΙΕΣ ΕΡΕΥΝΑΣ.........................................................................................18
2.1.6 Email................................................................................................................31
2.1.7 Πολυμέσα........................................................................................................32
3. ΕΡΓΑΛΕΙΑ..........................................................................................................................36
3.2 FTK......................................................................................................................37
3.3 BELKASOFT......................................................................................................37
3.4 OS FORENSICS.................................................................................................38
3.5 ENCASE..............................................................................................................38
3.6 REKALL.............................................................................................................39
3.8 VOLATILITY.....................................................................................................40
3.9 LOGRHYTHM...................................................................................................40
3.10 NMAP..................................................................................................................41
3.11 COGNITECH.....................................................................................................41
3.12 OTHERS.............................................................................................................42
ΒΙΒΛΙΟΓΡΑΦΙΑ.......................................................................................................................147
ΠΡΟΛΟΓΟΣ
[Ο πρόλογος είναι προαιρετικός. Οποιεσδήποτε ειδικές αναφορές, ευχαριστίες, κλπ. που γίνονται
1. ΕΙΣΑΓΩΓΗ
Καθώς η τεχνολογία εξελίσσεται γρήγορα στις μέρες μας, η εγκληματικότητα έχει και αυτή
αναγκαστεί να ανανεώσει τους τρόπους μέσω των οποίων διαπράττεται. Έτσι λοιπόν, πολλά
εγκλήματα που διαπράττονται από το παρελθόν πλέον γίνονται μέσω του ψηφιακού χώρου και
συνεπώς πρέπει οι τρόποι αντιμετώπισης τους να είναι και αυτοί ψηφιακή. Αυτό ακριβώς είναι η
ψηφιακή δικανική έρευνα.
Το κυβερνοέγκλημα μπορεί να κοστίσει πολλά λεφτά σε επιχειρήσεις, αλλά και να
αποσκοπεί στην διαλεύκανση εγκλημάτων, την βοήθεια σύλληψης του δράστη αλλά και την
παρουσίαση των στοιχείων αυτών στην δικαιοσύνη και τα όργανα που την υπηρετούν. Για αυτό
θα γίνει λόγος για την νομοθεσία και τον κρατικό μηχανισμό που αφορά αυτού του είδους την
έρευνα. Ακόμα, θα αναφερθούν ομάδες που διεξάγουν ψηφιακές δικανικές έρευνες και πως είναι
η κατάσταση στην Ελλάδα σε σχέση με την Ευρώπη και τον υπόλοιπο κόσμο.
Οι ερευνητές που κάνουν την ψηφιακή δικανική έρευνα χρησιμοποιούν κάποια εργαλεία.
Άλλα παρέχονται δωρεάν (open-source) και άλλα είναι επί πληρωμή (licensed). Τα εργαλεία
αυτά τους βοηθούν να συλλέξουν πιθανά ίχνη που έχουν αφήσει πίσω οι εγκληματίες ή να
ανιχνεύσουν μελλοντικές επιθέσεις από αυτά και να τις αποτρέψουν. Η συλλογή τους πρέπει
όμως να γίνει με τέτοιο τρόπο ώστε να αποδεικνύεται ότι δεν έχουν τροποποιηθεί και είναι
αυθεντικά. Αφού συλλεχθούν τα ίχνη και δεδομένα αυτά, ο ερευνητής μαζί με τα εργαλεία του
πρέπει να αναλυθούν και έπειτα να καταγραφούν μαζί με τον τρόπο που συλλέχθηκαν. Τέλος, ο
ερευνητής συνδυάζοντας τα τεκμήρια που έχει συλλέξει και αναλύσει, βγάζει ένα τελικό
συμπέρασμα και το παρουσιάζει. Αυτή είναι και η τυπική διαδικασία που ακολουθείται συνήθως
λειτουργικά συστήματα, τον δίσκο, τα συστήματα αρχείων, την μνήμη, την δικτύωση, τα email
και τα πολυμέσα. Έπειτα, έχει σημασία η ευελιξία τους, το κόστος, την αυτοματοποίηση που
Στην εργασία αυτή θα παρουσιαστούν τα πλέον δημοφιλή εργαλεία για κάθε σκοπό και
θα γίνει μια απλή σύγκρισή τους. Έπειτα θα χρησιμοποιηθούν για να παρουσιαστεί ο τρόπος
Το ηλεκτρονικό έγκλημα είναι οι διάφορες παράνομες πράξεις που συμβαίνουν από εγκληματίες
μέσω του κυβερνοχώρου. Δηλαδή μέσω διαδικτύου, υπολογιστών, κινητών συσκευών και της
τεχνολογίας γενικότερα. Το ηλεκτρονικό έγκλημα μπορεί να γίνεται από ένα άτομο ή από
ομάδες ατόμων και μπορεί να επηρεάζει άτομα, επιχειρήσεις, το κράτος και κάθε είδους
οργανώσεις. Ο σκοπός του ηλεκτρονικού εγκλήματος συνήθως είναι η παράνομη απόκτηση
πληροφοριών και προσωπικών δεδομένων για μη εξουσιοδοτημένη επεξεργασία, απάτη με
σκοπό το κέρδος, δυσφήμηση κάποιου προσώπου ή εταιρίας για εκδίκηση ή οικονομικό όφελος,
επίθεση σε κρίσιμες υποδομές για πολιτικούς και ιμπεριαλιστικούς σκοπούς ή και απλή
διασκέδαση μερικές φορές.
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 4
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
2.0 Μορφές
συστήματα, λογαριασμούς και δίκτυα για την κλοπή πληροφοριών ή γενικά την
οποίο αναλαμβάνουν ειδικοί και εξουσιοδοτημένες εταιρίες και είναι νόμιμο. Αυτοί
είναι η προώθηση κοινωνικών και πολιτικών ιδεών, όμως πολλές φορές χρησιμοποιεί
άτομα που χρησιμοποιούν κάποια εργαλεία για να χακάρουν χωρίς να έχουν πολλές
γνώσεις για τον τρόπο με τον οποίο αυτά δουλεύουν. Phishing είναι το «ψάρεμα»
προσωπικών στοιχείων όπως όνομα χρήστη και κωδικό, με δόλο από τους ιδιοκτήτες των
στοιχείων αυτών. Μπορεί να συμβεί με ένα απλό κλικ σε ένα σύνδεσμο, το κατέβασμα
μοιάζουν πολύ με τις πραγματικές και την ζήτηση εισαγωγή στοιχείων από εκεί. Μια
πολλαπλασιαστούν αυτόματα χωρίς κάποια ενέργεια από χρήστη. Οι δούρειοι ίπποι είναι
κακόβουλο λογισμικό που παριστάνει ότι είναι νόμιμο και άκακο και βασίζεται στην
εξαπάτηση του χρήστη έτσι ώστε αυτός να το τρέξει. Δεν πολλαπλασιάζεται από μόνο
του. Τέλος, το λυτρισμικό κάνει απρόσιτα αρχεία ή ακόμα και ολόκληρα υπολογιστικά
αλλά για να το κάνει αυτό ζητάει λύτρα από τον ιδιοκτήτη σε μορφή κρυπτονομισμάτων.
εγκληματίας κλέβει προσωπικά δεδομένα και παριστάνει το θύμα για σκοπούς απάτης.
κατάρρευση των συστημάτων στα οποία επιτίθεται μέσω υπερφόρτωσης των πόρων του,
για παράδειγμα το εύρος ζώνης του δικτύου, πόροι του επεξεργαστή και χώρο στο δίσκο.
του χρήστες λόγω φόρτου εργασίας. Αυτές ονομάζονται επιθέσεις πλημμύρας (flood
attacks) και τα πιο συνηθισμένα πρωτόκολλα που στοχεύουν είναι τα ICMP, UDP και
διαδικτυακών μηνυμάτων και φροντίζει την διακίνηση μηνυμάτων από συσκευές δικτύου
του είναι το ping, το οποίο ελέγχει αν ο δέκτης είναι προσιτός και μετράει και την
απόσταση βάση του πόσο γρήγορα έφτασε και επέστρεψε πίσω το αίτημα. Flood attack
σε ICMP λοιπόν θα ήταν η αποστολή πολλών ping. Flood attack με UDP είναι η
αποστολή πολλών UDP πακέτων μαζί. Παρόμοια είναι και η flood attack με SYN
πακέτα. Τα SYN πακέτα απλά σηματοδοτούν και την έναρξη μιας επικοινωνίας δικτύου
μέσω μιας χειραψίας (handshake) από τον επιτιθέμενο προς τον στόχο. Ο στόχος στέλνει
πίσω ένα πακέτο SYN-ACK για να δείξει ότι συμφωνεί στην επικοινωνία αλλά για να
δεν κάνει ποτέ αλλά στέλνει συνεχώς νέα πακέτα SYN. Ο επιτιθέμενος θέλει πάντα να
αλλάζει συχνά την διεύθυνση IP του έτσι ώστε να μην τον βρει ο στόχος και τον
σταματήσει. Άλλο είδος DoS επίθεσης είναι οι επιθέσεις στη στρώση της εφαρμογής
(Application Layer Attacks) που είναι παρόμοιες και πιο συχνά επιτίθονται στα
πρωτόκολλα HTTP και DNS. Όταν τέτοιες επιθέσεις γίνονται ταυτόχρονα και
Harassment): Η χρήση κοινωνικών δικτύων (social media) για παρενόχληση, απειλή και
εκφοβισμό ατόμων.
πληροφοριών ή εμπορικών μυστικών και συνήθως συμβαίνει από πράκτορες που ορίζουν
Κλοπή Δεδομένων (Data Breaches): Είναι η παράβαση βάσεων δεδομένων για κλοπή
εκ των έσω. Αυτοί μπορεί να είναι συνεργάτες και υπάλληλοι. Κλοπή δεδομένων μπορεί
να γίνει και με υλική κλοπή συσκευών που τα περιέχουν (λάπτοπ, σκληροί δίσκοι,
στικάκια, χαρτιά). Τέλος, κλοπή δεδομένων γίνεται και από τρίτους παράγοντες οι οποίοι
έχουν πρόσβαση στα δεδομένα για λόγους επεξεργασίας. Αντί να τηρήσουν την
Cryptojacking: Είναι η παράνομη χρήση των συσκευών άλλων ατόμων για την εξόρυξη
και του επεξεργαστή (CPU). Η εξόρυξη κρυπτονομισμάτων απαιτεί έντονη χρήση της
GPU και της CPU οπότε τις εξαντλεί γρηγορότερα από ότι συνήθως.
Η ψηφιακή δικανική έρευνα ακολουθεί μία διαδικασία όταν εκτελείται. Η διαδικασία αυτή
αποτελείται από κάποια βασικά βήματα, σε αυτή την περίπτωση έξι. Υπάρχουν διάφορες
παραλλαγές με περισσότερα ή λιγότερα βήματα, αλλά αυτό δεν έχει σημασία καθώς το νόημα
είναι πολύ πανομοιότυπο. Τα βήματα είναι τα παρακάτω:
Αναγνώριση Περιστατικού[2]: Για να μπορέσει να γίνει μια ψηφιακή δικανική έρευνα
πρέπει φυσικά να ανιχνευτεί το περιστατικό. Πολλά περιστατικά συμβαίνουν και δεν
ανιχνεύονται. Αφού ανιχνευτεί το περιστατικό, κατηγοριοποιείται για να μας δώσει
κάποιες αρχικές πληροφορίες για το περί τίνος πρόκειται. Σε αυτό το βήμα γίνεται και η
ανάλυση νομικών απαιτήσεων.
Προστασία και διατήρηση στοιχείων: Πριν αρχίσουμε να συλλέγουμε τα στοιχεία που
άφησε πίσω ο επιτιθέμενος, πρέπει να σιγουρευτούμε πως δεν θα πειράξουμε την
ακεραιότητά τους. Αυτό γίνεται παράλληλα και για όλη την διάρκεια της συλλογής τους
που είναι το επόμενο βήμα.
Συλλογή Στοιχείων[3]: Σε αυτό το βήμα ελέγχουμε τις συσκευές ή τους αποθηκευτικούς
χώρους που ενδέχεται να περιέχουν στοιχεία κρίσιμα για την έρευνα και τα συλλέγουμε.
Κατά όλη τη διάρκεια της έρευνας αλλά ειδικά στη συλλογή των στοιχείων είναι πολύ
καλό να γράφεται ένα αρχείο με τα μέρη που βρέθηκαν στοιχεία, επιπλέον πληροφορίες
για αυτά και τις κινήσεις που έκανε ο ερευνητής για να τα αποκτήσει. Η ενέργεια αυτή
λέγεται καταγραφή (logging).
Ανάλυση στοιχείων[2,3]: Σε αυτή την φάση αναλύονται όλα τα στοιχεία που έχουν
συλλεχτεί. Για παράδειγμα, αν το συλλεγμένο στοιχείο ήταν μια εικόνα ή ένα πολυμέσο,
αυτό πρέπει να αναλυθεί περεταίρω για να παραγάγει νέα στοιχεία τα οποία μπορούν να
χρησιμοποιηθούν στη δικαιοσύνη ως αποδεικτικά στοιχεία. Και εδώ είναι σημαντική η
καταγραφή των κινήσεων (logging).
Αξιολόγηση και έρευνα: Αφού αναλυθούν όλα τα στοιχεία που συλλέχθηκαν
ξεχωριστά, γίνεται η προσπάθεια να ερευνηθούν όλα μαζί για να δώσουν μια πιο
ολοκληρωμένη εικόνα του εγκλήματος, πως αυτό συνέβη και από ποιον.
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 9
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
Η ψηφιακή δικανική έρευνα μπορεί να επεκταθεί και σε άλλους τομείς εκτός από την αντί-
άλλα πεδία για την προστασία των συστημάτων και την αντιμετώπιση προκλήσεων όταν
Περίθαλψη: Ο ρόλος των ψηφιακών δικανικών στην περίθαλψη και την υγεία είναι
Επίσης, τα προσωπικά δεδομένα όσο αναφορά την υγεία είναι ευαίσθητα και η κλοπή
είναι και αυτά κρίσιμης σημασίας αφού είναι αυτά που προστατεύουν την εθνική
κυριαρχία μιας χώρας και ύψιστης σημασίας μυστικά και δεδομένα. Οι ψηφιακοί
κυβερνοεπιθέσεων.
στην γρήγορη επίλυση προβλημάτων κατά τις εξεταστικές περιόδους και ειδικότερα στις
πανελλήνιες εξετάσεις.
Περιβάλλον: Η σημασία της περιβαλλοντικής προστασίας στις μέρες μας είναι μεγάλη
Νομική[4]: Ένα μέρος της νομικής είναι η έρευνα και η συγκέντρωση αποδεικτικών
στοιχείων, αλλά και η παρουσίαση τους στην δικαστική ανάκριση. Όταν τα αποδεικτικά
6.0 Δικονομία
Για να γίνει μια ψηφιακή έρευνα πρέπει να ακολουθεί τους νομικούς περιορισμούς ενός
κράτους. Η ανάγκη για έκδοση εντάλματος για την εκκίνηση μιας ψηφιακής έρευνας εξαρτάται
από την υπάρχουσα νομοθεσία μιας χώρας. Η νομοθεσία μιας χώρας μπορεί να αλλάξει, οπότε
Στην Ελλάδα, η έκδοση εντάλματος για την εκκίνηση μιας ψηφιακής δικανικής έρευνας
δεν είναι πάντα αναγκαία. Μια ψηφιακή δικανική έρευνα μπορεί να διεξαχθεί χωρίς την ύπαρξη
πολιτικό δίκαιο, το εμπορικό δίκαιο, και το οικογενειακό δίκαιο και άλλοι νομικοί τομείς δεν
έκδοση εντάλματος να είναι αναγκαία, αφού η έρευνα μπορεί να γίνει μέρος ποινικής
διαδικασίας. Ο νόμος που ορίζει τις ψηφιακές δικανικές έρευνες στην Ελλάδα καθορίζεται από
τον κώδικα δικονομίας (άρθρα 386 και επόμενα). Σε περίπτωση που αντληθούν στοιχεία χωρίς
χρησιμοποιηθούν στο δικαστήριο ως πειστήρια και αποδείξεις. Αυτό συμβαίνει για την
Για να εκδοθεί ένταλμα στην Ελλάδα, ο εισαγγελέας πρέπει να υποβάλει αίτηση από το
αρμόδιο δικαστήριο και να δοθούν λεπτομερείς πληροφορίες για αυτό, τον λόγο που πρέπει να
γίνει η ψηφιακή δικανική έρευνα, τους στόχους της και τα επιδιωκόμενα αποτελέσματά της και
με τι μέσα θα διεξαχθεί.
Εκτός από τις επιχειρήσεις που απασχολούν άτομα με γνώσεις ψηφιακής δικανικής έρευνας,
υπάρχουν και οργανώσεις οι οποίες εξειδικεύονται σε αυτό. Μια από αυτές είναι η δίωξη
ιδρύθηκε το 2014 με προεδρικό διάταγμα Π.Δ 178/2014 με έδρα την Αθήνα, ενώ η
υποδιεύθυνση της έχει έδρα την Θεσσαλονίκη. Η δίωξη ηλεκτρονικού εγκλήματος ανήκει στον
δημόσιο τομέα, είναι υπηρεσία και συνεργάζεται με την ελληνική αστυνομία και τις αρχές. Το
τμήμα που συνεργάζεται με την αστυνομία λέγεται υπηρεσία ηλεκτρονικού εγκλήματος της
επεξεργάζεται αναλύει και προωθεί πληροφορίες στα αρμόδια τμήματα. Τέλος, μεριμνά
εγκλημάτων.
Καινοτόμων δράσεων και στρατηγικής[5]: Αυτό το τμήμα ενημερώνει τους πολίτες για
τους κινδύνους του ηλεκτρονικού εγκλήματος και την προστασία τους με αυτό,
δίκτυα και ενημερώνει και ευαισθητοποιεί τους πολίτες για τις δράσεις της. Επίσης,
έρευνα και καταγράφει κυβερνοεπιθέσεις και τους τρόπους με τους οποίους έγιναν σε
διεθνές και παγκόσμιο επίπεδο καθώς και καταγραφή στατιστικών στοιχείων και
δράσεων.
υποθέσεις και υποστηρίζει τα άλλα τμήματα της υπηρεσίας στις υποθέσεις τους όπου
χρειάζεται.
εγκλήματα που γίνονται ψηφιακά εναντίων των ανηλίκων και των παιδιών, αναλαμβάνει
υποθέσεις παρενόχλησης (cyber bullying) και ρατσισμού μέσω διαδικτύου και βοηθάει
διεθνείς ομάδες, δουλεύει για την εξιχνίαση οικονομικών εγκλημάτων που διαπράχθηκαν
αντιμετωπιστούν. Τέλος, ελέγχει και ερευνά συνεχώς το διαδίκτυο για την ανίχνευση και
8.0 CIRT
Ο όρος CIRT (Computer Incident Response Team) στα ελληνικά σημαίνει «ομάδα αντίδρασης
συνεργάζονται με την διεύθυνση δίωξης ηλεκτρονικού εγκλήματος και τις αρχές του κράτους.
Υπάρχουν εταιρικά CIRT, κυβερνητικά, διεθνή και ακαδημαϊκά. Μερικές από τις πιο γνωστές
από το Πανεπιστήμιο Carnegie Mellon το 1988 και λειτουργεί υπό την εποπτεία του
CERT στο πλαίσιο του τμήματος μηχανικών λογισμικού. Ερευνά, αναλύει και παρέχει
κόσμο. Ακόμα ενημερώνει για εργαλεία και στρατηγικές για την ενίσχυση της
US-CERT (United States Computer Emergency Readiness Team): Η ομάδα αυτή εδρεύει
στις ΗΠΑ και ασχολείται με προβλήματα στις κρίσιμες υποδομές της. Οργανώθηκε το
2003 και λειτουργεί υπό την αιγίδα του υπουργείου εσωτερικής ασφάλειας των ΗΠΑ.
Συνεργάζεται με εταιρείες του ιδιωτικού τομέα, τις κυβερνητικές αρχές και άλλους
συνεργάτες διεθνώς.
Europol EC3 (European Cybercrime Center): Η Europol έχει την EC3, η οποία είναι μια
Συνεργάζεται με τον ιδιωτικό τομέα και ακαδημίες και πανεπιστήμια. Τέλος, κάνει
έρευνα για τις νεότερες απειλές και μεθόδους επιθέσεων και καινοτομικούς τρόπους
που οργανώνει συνέδρια με άλλες ομάδες CIRT για ανταλλαγή γνώσεων. Επίσης,
αποτελεσματικά και είναι εκείνη που εκδίδει διεθνείς αναζητήσεις εγκληματιών (διακήρυξη
2. ΜΕΘΟΔΟΛΟΓΙΕΣ ΕΡΕΥΝΑΣ
πληροφοριών από αυτά και τις συσκευές. Τα λειτουργικά συστήματα είναι το πρώτο πράγμα που
εκτελείται όταν ανοίγει ένας υπολογιστής[1], για παράδειγμα τα Windows, το Linux, η macOS.
Τα λειτουργικά μεταξύ τους έχουν κάποιες διαφορές, μαθαίνοντας το λειτουργικό σύστημα του
ύποπτες ενέργειες και αρχεία σε έναν υπολογιστή ή μια συσκευή. Μια τεχνική για τον σκοπό
αυτό είναι η συναρτήσεις hash. Οι συναρτήσεις hash [1] είναι μαθηματικές συναρτήσεις όπως για
αριθμών και χαρακτήρων (ένα hash). Όταν το hash που υπολογίζουμε εκ των υστέρων είναι ίδιο
έχουν αλλοιωθεί ή αλλάξει. Η διαδικασία αυτή λέγεται “hash matching” και χρησιμοποιείται
Σε ένα δίσκο μπορεί να υπάρχουν αρχεία που να έχουν λάθος όνομα ή λάθος επέκταση.
Υπάρχουν εργαλεία που μπορούν να αναζητήσουν και να βρουν τέτοια αρχεία και η διαδικασία
σκοπός της διαδικασίας αυτής είναι η αποκατάσταση δεδομένων από backup ή έπειτα από
προβλήματα συστήματος και η εύρεση αρχείων που είχαν χαθεί ή μετονομαστεί λάθος. Άλλος
λογισμικού μπορεί να είναι στατική ή δυναμική. Η στατική ανάλυση είναι η εξέταση του
κώδικα, των συναρτήσεων, των δομών δεδομένων και άλλων χαρακτηριστικών χωρίς την
εκτέλεση του λογισμικού. Η δυναμική ανάλυση είναι η εκτέλεση του λογισμικού σε ελεγχόμενο
περιβάλλον όπως μια εικονική μηχανή (virtual machine), για την καλύτερη κατανόηση της
συμπεριφοράς του. Μερικά κακόβουλα λογισμικά μετονομάζουν αρχεία για να κρύψουν την
παρουσία τους. Η ανίχνευση αυτής της μετονομασίας μπορεί να οδηγήσει στην ανακάλυψη και
εξάλειψη κακόβουλου λογισμικού. Τέλος, οι χρήστες κάνουν λάθη και η διαδικασία μπορεί να
Αρχεία LNK[1]: Είναι συντομεύσεις αρχείων στα windows (.LNK), τα οποία περιέχουν
Αρχεία Prefetch[1]: Ο σκοπός των αρχείων αυτών είναι η επιτάχυνση της φόρτωσης
καταγράφονται όπως επίσης και το πόσους πόρους χρησιμοποιούν και πως. Επίσης
καταγράφεται και ποιες εφαρμογές έχουν τρέξει πότε, την ώρα, για πόση ώρα, όνομα και
κατάληξη “.pf”.
Καταγραφή συμβάντων[1]: Τα event logs είναι σημαντικά για την διάγνωση και την
εφαρμογών που είναι εκκινήσεις, διακοπές, σφάλματα εφαρμογών που τρέχουν στο
όπως εκκινήσεις, σφάλματα, πληροφορίες για το hardware και άλλα. Και το αρχείο
ασφαλείας και γενικά συμβάντα που έχουν να κάνουν με την ασφάλεια του συστήματος.
Οι καταγραφές αυτές γίνονται και σε σέρβερ και έχουν έναν «μαγικό» αριθμό που είναι
μοναδικός.
και εξετάζει τους πόρους που χρησιμοποιούνται. Δηλαδή πόση CPU, RAM ή εύρος ζώνης
δικτύου απαιτούν οι υπηρεσίες. Τις εξαρτήσεις τους, δηλαδή ποιες άλλες υπηρεσίες τις
χρειάζονται για να προχωρήσουν τη διαδικασία τους. Και την συχνότητα χρήσης τους.
πληροφορίες ρυθμίσεων υλικού και λογισμικού, χρηστών, εφαρμογών και άλλα. Είναι
σημαντική βάση δεδομένων και τυχόν τροποποιήσεις πρέπει να γίνονται με προσοχή και από
υπολογιστή ή συσκευή.
διαδίκτυο, οι εκτελούμενες εφαρμογές, τα αρχεία που ανοίγει, κάθε υλική συσκευή που
παρακολούθηση των δραστηριοτήτων αυτών συμβάλει στην ασφάλεια του συστήματος, την
δίνουν την επιλογή αποθήκευσης αυτών των κωδικών. Έτσι υπάρχει η ικανότητα ανάκτησης
αυτών, αλλά και κωδικών που χρησιμεύουν στην ενεργοποίηση λογισμικών για την
AmCache[1]: Μια βάση δεδομένων που διατηρεί πληροφορίες όπως οι διαδρομές αρχείων,
χρονοσφραγίδες για την δημιουργία και την τροποποίηση τους, ψηφιακές υπογραφές
έναν υπολογιστή σε χρονολογική σειρά, αφού η συλλογή τους έγινε από έτοιμα αρχεία
και στατιστικά στοιχεία. Φυσικά για να γίνει αυτό πρέπει να υπάρχει συγκατάθεση από τους
χρήστες. Σκοπός της είναι η βελτίωση της εμπειρίας των χρηστών, την καλύτερη επίλυση
SRUM (System Resource Usage Monitor)[1]: Είναι μια λειτουργία των Windows που
παρέχει δεδομένα για την χρήση των πόρων ενός συστήματος. Όπως, τον χρόνο που
καταναλώθηκαν και από ποια εφαρμογή, για πόσο εκτελούνταν η εφαρμογή, τη χρήση της
μνήμης και των δίσκων, μεταφορές δεδομένων και συμβάντα μέσω δικτύου. Μέσα από αυτή
την λειτουργία μπορούν να βγουν συμπεράσματα για την δραστηριότητα των χρηστών σε
σχέση με τους πόρους που χρησιμοποίησε. Για τα Linux υπάρχουν άλλα εργαλεία που
Η συσχέτιση λειτουργικών συστημάτων και συστημάτων αρχείων και δίσκων είναι άρρηκτη. Το
σύστημα αρχείων είναι αναγκαίο σε ένα υπολογιστικό σύστημα καθώς οργανώνει τα πράγματα
και χωρίς αυτό θα κατέρρεε. Υπάρχουν διάφορα συστήματα αρχείων, αλλά τα βασικά
χαρακτηριστικά σε όλα είναι τα ονόματα των αρχείων, οι φάκελοι και οι κατάλογοι, η διαχείριση
χώρου και τα μεταδεδομένα. Στο δίσκο υπάρχουν δεδομένα που αν συλλεχθούν και αναλυθούν
αρχείο[1].
Μία τεχνική ψηφιακής δικανικής έρευνας είναι η υπογραφή δίσκου (drive signature).
Μέσα από αυτή, μπορούμε να μάθουμε για την δομή δεδομένων και πως είναι αποθηκευμένα
στον δίσκο, τον τύπο αρχείων που είναι αποθηκευμένα στον δίσκο, τις υπογραφές αρχείων και
τα μοτίβα τους και την διαμόρφωση του δίσκου που αναφέρεται στο μέγεθος των τομέων
(sectors), στο σύστημα αρχείων κ.α. Η εικόνα παρουσιάζει ποιοι είναι οι τομείς, τα
διαμερίσματα και οι συστάδες στον δίσκο. Οι υπογραφές αρχείων μπορούν να δείξουν και ποια
προγράμματα δημιούργησαν τα αρχεία. Γνωστά σύστημα αρχείων είναι το NTFS των windows,
το FAT32, exFAT της macOS και το Ext 4 (Linux). Τα υποστηριζόμενα συστήματα αρχείων
Οι δίσκοι έχουν μερικά «κρυφά» σημεία τα οποία δεν είναι εύκολα ορατά από τις
κανονικές λειτουργίες του συστήματος. Υπάρχουν κρυφά αρχεία και φάκελοι που αποθηκεύουν
πληροφορίες που δεν πρέπει να είναι προσβάσιμες στον κοινό χρήστη για να μην πειράξει
πράγματα και λειτουργίες που είναι σημαντικές για την λειτουργία του συστήματος. Επίσης,
υπάρχουν κρυφά διαμερίσματα και τομείς που δεν είναι προσπελάσιμοι από το λειτουργικό
σύστημα. Χρησιμοποιούνται για να αποθηκεύουν πληροφορίες και κώδικα για την εκκίνηση του
Τα βασικότερα χαρακτηριστικά που πρέπει να έχει ένα εργαλείο δικανικής έρευνας είναι
τα παρακάτω:
File System Explorer[1]: Είναι εργαλείο που παρουσιάζει ιεραρχικά τα αρχεία και τους
καταλόγους ενός συστήματος για την διευκόλυνση του ερευνητή. Βοηθάει στην
περιήγηση στο σύστημα αρχείων και την διαχείριση τους, στην φιλτραρισμένη
αναγνώριση διαγραμμένων αρχείων και την ανάκτηση τους. Τα πρότυπα αυτά έχουν
δείκτες ή μοτίβα που ορίζουν την αρχή και το τέλος ενός αρχείου. Τα αρχεία αυτά μπορεί
να είναι διαφόρων τύπων, για παράδειγμα έγγραφα, εικόνες βίντεο και τα λοιπά.
μέσο. Όταν ένα αρχείο διαγράφεται αφήνει κενό χώρο. Ένα άλλο αρχείο καταλαμβάνει
τον κενό αυτό χώρο. Πολλές φορές όμως δεν τον καταλαμβάνει ολόκληρο και αυτό που
μένει ονομάζεται slack space. Ο χώρος αυτός αν δεν γραφθεί από πάνω περιέχει
κατάλοιπα του αρχείου που είχε διαγραφθεί προηγουμένως και μπορεί να βοηθήσει την
έρευνα.
Hex viewer[1]: Το εργαλείο αυτό προβάλλει τα αρχεία σε δεκαεξαδική μορφή και κάθε
byte παίρνει τιμές από 00 έως FF. Η ανάλυση των αρχείων σε δεκαεξαδική μορφή μπορεί
και μνήμης. Η προβολή γίνεται και σε άλλες μορφές όπως ASCII, δεκαδικό και άλλα.
Δημοφιλή hex viewers είναι τα XVI32 για Windows, το Bless για το Linux και τα HxD,
Volume Shadow Copy Service[1]: Είναι αντίγραφα ασφαλείας αρχείων στα Windows
χρήσιμα για backup και βοηθούν και στην ψηφιακή δικανική έρευνα.
Registry[1]: Είναι ένα ιεραρχημένο μητρώο των Windows που αποτελείται από κλειδιά
και τιμές, στο οποίο μπορούν να βρεθούν σημαντικές πληροφορίες. Όπως ρυθμίσεις του
εξωτερικές συσκευές και τροποποιημένα έγγραφα. Οι βασικοί τύποι τιμών που μπορούν
του υπολογιστή από την μνήμη RAM στον σκληρό δίσκο πριν την αδρανοποίηση του.
Μετά την επαναφορά του υπολογιστή το αρχείο αυτό επιτρέπει την ακριβή επαναφορά
μεταφέρονται δεδομένα από την RAM τα οποία δεν χρησιμοποιούνται επί του παρόντος
εκ μέρους του λειτουργικού συστήματος, για να δοθεί περισσότερος χώρος RAM για την
εκτέλεση του τρέχοντος κώδικα. Το αρχείο αυτό διαχειρίζεται την εικονική μνήμη
(virtual memory) στα Windows. Το αρχείο σελιδοποίησης είναι για τα windows, ενώ το
επαναφοράς δεδομένων μετά από απώλεια ενός ή παραπάνω δίσκων. Η κατασκευή ενός
χάρτη RAID γίνεται με ένα σετ εικόνων δίσκου (disk images). Υπάρχουν διάφοροι τύποι
RAID. Στον RAID 0 δεν υπάρχει ανεξάρτητη αποθήκευση δεδομένων (striping). Αυτό
σημαίνει ότι αν ένας δίσκος υποστεί βλάβη δεν υπάρχει η δυνατότητα ανακατασκευής
βλάβη τα δεδομένα υπάρχουν στον άλλο. Στα RAID 5/6/10.. η ανακατασκευή των
δεδομένων είναι πιο πολύπλοκη και χρονοβόρα καθώς πρέπει να συλλεχθούν δεδομένα
Με τον όρο μνήμη σε ζωντανή λειτουργία εννοούμε την RAM. Η RAM είναι η ενδιάμεση
μνήμη μεταξύ του αποθηκευτικού χώρου και του επεξεργαστή. Ο τρόπος που η RAM έχει
πληροφοριών σχετικά με διεργασίες που εκτελούνται στο σύστημα και σχετικά με τις συνδέσεις
του δικτύου, εντοπισμός κακόβουλων λογισμικών ή πράξεων και ανάκτηση δεδομένων που
έχουν διαγραφεί αλλά μπορεί να παραμένουν στην μνήμη [1]. Η μνήμη σε ζωντανή λειτουργία
επιτρέπει να γίνει η έρευνα χωρίς την αναγκαστική απενεργοποίηση του συστήματος. Μερικά
από τα πιο σημαντικά χαρακτηριστικά των εργαλείων για έρευνα μνήμης σε ζωντανή λειτουργία
είναι:
γραφικό περιβάλλον για να είναι πιο προσιτά στον χρήστη, μερικά παρέχουν μόνο
τη βοήθεια ηλεκτρονικού πράκτορα, τον οποίο θα ελέγχει από τον δικό του υπολογιστή.
Πολλαπλότητα χρηστών[1]: Πολλές φορές μια έρευνα γίνεται από πολλούς ερευνητές
ταυτόχρονα. Οπότε είναι χρήσιμο το εργαλείο να μπορεί να κρατήσει τις πράξεις του
τους, οπότε είναι καλό τα εργαλεία να υποστηρίζουν όσες περισσότερες γίνεται για να
αναλύσουν την μνήμη. Το ίδιο ισχύει και για τα λειτουργικά. Όσα περισσότερα
Ο στόχος της δικανικής έρευνας στο δίκτυο είναι η παρακολούθηση της κίνησης σε αυτό και σε
περίπτωση επίθεσης, η αναγνώριση της πηγής της. Αποτελείται από διάφορες συσκευές και
συστήματα, όπως routers, switches, IPS-IDS (Intrusion prevention and detection systems),
έξυπνες συσκευές. Το δίκτυο μπορεί να κατηγοριοποιηθεί σε χώρο δικτύου (LAN/MAN/WAN).
Το LAN (Local Area Network) είναι το τοπικό δίκτυο περιοχής που συνδέει υπολογιστές σε
κοντινές αποστάσεις όπως ένα σπίτι ή ένα γραφείο. Το MAN (Metropolitan Area Network) είναι
δίκτυο μητροπολιτικής περιοχής και έχει εμβέλεια μεγαλύτερη από ένα LAN αλλά μικρότερη
από ένα WAN. Μπορεί περίπου να καλύψει μια πόλη και συνήθως χρησιμοποιείται από
οργανισμούς που θέλουν μεγαλύτερη εμβέλεια από ένα κτήριο. Συνδέει πολλά LAN μαζί. Το
WAN (Wide Area Network) είναι δίκτυο ευρείας περιοχής και καλύπτουν μεγάλες γεωγραφικές
Το διαδίκτυο είναι το μέσο επικοινωνίας του χρήστη με τον υπόλοιπο κόσμο μέσω ενός
φυλλομετρητή (web browser). Η έρευνα συλλέγει τα δεδομένα της από το ιστορικό περιήγησης,
εργαλείο και να μας βοηθήσει στην έρευνα μας να ξέρουμε ποιους φυλλομετρητές
Ιστορικό[1]: Με την ίδια λογική το ιστορικό ενός φυλλομετρητή μπορεί να δείξει ποιες
ιστοσελίδες επισκέφτηκε ο χρήστης, τι έκανε σε αυτές, για πόση ώρα και πόσο συχνά.
Με την παραδοχή μόνο ότι το ιστορικό διατηρείται για ένα διάστημα χρόνου, μετά
διαγράφεται.
ανακαλύψει η έρευνα.
Cookies[1]: Είναι μικρά αρχεία κειμένου που αποθηκεύονται στον υπολογιστή του
δραστηριότητες του χρήστη στη σελίδα, τις προτιμήσεις του. Υπάρχουν απαραίτητα
cookies για την σωστή λειτουργία της ιστοσελίδας, υπάρχουν cookies απόδοσης που
στοχεύουν στην βελτίωση της σελίδας, λειτουργικότητας που έχουν να κάνουν για
παράδειγμα με την τοποθεσία του χρήστη και την γλώσσα του και τέλος διαφημιστικά
που γράφει διατηρείται ως λέξεις κλειδιά από τον φυλλομετρητή. Ο ερευνητής μπορεί να
cache τα οποία έχουν μέσα πληροφορίες για τις πιο συχνά επισκεπτόμενες ιστοσελίδες.
2.1.6 Email
Headers[1]: Είναι τμήμα email που περιέχει πληροφορίες παραλήπτη και αποστολέα,
διαδρομής, χρόνου αποστολής, θέμα και τέλος λειτουργία αυθεντικοποίησης του
μηνύματος όπως DKIM (DomainKeys Identified Mails), SPF (Sender Policy
Framework). Το πρώτο είναι ένας τρόπος αυθεντικοποίησης ότι το μήνυμα έχει σταλεί
από τον αποστολέα και δεν έχει τροποποιηθεί από κάποιον άλλο. Αυτό γίνεται με την
δημιουργία της ψηφιακής υπογραφής του αποστολέα που είναι ένα ιδιωτικό κλειδί του
domain του. Το SPF είναι παρόμοιο απλά αυθεντικοποιεί τα email βάση από ποιους
διακομιστές έρχονται. Ορίζονται κάποιες εξουσιοδοτημένες πηγές και αν τα
συγκεκριμένα email δεν έρχονται από εκεί τότε θεωρούνται κακόβουλα και
απορρίπτονται. Επίσης, μέσω του header μπορεί να βρεθεί η IP του αποστολέα και είναι
χρήσιμη πληροφορία αν δεν χρησιμοποιεί VPN για να κρύψει την πραγματική του IP.
Τύπος email[1]: Αυτό ορίζει αν ένα εργαλείο έχει δυνατότητα να αναλύσει σε ζωντανή ή
εκτός σύνδεσης λειτουργία.
Επιλογές αναζήτησης[1]: Τα εργαλεία είναι καλό να παρέχουν αναζήτηση λέξεων
κλειδιών στην ανάλυση των emails. Ακόμα μπορούν να κάνουν τακτικούς ελέγχους και
αναζητήσεις, αναζητήσεις πάνω στα επισυναπτόμενα αρχεία και αναζητήσεις με τη
βοήθεια γράφων βάση των συνδέσεων.
Τύπος γραμματοκιβωτίου[1]: Είναι η λίστα των υποστηριζόμενων μορφών email που
προσφέρει το εργαλείο. Όσο περισσότερες τόσο το καλύτερο.
Υποστήριξη απεικόνισης[1]: Το εργαλείο περιγράφει αν υποστηρίζει την απεικόνιση
των email σε μια διεπαφή ή όχι.
Ανάλυση αρχείων συστήματος[1]: Τα εργαλεία μπορούν να εξάγουν πληροφορίες μέσω
των email από αρχεία συστήματος και την μνήμη RAM με διάφορες τεχνικές. Το
χαρακτηριστικό αυτό περιγράφει ποιες τεχνικές υποστηρίζει το κάθε εργαλείο.
2.1.7 Πολυμέσα
Τα πολυμέσα πλέον είναι πολύ δημοφιλή. Οι χρήστες ανταλλάζουν συνεχώς εικόνες, ήχο, βίντεο
και πολλά άλλα. Η ψηφιακή δικανική έρευνα στα πολυμέσα είναι η ανάλυση τους για
πληροφορίες που περιέχουν, αλλά σημαντικότερα η αναγνώριση της συσκευής που παρήγαγε
την φωτογραφία/βίντεο, ποια άτομα απεικονίζονται σε αυτή αν υπάρχουν κτλ. και αν έχει
υποστεί μετατροπές από την αρχική της μορφή ή να είναι πλαστές ή αν περιέχει στενογραφία [1].
Η στενογραφία είναι τρόπος να περιέχονται πληροφορίες μέσα σε μια εικόνα χωρίς όμως να
είναι εμφανής χωρίς επεξεργασία. Καθώς τα πολυμέσα και κυρίως τα βίντεο μπορεί να είναι
υπάρχει η δυνατότητα αυτόματης ανάλυσης τους από εργαλεία. Παρακάτω είναι τα πιο
Αυθεντικοποίηση εικόνων[1]: Για να αποδειχθεί πως μια εικόνα δεν έχει τροποποιηθεί ή
κρυπτογραφία για να επιβεβαιώσουν ότι η εικόνα δεν έχει αλλάξει από όταν την έφτιαξε
μεταδεδομένα μιας εικόνας είναι έξτρα πληροφορίες για αυτή όπως τι ημερομηνία και
ώρα τραβήχτηκε, την τοποθεσία και τον εξοπλισμό. Επίσης, υπάρχουν τα ψηφιακά
συναρτήσεις δηλαδή που αν αλλάξουν σημαίνει πως η εικόνα δεν είναι γνήσια και τα
ελέγχει ειδικό λογισμικό. Η εξωτερική επαλήθευση συνήθως είναι βάσεις δεδομένων που
εικόνες.
Καθαρισμός: Τα βίντεο και οι εικόνες πολλές φορές εμπεριέχουν θολούρα, θόρυβο και
αντικείμενα στο προσκήνιο όπως καιρικές συνθήκες, που δυσκολεύουν την ανάλυση
η εικόνα και το βίντεο να είναι πιο καθαρά και επεξεργάσιμα. Τέλος υπάρχουν τεχνικές
οποία χρησιμοποιεί πολλά καρέ εικόνων και βίντεο μαζί για την βελτίωση πληροφοριών
Δημιουργία βίντεο από εικόνες: Πολλές εικόνες μαζί στη σειρά μπορούν να
Υπογράμμιση: Για την ανάδειξη σημαντικών σημείων σε μια εικόνα ή βίντεο υπάρχουν
τεχνικές που εστιάζουν τον χρήστη στο σημείο ενδιαφέροντος. Αυτό γίνεται με την
αύξηση της φωτεινότητας, των χρωμάτων και της αντίθεσης στην περιοχή ενδιαφέροντος
και τη σκόπιμη προσθήκη θολούρας ή θορύβου σε μέρη που δεν είναι σημαντικά ή δεν
πρέπει να εμφανίζονται για την διασφάλιση της ιδιωτικότητας και των προσωπικών
μπορεί να είναι σε κίνηση ή να μην φαίνονται ολόκληρα μέσα σε μια εικόνα ή βίντεο. Η
τεχνική αυτή μπορεί να δημιουργήσει το υπόλοιπο μέρος που λείπει βάση του εμφανούς
Υπάρχουν και άλλα είδη ψηφιακής δικανικής έρευνας όπως έρευνα σε μηνύματα μέσω των
social media, υπολογιστικής νέφους, υλικού και συσκευών, κακόβουλου λογισμικού και βάσεων
δεδομένων.
3. ΕΡΓΑΛΕΊΑ
διαδίκτυο και ηλεκτρονικό ταχυδρομείο. Το Autopsy και το SleuthKit είναι δύο ξεχωριστά
εργαλεία που και τα δύο κάνουν πολύ παρόμοιες δουλειές. Το autopsy είναι φτιαγμένο με βάση
το sleuthkit με διαφορά ότι έχει gui (graphical user interface) έτσι ώστε να είναι πιο φιλικό ως
προς τον ερευνητή απλοποιώντας τις διαδικασίες έρευνας. Το autopsy αναλύει εικόνες δίσκων,
συστήματα αρχείων και κινητές συσκευές. Παρέχει την ικανότητα στους ερευνητές να κάνουν
sleuthkit είναι μια σειρά από εργαλεία που χρησιμοποιούνται στη γραμμή εντολών και
προσφέρει μια πιο βαθιά εξέταση των συστημάτων αρχείων, εξαγωγή πληροφοριών και
metadata. Και τα δύο είναι δωρεάν και υποστηρίζουν Windows, Linux και άλλα λειτουργικά
συστήματα.
3.2 FTK
Το FTK είναι και αυτό εργαλείο ψηφιακής δικανικής έρευνας που υποστηρίζει έρευνα στα
λειτουργίες όπως ανάλυση εικόνων δίσκου, αναζήτηση με λέξεις κλειδιά, ανάκτηση αρχείων,
ανάλυση χρονοδιαγράμματος και μεταδεδομένων και τέλος αναφορά. Το FTK γενικά συνιστάται
3.3 BELKASOFT
Το Belkasoft Evidence Center (BEC) είναι ένα εργαλείο ψηφιακής δικανικής έρευνας που κάνει
εύκολη την συλλογή και ανάλυση στοιχείων για τον ερευνητή. Αναλύει σκληρούς δίσκους και
εικόνες αυτών, πακέτα μνήμης, υπολογιστική νέφους, κινητές συσκευές και άλλα. Είναι
εργαλείο επί πληρωμή όμως προσφέρει και μια περίοδο δοκιμής δωρεάν. Κάνει την ανάλυση και
παρουσίαση των πιο σημαντικών αντικειμένων αυτόματα για τον ερευνητή. Υποστηρίζει
Windows, macOS, Linux και άλλα Unix λειτουργικά συστήματα. Η Belkasoft έχει και άλλα δύο
εργαλεία. Το Belkasoft Acquisition and Triage, το οποίο είναι χρήσιμο για μια γρήγορη πρώτη
συλλογή και ανάλυση πολλών δεδομένων και το Belkasoft Live RAM Capturer, το οποίο
3.4 OS FORENSICS
Ένα κατανοητό εργαλείο εξαγωγής δικανικής έρευνας είναι το OS Forensics. Είναι εργαλείο που
διαθέτει έκδοση επί πληρωμή και δωρεάν, αλλά η δωρεάν περιέχει περιορισμένες λειτουργίες. Η
δωρεάν έκδοση μπορεί να κάνει αναζήτηση αρχείων, ανάλυση εικόνων δίσκου, ανάκτηση
αρχείων, βασική ανάλυση μεταδεδομένων, περιορισμένη ανάλυση κινήσεων στο διαδίκτυο και
τους φυλλομετρητές, βασική ανάλυση αρχείων του λειτουργικού και μερική ανάλυση μνήμης. Η
πληρωμένη έκδοση προσφέρει τα ίδια απλά όχι περιορισμένα και με πιο κατανοητό τρόπο για
τον ερευνητή, ειδικά σε προχωρημένου βαθμού αναλύσεις. Βάση των ερευνητικών μας αναγκών
3.5 ENCASE
Το Encase είναι από τα πιο διαδεδομένα εργαλεία στον τομέα της ψηφιακής δικανικής έρευνας.
Προσφέρει διάφορες εκδόσεις επί πληρωμή μόνο. Η τιμή κάθε έκδοσης διαφέρει, όσο
υψηλότερη τιμή τόσες περισσότερες λειτουργίες παρέχει. Φυσικά ακολουθεί την ίδια διαδικασία
συλλογής και ανάλυσης δεδομένων και στο τέλος παράγει αναφορές που είναι μεγάλης
κλίμακας. Οι λειτουργικότητες του είναι carving, ανάλυση εικόνων δίσκου, ανάκτηση αρχείων,
3.6 REKALL
Είναι μια πλατφόρμα ανοικτού κώδικα με εργαλεία για ψηφιακή δικανική έρευνα που πλέον
λέγεται “Memory Forensics Framework”. Χτίστηκε πάνω στο πλαίσιο του “Volatility”, το οποίο
θα παρουσιαστεί ακριβώς μετά. Ασχολείται με την ανάκτηση και ανάλυση μνήμης και
υποστηρίζει Windows, macOS, Linux. Έχει GUI (γραφικό περιβάλλον) για την επικοινωνία του
χρήστη μέσω διαδικτυακού φυλλομετρητή με το εργαλείο, αλλά τρέχει κυρίως σε CLI (γραμμή
χρονικά σημεία, αναλύει αρχεία και κάνει εξόρυξη δεδομένων, κάνει ανάλυση δικτύου και
υποστηρίζει επεκτάσεις. Κυρίως χρησιμοποιείται για ζωντανό έλεγχο της μνήμης RAM. Είναι
3.7 VOLATILITY
Το Volatility είναι και αυτό εργαλείο ελέγχου της RAM, το οποίο προσφέρει γραφικό
περιβάλλον μέσω του workbench ή GUIs που δημιουργήθηκαν από τρίτους. Οι βασικός και
αρχικός τρόπος λειτουργίας της όμως είναι από την γραμμή εντολών. Υποστηρίζει Windows,
Linux και macOS. Επίσης, όπως και το recall ανιχνεύει και αναλύει κακόβουλο λογισμικό,
προσφέρει γνώση για εφαρμογές που εκτελούνται ζωντανά και ανοιχτές επικοινωνίες δικτύου.
Έχει μεγαλύτερη υποστήριξη από την κοινότητα και χρησιμοποιείται πιο συχνά. Είναι καλύτερα
κατανοητή λόγω του μεγαλύτερου αριθμού εγχειριδίων και οδηγιών που παρέχει. Φαίνεται να
Είναι εργαλείο ψηφιακής δικανικής έρευνας για το δίκτυο. Είναι ανοικτού κώδικα άρα δωρεάν.
Ασχολείται με τη λήψη πακέτων από το δίκτυο και την εξαγωγή αρχείων και δεδομένων από
αυτά. Μπορεί να διαβάσει αρχεία “pcap” και να παρουσιάσει δεδομένα για αυτά όπως
ανακατασκευάσει TCP και UDP συνδέσεις και να προσφέρει πληροφορίες για την επικοινωνία
δύο δεκτών. Μπορεί να βρει πληροφορίες για το λειτουργικό σύστημα των δεκτών, διευθύνσεις
MAC (κάθε συσκευή έχει μοναδική διεύθυνση MAC που δεν αλλάζει). Κάνει αναζήτηση με
λέξεις κλειδιά, υποστηρίζει γραφικό περιβάλλον (GUI) και επιτρέπει την εξαγωγή αρχείων για
περαιτέρω ανάλυση.
3.9 LOGRHYTHM
Είναι δωρεάν, ανοικτού κώδικα πλατφόρμα που προσφέρει πληροφορίες ασφάλειας και
δεδομένων από αρχεία καταγραφής (log files) για την ανίχνευση ανωμαλιών ή πιθανών
επιθέσεων. Για το σκοπό αυτό χρησιμοποιεί και μηχανική μάθηση, ανάλυση συμπεριφοράς και
σοβαρότητας και επικινδυνότητας τους. Επίσης, προσφέρει και εργαλεία για αυτόματο
περιορισμό ζημιάς μετά από επιθέσεις και αποκατάσταση συστημάτων. Περιγράφει πρότυπα και
προϋποθέσεις ασφαλείας για να βοηθήσει τις οργανώσεις να τηρούν τους κανόνες και τις
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 40
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
ρυθμίσεις. Μπορεί να λειτουργήσει και πάνω σε υπολογιστικές νέφους. Είναι χρήσιμη και για
3.10 NMAP
Το Nmap είναι ένα δυνατό εργαλείο για χαρτογραφήσεις δικτύων. Είναι ανοικτού κώδικα.
Υποστηρίζει Windows, Linux, macOS, Solaris, HP-UX. Μπορεί να βρει και να εμφανίσει τα
ανοιχτά ports, τις υπηρεσίες που προσφέρει και τα πρωτόκολλα που χρησιμοποιεί ένας server ή
ιστοσελίδα κτλ. αν δώσουμε την IP. Μπορεί να μαντέψει ποιο λειτουργικό τρέχει στον στόχο,
επιτρέπει το γράψιμο scripts και την εκτέλεση τους και έχει τεχνικές ανίχνευσης και
προσπέρασης τοίχων ασφαλείας (firewalls). Γενικώς είναι ένα εργαλείο που ψάχνει αδυναμίες
σε ένα δίκτυο για να τις εκμεταλλευτεί ο χρήστης. Ο κακόβουλος χρήστης το χρησιμοποιεί για
να κάνει επιθέσεις, ο ερευνητής και ο ηθικός χάκερ για να εντοπίσουν πως έγινε μια επίθεση ή
αυτό όμως νόμιμα πρέπει το δίκτυο να επιτρέπει τα σαρώματα ή το άτομο που το χρησιμοποιεί
3.11 COGNITECH
Είναι μια επιχείρηση που παρέχει υπηρεσίες κυβερνοασφάλειας και ψηφιακής δικανικής
έρευνας. Δραστηριοποιείται σε πολλούς τομείς και μέσα σε αυτούς και στη ψηφιακή δικανική
έρευνα πολυμέσων. Πουλάει και το πιο γνωστό της εργαλείο και λογισμικό “Cognitech Video
εργαλείο αυτό είναι η βελτιστοποίηση ποιότητας βίντεο, αυθεντικοποίηση βίντεο και έλεγχος
της ακεραιότητας του, παρακολούθηση κινούμενων αντικειμένων μέσα στο βίντεο και
3.12 OTHERS
Για την ανάκτηση δεδομένων και αρχείων από ένα σύστημα αν έχουν διαγραφεί ή καταστραφεί,
τα πιο διαδεδομένα εργαλεία είναι το Recuva, R-studio, EaseUS Data Recovery Wizard, Stellar
Data Recovery, Disk Drill. Το Recuva έχει επί πληρωμή αλλά και δωρεάν έκδοση και
υποστηρίζει Windows. Το R-studio έχει και αυτό δωρεάν έκδοση αλλά υποστηρίζει Windows,
macOS, Linux. Το ExifTool αναγνωρίζει τις εκδόσεις εικόνων, το Free Hex Editor Neo κάνει
επιμέλεια δυαδικών αρχείων, το Bulk Extractor επιτρέπει σε αρχεία που δεν υποστηρίζονται να
τρέξουν σε ένα σύστημα αρχείων να τρέξουν σε αυτό. Επιπλέον, το DSi USB Write Blocker
απαγορεύει στους επιτιθέμενους να γράψουν ή να μεταφέρουν αρχεία από και προς σε ένα USB
είναι ένα ταχύ και αποδοτικό εργαλείο για τη διαχείριση μεγάλων ομάδων δεδομένων.
Wireshark είναι ένα δωρεάν εργαλείο παρακολούθησης της κίνησης δικτύων και αιχμαλώτισης
αρχείων που μεταφέρονται μέσα από δίκτυα. Το Audacity είναι εργαλείο για την επεξεργασία
ήχου, αλλά μπορεί να χρησιμοποιηθεί και για την ψηφιακή δικανική έρευνα πολυμέσων και πιο
ειδικά ήχου.
Το FTK για τα λειτουργικά συστήματα προσφέρει ανάλυση υπηρεσιών, ανάκτηση κωδικών και
Στα συστήματα αρχείων το FTK παρέχει ανακατασκευή χαρτών RAID, το οποίο δεν το
παρέχει το autopsy.
Για την έρευνα διαδικτύου το Autopsy υποστηρίζει περισσότερα είδη βάσεων δεδομένων
Παρόλα αυτά, το FTK έχει δυνατότητα έρευνας της cache ενώ το Autopsy δεν το έχει αυτό.
εκτός σύνδεσης, ενώ η Belkasoft υποστηρίζει και ζωντανή έρευνα email. Το Autopsy όμως
περιέχει ανάλυση email και είναι το μόνο. To FTK παρέχει δυνατότητα αναζήτησης και
ανάλυση αρχείων συστήματος που δεν παρέχει το Autopsy. Κάθε εργαλείο υποστηρίζει
Στη δικανική έρευνα ζωντανής μνήμης η Rekall υποστηρίζει αρκετά λειτουργικά αλλά
τρέχει κυρίως στη γραμμή εντολών όπως ακριβώς και η volatility, ενώ η Belkasoft έχει γραφικό
υποστηρίζει έρευνα πολλαπλών χρηστών ταυτόχρονα κάτι που δεν έχει η Rekall. Η Rekall και η
Volatility όμως είναι οι μόνες που υποστηρίζουν μετατροπή εκδόσεων (format). Η volatility
Στη δικανική έρευνα του δικτύου το Network Miner και το Logrhythm υποστηρίζουν
όλες τις λειτουργείες εκτός από το banner grabber. Το Nmap είναι το μόνο εργαλείο που
υποστηρίζει banner grabber και για αυτό είναι χρήσιμο. Το μόνο που δεν υποστηρίζει είναι η
Για την δικανική έρευνα πολυμέσων υπάρχει η εταιρία IntaForensics που προσφέρει όλες
τις λειτουργίες εκτός της διαπλοκής και από-διαπλοκής. Το εργαλείο της Cognitech το
προσφέρει αυτό αλλά δεν κάνει αυθεντικοποίηση εικόνας, κάτι που κάνει η IntaForensics.
Για την έρευνα λειτουργικών προτείνεται το FTK για δωρεάν χρήση και το OS Forensics
ως εμπορικό εργαλείο.
Για την έρευνα στο σύστημα αρχείων προτείνονται τα FTK και Autopsy ως δωρεάν
Για την έρευνα του διαδικτύου (web), τα FTK και Autopsy είναι ξανά τα καλύτερα
δωρεάν εργαλεία, ενώ αν δεν είναι αρκετά τα εμπορικά εργαλεία που μπορούν να
Στην έρευνα των email η καλύτερη λύση είναι το FTK καθώς υποστηρίζει όλες τις
απαραίτητες λειτουργίες, αλλά αν είναι απαραίτητη η ζωντανή έρευνα των email προτείνεται η
Belkasoft.
Στην δικανική έρευνα ζωντανής μνήμης (RAM) το δωρεάν εργαλείο που προτείνεται
είναι το Rekall ή το Volatility καθώς είναι πολύ παρόμοια και το εμπορικό είναι η Belkasoft.
Για την δικανική έρευνα δικτύου προτείνονται δύο εργαλεία ανοικτού κώδικα. Το
Network Miner και το LogRhythm. Ακόμα, το Nmap μπορεί να είναι χρήσιμο σε μερικές
Τέλος, το εργαλείο που καλύπτει τον τομέα των πολυμέσων για την ψηφιακή δικανική
έρευνα βίντεο είναι της Cognitech και είναι εμπορικό. Για την εξαγωγή μεταδεδομένων από
βίντεο και εικόνες το ExifTool μπορεί να βοηθήσει και είναι δωρεάν. Ενώ για την έρευνα
πολυμέσων σε εικόνες, το GIMP (GNU Image Manipulation Program) είναι δωρεάν και
προσφέρει βασικές δυνατότητες επεξεργασίας και ανάλυση εικόνων. Υπάρχει επίσης και ένα
open-source πρόγραμμα ονόματι “sherloq” για επεξεργασία εικόνων καθώς και τα “stegsolve”
εικόνες.
Αρχικά για να αναλύσουμε οτιδήποτε από έναν υπολογιστή ή σύστημα, πολύ συχνά θα
κατάστασης ενός δίσκου σε έναν υπολογιστή λέγεται “Image Creation”. Για να κάνουμε μια
Ανοίγουμε το πρόγραμμα, πατάμε “File” και μετά “Create Disk Image”. Επιλέγουμε
“Physical Drive”. Ο φυσικός δίσκος μπορεί να διαιρεθεί σε πολλά μέρη (partitions). Κάθε ένα
από αυτά μπορεί να χρησιμοποιηθεί ως ένας λογικός δίσκος. Το “Image File” αναφέρεται σε
αρχεία εικόνων δίσκου που μπορεί να έχουμε ήδη και το πρόγραμμα απλά θα τα άνοιγε. Επίσης,
φακέλου ή και από κάποιο CD ή DVD. Για ευκολία συνδέουμε ένα USB στικάκι στον
Στη συνέχεια πρέπει να επιλέγουμε τον τύπο της εικόνας που θα δημιουργηθεί αφού
πατήσουμε “Add”. Η “Raw” είναι ακριβές αντίγραφο του δίσκου χωρίς τίποτα λιγότερο και
τίποτα περισσότερο. Οπότε δεν περιέχει μεταδεδομένα και άλλες πληροφορίες. Η επιλογή
“SMART” χρησιμοποιείται για linux συστήματα. Το “E01” είναι η πιο συνηθισμένη μορφή
εικόνων δίσκου. Τέλος, η “AFF” είναι για εικόνες δίσκου Raw οι οποίες όμως είναι μεγάλες σε
μέγεθος και δεν γίνεται να συμπιεστούν. Επιλέγουμε “Raw” και πατάμε επόμενο.
Συμπληρώνουμε τα πεδία με τους κωδικούς περιπτώσεων που μπορεί να έχουμε, την περιγραφή,
ποιος είναι ο ερευνητής και ό,τι σχόλια μπορεί να έχουμε. Πατάμε επόμενο.
Τσεκάρουμε το κουτάκι “Verify images after they are created”. Αυτό σημαίνει ότι θα
δημιουργηθεί ένα hash για την αυθεντικότητα της εικόνας δίσκου. Θα μπορούσαμε να
δημιουργήσουμε ένα κατάλογο για κάθε αρχείο μέσα στην εικόνα δίσκου και να επιλέξουμε αν
θέλουμε να υπολογιστεί η πρόοδος της δημιουργίας της εικόνας δίσκου. Η προσθήκη επιπλέον
Location”. Αν τα περιεχόμενα του δίσκου που θέλουμε να “αντιγράψουμε” είναι πολλά για μια
τοποθεσία που έχουμε διαθέσιμη, τότε μπορούμε να επιλέξουμε δύο για παράδειγμα, ενώνοντας
τον χώρο τους. Πατάμε “Start” και περιμένουμε να τελειώσει η διαδικασία. Θα παραχθούν
κάποια MD5 hashes, ένα για τον πρωτότυπο δίσκο και ένα για την εικόνα. Αυτά πρέπει να
Όταν ανοίγουμε μια εικόνα δίσκου με το FTK Imager και επιλέγουμε ένα αρχείο που μας
ενδιαφέρει από τα περιεχόμενα της εικόνας, μπορούμε να δούμε πληροφορίες για αυτό. Τις
βασικές όπως όνομα, μέγεθος και πότε ανοίχθηκε, επεξεργάστηκε. Αλλά και πιο εξιδεικευμένες
όπως από ποια ομάδα (cluster) και ποιον τομέα (sector) αρχίζει το αρχείο, αν είναι αρχείο
άλλα.
Τέλος, αν ένα αρχείο έχει διαγραφεί πριν δημιουργηθεί η εικόνα δίσκου μπορεί να βρεθεί
κατεβάσουμε από την επίσημη ιστοσελίδα του https://autopsy.com. Ανοίγουμε το εργαλείο και
δημιουργούμε μία νέα έρευνα. Για όνομα μπορούμε να βάλουμε ό,τι θέλουμε, συνήθως όμως
βάζουμε ένα όνομα που αποτελείται από κωδικό τύπου περιστατικού, κωδικό τοποθεσίας
περιστατικού, παύλα, αρχικά ή όνομα ερευνητή, παύλα, ημερομηνία που ξεκίνησε η έρευνα.
Ένα παράδειγμα θα ήταν 0615-ΓΠ-07-12-2023. Έστω δηλαδή ότι ο κωδικός τύπου περιστατικού
αποσκοπεί στη καλύτερη αναγνώριση ενός αρχείου μιας έρευνας μόνο από το όνομα στο οποίο
μετατραπεί και σε αριθμό έρευνας με την τοποθέτηση του hashtag ‘#’ μπροστά στο όνομα.
δεδομένα που θα παραγάγει η έρευνα. Θέλουμε να κρατήσουμε αυτά τα δεδομένα όσο πιο
ξεχωριστά μπορούμε από τα δικά μας δεδομένα. Οπότε καλό είναι να τα αποθηκεύουμε σε έναν
συγκεκριμένο εξωτερικό ή εσωτερικό δίσκο που θα προορίζεται για τον σκοπό αυτό μόνο.
Συνήθως οι εξωτερικοί δίσκοι είναι πιο αργοί, όχι όλοι όμως οπότε για παράδειγμα η χρήση
USB δεν προτείνεται. Επίσης, καλό είναι να έχουμε συγκεκριμένο φάκελο για τις έρευνες μας.
κεντρικού συστήματος. Στην περίπτωση αυτής της έρευνας όμως θα επιλέξουμε τον μοναδικό
χρήστη (Single-User). Τέλος μας παρουσιάζεται το full-path του αρχείου που θα αποθηκευτεί η
Βάζουμε το νούμερο έρευνας που μπορεί να έχουμε ήδη ή όχι. Στην περίπτωση αυτή
βάζουμε το 001 και συμπληρώνουμε τα στοιχεία του ερευνητή. Πατάμε τέλος (finish).
Ανοίγει αυτόματα ένα παράθυρο και μας ζητάει τον δέκτη που θα οργανώνει τις πηγές
θέλαμε να βάλουμε κάποιο άλλο όνομα με καινούριο δέκτη θα επιλέγαμε το δεύτερο κουμπί
(radio button). Στην περίπτωση που έχουμε ήδη υπάρχον δέκτη και θέλουμε να τον
χρησιμοποιήσουμε επιλέγουμε το τρίτο κουμπί και τον επιλέγουμε από το κουτί επιλογών που
δίσκων. Η πρώτη επιλογή καλύπτει αυτό και τα αρχεία εικονικών δίσκων, δηλαδή δίσκων που
προέρχονται από μια εικονική μηχανή (Virtual Machine). Η δεύτερη επιλογή είναι να γίνει η
ανάλυση σε έναν τοπικό δίσκο. Αυτό συνήθως γίνεται αν θέλουμε να αναλύσουμε σε ζωντανό
χρόνο έναν δίσκο του υπολογιστή ή αν έχουμε στα χέρια μας τον δίσκο του υπολογιστή από τον
οποίο έγινε η επίθεση και τον συνδέσουμε άμεσα στον δικό μας υπολογιστή για να κάνουμε από
εκεί την ανάλυση. Πρέπει όμως να έχουμε και ένα πρόγραμμα που να μπλοκάρει την
οποιαδήποτε αντιγραφή λογισμικού από τον δίσκο (write blocker) κτλ. για να μην θέσουμε το
σύστημα μας σε κίνδυνο. Η Τρίτη επιλογή είναι χρήσιμη σε περίπτωση που έχουμε ήδη έτοιμα
αρχεία δεδομένων που θέλουμε να αναλύσουμε. Η τέταρτη επιλογή είναι για την ανάλυση μιας
εικόνας δίσκου που όμως πλέον δεν περιέχει κανονικά δεδομένα. Για παράδειγμα μπορεί να
επιλογή είναι η ανάλυση εικόνας δίσκου και δεδομένων που παρήγαγε προηγουμένως το
εργαλείο Autopsy Logical Imager. Η έκτη και τελευταία επιλογή είναι η ανάλυση δεδομένων
που έχουν εξαχθεί από κάποια κινητή συσκευή σε μορφή έγγραφου. Επιλέγουμε το πρώτο και
πατάμε επόμενο.
Τώρα πρέπει να δώσουμε τον σύνδεσμο στο Autopsy στον οποίο υπάρχει η εικόνα
δίσκου που θα αναλύσουμε. Για τον σκοπό αυτό υπάρχουν διαθέσιμες εικόνες δίσκων για
orphan files in FAT file systems”. Εμείς θέλουμε να αναλύσουμε όλα τα αρχεία, ακόμα και αυτά
που μπορεί να έχουν χάσει τον φάκελο τους και την θέση τους στον δίσκο, παρόλα αυτά
υπάρχουν και μπορεί να περιέχουν σημαντικές πληροφορίες. Έπειτα βάζουμε την ζώνη χρόνου
όπως αυτή που κάνουμε έρευνα και κατεβάζουμε εικόνες δίσκων για testing μπορεί να μην
ξέρουμε. Τότε, βάζουμε στη ζώνη χρόνου “(GMT +0:00) UTC”. Βάζουμε να αναγνωρίζει το
μέγεθος του τομέα του δίσκου αυτόματα. Αν έχουμε κάποιους κωδικούς hash αναλόγως με το
Πατάμε επόμενο.
Τώρα θα επιλέξουμε τις ρυθμίσεις και τις λειτουργίες που θέλουμε να έχει η έρευνα μας.
Το “recent activity” το θέλουμε ενεργό για να δούμε τις τελευταίες κινήσεις του επιτιθέμενου.
Τα hash sets μπορούμε να τα ορίσουμε ως αρχεία που γνωρίζουμε πως είναι άκακα για
να μην δώσουμε πολύ σημασία και αρχεία που έχουν ενδιαφέρον για την έρευνα καθώς είναι
Στο “File Type Identification” μπορούμε να βάλουμε επεκτάσεις αρχείων για να τις
επεκτάσεις. Για παράδειγμα, αν μια εικόνα έπρεπε να είναι .jpg αλλά είναι κάτι άλλο δεν θα
ανοίξει κανονικά. Αν όμως γυρίσουμε την επέκταση σε jpg όπως πρέπει να είναι τότε θα ανοίξει.
Μπορούμε να προσθέσουμε και τις δικές μας επεκτάσεις αρχείων από τα global settings.
“hwp”.
Το “Embedded File Extractor” είναι λειτουργία που εξάγει αρχεία όπως εικόνες ή βίντεο
και άλλα από τύπους αρχείων που μπορούν να ενσωματώσουν άλλα αρχεία όπως word, power
Τα νούμερα κινητών είναι τοπικά και ανάλογα με την χώρα που βρίσκεται κάποιος, αλλά τα
υπόλοιπα είναι παγκόσμια. Μπορούμε επίσης να ψάξουμε για λέξεις τις οποίες θα ορίσουμε από
το κουμπί “Global Settings”. Μπορούμε να φτιάξουμε λίστα και συγκεκριμένες λέξεις και
φράσεις που θέλουμε να ψάξουμε. Έχουμε και την δυνατότητα να ψάξουμε και για κανονικές
εκφράσεις. Για παράδειγμα, η κανονική έκφραση “..st” θα βρει όλα τα αποτελέσματα που θα
έχουν δύο οποιουσδήποτε χαρακτήρες στην αρχή και μετά τους χαρακτήρες ‘s’, ‘t’. Το εργαλείο
λοιπόν θα ψάξει για την λέξη test, nest και άλλες. Στην ταμπέλα “String Extraction” μπορούμε
επίσης να ορίσουμε και την αλφάβητο και γλώσσα στην οποία θα ψάξουμε. Τα Ελληνικά δεν
υποστηρίζονται.
Βάζουμε Hangul (Korean), δημιουργούμε μια λίστα “Drugs” με τις λέξεις κλειδιά
“Meth” και “Cocaine” και επιλέγουμε τα emails και την λίστα που δημιουργήσαμε για αυτή την
ψάχνουμε λέξεις που δεν είναι από κείμενο αλλά μέσα σε φωτογραφίες για παράδειγμα.
Το “Interesting Files Identifier” ψάχνει για αρχεία που μπορεί να είναι ενδιαφέροντα για
σημαντικά πράγματα από άλλες έρευνες και όταν τα βρίσκουμε πάλι μπροστά μας να τα
αναγνωρίζουμε. Επίσης, μπορούμε να αναγνωρίζουμε συσκευές και χρήστες από άλλες έρευνες
Το “PhotoRec Carver” είναι λειτουργία που επαναφέρει δεδομένα που έχουν διαγραφθεί.
Αν υπάρχει κάποια εικονική μηχανή από την οποία πήραμε την εικόνα δίσκου, τότε το
Autopsy θα πάρει αυτή την εικονική μηχανή και θα την αντιμετωπίζει ως ξεχωριστό δίσκο.
Η έρευνα δεν έχει να κάνει με drones οπότε δεν επιλέγουμε το ”DJI Drone Analyzer”.
Το “Plaso” είναι ένα εργαλείο που αναζητά αρχεία όπως “winreg” και “pe”. Κάνει το
Το “Yara Analyzer” μπορεί να ελέγξει αρχεία και κώδικα για μοτίβα. Χρησιμοποιείται
για την αναγνώριση και ανάλυση κακόβουλου λογισμικού, βάζοντας τους λεγόμενους “Yara
Το “GPX Parser” αναζητά αρχεία GPX τα οποία περιέχουν πληροφορίες από τοποθεσίες
και τις εξάγει για ανάλυση. Πατάμε επόμενο. Μετά από λίγο πατάμε τέλος (finish).
Στα αριστερά του προγράμματος έχουμε τις πηγές δεδομένων (Data Sources) και κάτω
από αυτές ως υποκατάλογο έχουμε τον δέκτη που ορίσαμε ως “Exhibit001” και κάτω από αυτό
αρχεία που περιέχει το ακριβές αντίγραφο του δίσκου, με πληροφορίες για αυτά όπως πότε
τροποποιήθηκαν, προβλήθηκαν, το μέγεθος τους, τα hash τους, τις επεκτάσεις τους και που είναι
“Application”, για παράδειγμα αν είναι εικόνα το αρχείο θα δούμε την εικόνα. Μπορούμε επίσης
να προβάλλουμε τα αρχεία σε μορφή δεκαεξαδικών δεδομένων μέσω της ταμπέλας “Hex” προς
Στην ταμπέλα “File Views” αριστερά μπορούμε να ψάξουμε γρήγορα κάθε αρχείο βάση
του τύπου του μέσα στην εικόνα δίσκου. Υπάρχουν φίλτρα για παράδειγμα με βάση τις
επεκτάσεις που ομαδοποιούν τις εικόνες τα έγγραφα κτλ. Φίλτρα με βάση το “MIME type”
δηλαδή παρόμοια αλλά αντί για τις επεκτάσεις κοιτάμε τους headers. Φίλτρα με βάση ποια
αρχεία έχουν διαγραφθεί και μπορούν να ανακτηθούν ολοκληρωμένα ή μερικώς. Μερικά αρχεία
μπορεί να υπάρχουν στο σύστημα αρχείων ενώ μερικά μπορεί να μην υπάρχουν πλέον και να
Ένα από τα πρώτα πράγματα που μπορούμε να κάνουμε όταν ξεκινήσουμε την έρευνα
και δούμε με μια γρήγορη ματιά τα περιεχόμενα, είναι να ψάξουμε λέξεις κλειδιά. Αν ψάχναμε
για παράδειγμα την λέξη “cat” για την έρευνα που κάνουμε τώρα σε αυτή την εικόνα δίσκου θα
βρίσκαμε διάφορα αποτελέσματα. Αυτό υπάρχει στο Autopsy πάνω δεξιά σε ένα κουμπί
“Keyword Search”. Προσοχή: για να δουλέψει η λειτουργία αυτή πρέπει πρώτα το πρόγραμμα
να έχει τελειώσει να αναλύει τα αρχεία από την εικόνα δίσκου. Όσο περισσότερα και
μεγαλύτερα αρχεία, τόση περισσότερη ώρα κάνει το πρόγραμμα. Και όσες περισσότερες
λειτουργίες ζητήσουμε από τις ρυθμίσεις τόση περισσότερη ώρα θα αργήσει η ανάλυση.
Αν κάποιο από τα αποτελέσματα θεωρούμε ότι είναι σημαντικό για την έρευνα μπορούμε
να του βάλουμε ετικέτα. Αυτό γίνεται επιλέγοντας το αρχείο, κάνοντας δεξί κλικ και “Add File
Tag” από το drop down list. Μπορούμε να του βάλουμε την ετικέτα “Bookmark”. Όταν είμαστε
σίγουροι ότι ένα αρχείο είναι σημαντικό για την έρευνα, βάζουμε την ετικέτα “Notable”.
Υπάρχει και η ετικέτα “Follow-Up” που την χρησιμοποιούμε όταν θέλουμε να επανέλθουμε σε
Αριστερά στην ταμπέλα “Tags” αποθηκεύονται όλα τα αρχεία στα οποία έχουμε βάλει
ετικέτες. Εκεί έχουμε και την επιλογή να εξάγουμε το αρχείο σε περίπτωση που θέλουμε να
κάνουμε περαιτέρω ανάλυση σε αυτό με άλλα εργαλεία. Αυτό γίνεται πατώντας δεξί κλικ και
“Extract File(s)”.
Αναφορά βγάζουμε από το “Generate Report” πάνω και δίπλα από το “Close Case”. Ο
συγκεκριμένα αποτελέσματα “Specific Tag Results” από τις ετικέτες που βάλαμε σε αρχεία πριν
Η αναφορά μπορεί να προβληθεί μέσω του link που μας βγάζει το Autopsy.
Το πρόγραμμα τότε έχει δημιουργήσει ένα φάκελο με την αναφορά μέσα στον φάκελο
Autopsy/Reports. Αυτόν τον φάκελο τον αντιγράφουμε στο δικό μας φάκελο Reports που
αρχείο που αρχίσαμε να κρατάμε για την έρευνα με τις κινήσεις μας και τα ευρήματα μας και
Το εργαλείο μας δίνει και άλλες δυνατότητες. Για να τις αναδείξουμε θα πρέπει να
εικόνα δίσκου ως διαφορετικό δέκτη (host) αλλά στην ίδια έρευνα. Οπότε προσθέτουμε την
εικόνα δίσκου στην ίδια έρευνα με το όνομα δέκτη “Exhibit002”. Αυτή τη φορά θα αναλύσουμε
υπάρχει η κατηγορία “installed programs”. Εκεί μπορούμε να βρούμε τα προγράμματα που έχει
κατεβασμένα στον δίσκο ο προκάτοχος του. Μερικά προγράμματα μπορεί να έχουν ενδιαφέρον
για την έρευνα καθώς μπορεί να μας παρέχουν πληροφορίες για τις δραστηριότητες του χρήστη.
Για παράδειγμα, το πρόγραμμα “Quick Crypto” έχει να κάνει με την ασφάλεια της
δεν είναι πρόγραμμα που χρησιμοποιείται συχνά και από τον οποιοδήποτε. Το “FileZilla” είναι
πρόγραμμα για μεταφορές αρχείων. Υπάρχει το “Nmap” το οποίο όπως έχουμε προαναφέρει
χαρτογραφεί ένα δίκτυο και τις πύλες του. Τέλος, τα “Npcap” και “Wireshark” έχουν να κάνουν
με παρακολούθηση πακέτων που μεταφέρονται μέσω του δικτύου. Όλα αυτά δείχνουν πως ο
χρήστης έχει κάποιες ικανότητες πάνω στην επιστήμη των υπολογιστών και της πληροφορικής
χρόνος που δημιουργήθηκε ένα αρχείο, πότε τροποποιήθηκε, ποιο άτομο το δημιούργησε (όνομα
σύστημα στο οποίο υπήρχε ο δίσκος. Μπορούμε να καταλάβουμε ότι το λειτουργικό ήταν
Windows από το path. Επίσης βλέπουμε και την αρχιτεκτονική του επεξεργαστή. Στην
προκειμένη περίπτωση είναι AMD64. Μπορούμε να δούμε το όνομα του κατόχου και τον
αριθμό προϊόντος για το κλειδί των windows (Product ID). Μπορεί το όνομα του κατόχου
βέβαια να μην είναι ο τωρινός κάτοχος αλλά το άτομο που κατέβασε τα windows για πρώτη
φορά.
Τα πρόσφατα αρχεία είναι αυτά που ο χρήστης χρησιμοποίησε τελευταία. Δεν μπορούμε
να βρούμε δεδομένα αυτών αλλά υπάρχουν αρχεία συνδέσμων (.lnk) που περιέχουν
μεταδεδομένα και τη διαδρομή από την οποία εκτελέστηκε το πρόγραμμα ή αρχείο. Έτσι,
μπορούμε να δούμε αν υπάρχουν επιπλέον σκληροί δίσκοι (εσωτερικοί ή εξωτερικοί) που μπορεί
να μην έχουμε στα χέρια μας. Για παράδειγμα, ο E:/ σε αυτή την περίπτωση. Βλέπουμε ότι ο
χρήστης είχε αρχεία στον υπολογιστή του που είχαν να κάνουν με λίστες κωδικών (password)
και ένα πρόγραμμα που ονομάζεται “bettercap”. Πιθανός ο χρήστης να ενδιαφέρεται για
χακάρισμα κωδικών. Αυτό δεν είναι απαραίτητα παράνομο, αλλά μπορεί να μας δώσει γνώση
Στη κατηγορία «κάδος ανακύκλωσης» (recycle bin) μπορούμε να βρούμε αρχεία που
έχουν διαγραφθεί και πιθανώς να τα ανακτήσουμε. Ανοίγοντας το πρόγραμμα “HxD” αφού πάμε
στην ταμπέλα “Hex”. Έτσι μπορούμε να δούμε τα περιεχόμενα του αρχείου από την
δεκαεξαδική τους μορφή. Φαίνεται ότι το αρχείο είναι μια λίστα λέξεων ή κωδικών.
Στα εκτελεσμένα προγράμματα μπορούμε να δούμε ποια προγράμματα έχουν τρέξει στον
υπολογιστή του χρήστη και την ακριβή ώρα που έτρεξαν κάθε φορά. Μπορούμε να δούμε αν
ήταν κατέβασμα αρχείων, ενημέρωση ή εκτέλεση και πόσα byte έλαβε ο χρήστης και πόσα
έστειλε. Το Nmap για παράδειγμα είναι εφαρμογή που χρησιμοποιεί την κονσόλα. Μπορούμε να
δούμε το ιστορικό της κονσόλας μέσω του αρχείου “ConsoleHost_history.txt” από τη διαδρομή
Μπορούμε να δούμε την εντολή που χρησιμοποίησε με το Nmap και ποιες διευθύνσεις
IP έψαξε. Δεν μπορούμε να ξέρουμε την ακριβή ώρα που εκτελέστηκε κάθε εντολή αλλά
μπορούμε να υποθέσουμε μέσα στο διάστημα που κατέβηκε το πρόγραμμα και την τελευταία
φορά που εκτελέστηκε και γνωρίζουμε σίγουρα πόσες φορές έτρεξε το Nmap.
Τα “Shell Bags” καταγράφουν τις διαδρομές και χρονοσφραγίδες κάθε φορά που ένας
φάκελος ανοίγεται. Από το παράδειγμα στην εικόνα μπορούμε να καταλάβουμε ότι υπάρχει και
άλλος δίσκος “D:/”. Οπότε αν ο χρήστης ανοίξει ένα φάκελο αυτομάτως γνωρίζουμε ότι
Η κατηγορία “USB Device Attached” φτιάχνει μια λίστα με όλες τις συσκευές που
συνδέθηκαν με τον υπολογιστή του χρήστη μέσω USB. Για παράδειγμα, βλέπουμε στην εικόνα
ότι συνδέθηκαν δύο κινητά τηλέφωνα και ένα τάμπλετ με τους αριθμούς ID τους, τα μοντέλα
τους και ποιος τα έχει φτιάξει. Μπορούμε να ψάξουμε ποιος κατέχει αυτές τις συσκευές και να
βγάλουμε συμπεράσματα για τους υπόπτους που μπορεί να έχουμε και τις σχέσεις τους με
άλλους υπόπτους.
Μέσω της καρτέλας “Web Accounts” μπορούμε να δούμε ποιες ιστοσελίδες επιστέφθηκε
ο χρήστης και αν συνδέθηκε και το όνομα χρήστη του. Στην περίπτωση αυτή βλέπουμε την
ιστοσελίδα “protonmail.com” και ο χρήστης την επισκέφθηκε από τον φυλλομετρητή της
Google.
Οι σελιδοδείκτες διαδικτύου του χρήστη είναι οι σύνδεσμοι που έχει βάλει στα
Στο “Web Cache” μπορούμε να βρούμε πληροφορίες για ιστοσελίδες που έχει
επισκεφθεί ο χρήστης όπως σύνδεσμοι, domain names και πότε δημιουργήθηκαν τα δεδομένα
Τα “Web Cookies” περιέχουν πληροφορίες για τις ιστοσελίδες που έχει επισκεφθεί ο
χρήστης, τις ρυθμίσεις και τις κινήσεις του στην ιστοσελίδα. Για να αποθηκευτούν τα cookies
πρέπει να το επιτρέψει ο χρήστης αν αυτό περιγράφεται μέσα από τις ρυθμίσεις του
φυλλομετρητή. Περιέχουν και αριθμούς επίσκεψης των ιστοσελίδων (session IDs). Υπάρχει η
δυνατότητα χρήσης των cookies για την επιβεβαίωση (authentication) και είσοδο των ερευνητών
στις ιστοσελίδες.
Στην κατηγορία “Web Downloads” μπορούμε να βρούμε κάθε αρχείο ή πρόγραμμα που
κατέβασε ο χρήστης. Γνωρίζουμε από ποια ιστοσελίδα το κατέβασε, που το αποθήκευσε στον
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 79
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
υπολογιστή του και την χρονοσφραγίδα που έγινε αυτό. Στο παράδειγμα μας, βλέπουμε την
λήψη του Nmap από τον χρήστη, του bettercap, του ipscan και άλλων αρχείων και
προγραμμάτων.
υπάρχουν δύο. Το ένα έχει όνομα χρήστη bettercap και το άλλο “dreammaker82” το οποίο είναι
πιο ενδιαφέρον καθώς είναι μοναδικό και μπορούμε να το ψάξουμε μέσω της αναζήτησης
λέξεων κλειδιών. Αν το κάνουμε μπορούμε να δούμε ότι είναι το email του στο ηλεκτρονικό
ταχυδρομείο “protonmail.com”.
Το ιστορικό του διαδικτύου μας δίνει πληροφορίες για τις ιστοσελίδες που επισκέφθηκε
πιθανώς σκεφτόταν και αποσκοπούσε να κάνει από τις αναζητήσεις του. Σε αυτή την περίπτωση
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 80
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
μπορούμε να δούμε ότι ο χρήστης ανάμεσα σε άλλα έψαξε εργαλεία για hacking, επισκέφθηκε
την ιστοσελίδα με τίτλο “Learn everything about ethical hacking”, έψαξε το grep και άλλα.
Στο “Web Search” βλέπουμε πιο συγκεκριμένα τι έχει αναζητήσει ο χρήστης στους
φυλλομετρητές. Για παράδειγμα, ο χρήστης έψαξε τεχνικές και εργαλεία για χακάρισμα,
απόκρυψη διευθύνσεων IP, τον φυλλομετρητή tor και πως να κατεβάσει ταινίες δωρεάν.
Στα αποτελέσματα ανάλυσης (analysis results) είναι όλα τα αρχεία και δεδομένα που
ανέλυσε το autopsy βάση κάποιων ρυθμίσεων που έθεσε ο ερευνητής και τα κατηγοριοποίησε σε
ομάδες.
Πρώτα έχουμε την κατηγορία “encryption suspected” που περιέχει οτιδήποτε μπορεί να
είναι κρυπτογραφημένο. Τα prefetch αρχεία δεν έχουν τόσο μεγάλο ενδιαφέρον, αλλά αρχεία
Στο “EXIF Metadata” βρίσκουμε μεταδεδομένα για εικόνες όπως που είναι
αποθηκευμένες, πότε δημιουργήθηκαν, από ποιο μοντέλο και το μέγεθος τους. Μερικές φορές
μπορεί να γνωρίζουμε και το γεωγραφικό πλάτος και μήκος από όπου τραβήχτηκαν.
Όταν ένας τύπος αρχείου έχει λάθος επέκταση τότε το autopsy θα το βάλει στο
“Extension Mismatch Detected”. Πολλά αρχεία μπορεί να μην είναι τόσο σημαντικά γιατί
συνδέονται με το WindowsApps και άλλα. Καλό είναι να έχουμε κατεβάσει την NSRL βάση
δεδομένων μας για να φιλτράρει όλα αυτά τα αρχεία ως γνωστά και να μην ασχοληθούμε μαζί
τους.
που έχει να κάνει με κρυπτογραφία και το Brave που έχει να κάνει με την ιδιωτικότητα του
Στα “Keyword Hits” έχουμε ό,τι έχει βρεθεί από τις αναζητήσεις που κάναμε με λέξεις
κλειδιά, ό,τι βρέθηκε από τις λέξεις κλειδιά και λίστες που ρυθμίσαμε στην αρχή της έρευνας
και ό,τι άλλες ρυθμίσεις από email για παράδειγμα επιτρέψαμε στην αρχή της έρευνας.
Μπορεί να είχαμε ζητήσει να αναζητηθούν και αριθμοί τηλεφώνων για παράδειγμα. Στα
email έχουμε πολλά αποτελέσματα και αυτό είναι συχνό φαινόμενο. Οπότε είναι καλό να
θα είναι είτε άλλα email του χρήστη είτε email με τα οποία επικοινωνεί συχνά. Πατώντας πάνω
σε ένα email μπορούμε να δούμε που έχει χρησιμοποιηθεί και το κείμενο που ενδέχεται να έχει.
“Previously seen”, ενώ αυτά που δεν έχουμε ξαναδεί αποθηκεύονται στην καρτέλα “Previously
Unseen”. Στην αρχή, θα έχουμε πολλά προγράμματα στο Previously Unseen αλλά όσο
Το “User Content Suspected” είναι οτιδήποτε αρχείο πιστεύει το Autopsy πως έχει
Έπειτα έχουμε τους λογαριασμούς που έχει ο χρήστης στο διαδίκτυο (Web Account
Type). Αυτοί μπορεί να είναι διευθύνσεις IP, λογαριασμοί όπως email και άλλα. Μπορούμε να
βρούμε λεπτομέρειες για αυτούς τους λογαριασμούς στην καρτέλα “OS Account”. Μπορούμε να
δημιουργήσουμε προφίλ χρηστών με κινήσεις ή δεδομένα που χρησιμοποιούν συχνά για ένα
συγκεκριμένο σκοπό και στο τέλος να μπορούμε να βγάζουμε συμπεράσματα για το προφίλ των
ηλεκτρονικά email κτλ. και κλάδου για παράδειγμα google, bing, yahoo, protonmail κτλ.
Υπάρχουν και άλλες λειτουργίες που δεν παρουσιάζουμε καθώς δεν τις επιλέξαμε στις
ρυθμίσεις όταν ξεκινήσαμε την έρευνα, διότι γνωρίζαμε πως δεν θα μας ήταν ενδιαφέροντες.
Για την έρευνα της RAM και των αντικειμένων που μπορούν να βρεθούν μέσω αυτής και
εργαλείο Volatility καθώς είναι λίγο πιο διαδεδομένο. Βέβαια και το Rekall θα ήταν εξίσου καλή
επιλογή. Η χρήση εργαλείων εξαρτάται από τις ανάγκες της έρευνας, την εξικοίωση των
που θα χρειαστούμε και προαιρετικά για την δική μας διευκόλυνση το git για τα Windows
ακολουθόντας τον installer χωρίς δυσκολίες ή κάτι ιδιαίτερο. Για να κατεβάσουμε το volatility
πάμε στον αντίστοιχο σύνδεσμο παραπάνω και πατάμε στο πράσινο κουμπί “code” και
αντιγράφουμε το link που θα μας εμφανίσει. Μετά ανοίγουμε το PowerShell και γράφουμε “git
clone (copied link)” και πατάμε enter. Για να βρούμε πιο .whl αρχείο python snappy μπορούμε
έχουμε στον υπολογιστή μας. Στη συγκεκριμένη περίπτωση είναι AMD64. Για να ελέγξουμε ότι
έχουμε την Python κατεβασμένη μπορούμε να γράψουμε στο PowerShell “python -V” και θα
μας βγάλει την έκδοση της python που έχουμε κατεβασμένη αν όλα πάνε καλά.
Θα χρησιμοποιήσουμε την έκδοση 3.11 της python καθώς δεν έχουμε wheel αρχείο που
να είναι για 3.12. Αφού κατεβάσουμε το wheel αρχείο, πάμε στο PowerShell και εκτελούμε την
εντολή “pip install (path-to-file)” με τη διαδρομή στην οποία αποθηκεύσαμε το αρχείο wheel
πριν λίγο.
Μετά πάμε στον φάκελο volatility με την εντολή “cd .\volatility3\” και κάνοντας ls
μπορούμε να δούμε ότι υπάρχει ένα αρχείο “requirements.txt” και ένα “requirements-
Για να ελέγξουμε ότι όλα κατέβηκαν σωστά μπορούμε να τρέξουμε την εντολή στο
Αν όλα πήγαν καλά θα μπορούμε να δούμε την έκδοση του volatility, την διαδρομή που
μπορούμε να κατεβάσουμε πρόσθετα αρχεία (plug-ins) και την διαδρομή που θα αποθηκεύονται
τα σύμβολα προς ανάλυση. Τώρα θα πρέπει να βάλουμε την εικόνα της μνήμης που θέλουμε να
Για να πάρουμε αρχικά τις βασικές πληροφορίες για αυτή τη μνήμη γράφουμε στο
PowerShell στον φάκελο του volatility την εντολή “python vol.py -f (file-path) windows.info”.
Βλέπουμε ότι ο επεξεργαστής είναι τετραπύρηνος, την ημερομηνία και ώρα που βγήκε η εικόνα
μνήμης, την πηγαία διαδρομή των windows και άλλα. Αν θέλουμε να αποθηκεύσουμε τις
Από τα πιο ενδιαφέροντα πράγματα να κάνουμε σε μία έρευνα είναι να δούμε ποιες
εφαρμογές τρέχανε την στιγμή που δημιουργήθηκε η εικόνα μνήμης. Για να το κάνουμε αυτό
γράφουμε την εντολή “python vol.py -f (file-path) windows.pslist | more”. Η κάθετη γραμμή
είναι σωλήνωση εντολών, δηλαδή δύο εντολές θα εκτελεστούν μαζί. Το more το βάζουμε μόνο
προχωράμε εμείς πατώντας spacebar. Στην πρώτη στήλη βλέπουμε τον αριθμό της εφαρμογής
(PID), στην δεύτερη τον αριθμό της εφαρμογής γονέα (PPID), στην τρίτη το όνομα της
εφαρμογής, στην τέταρτη τη θέση μνήμης όταν εκτελέστηκε, στην πέμπτη τον αριθμό των
νημάτων, στην έκτη ποιες εφαρμογές διαχειρίζεται (handles) και άλλες πληροφορίες. Τα
Αν βρούμε κάτι που μας ενδιαφέρει να ερευνήσουμε, για παράδειγμα την chrome τότε
εντολή για τα Linux είναι το γνωστό grep. Βλέπουμε ότι η πρώτη που εκτελέστηκε είναι η PID
1328 καθώς κάθε άλλη διεργασία chrome έχει για PPID το ίδιο νούμερο.
Για να δούμε τα handles μιας εφαρμογής μπορούμε να γράψουμε “python vol.py -f (file-
Τα αποτελέσματα που έχουν τύπο αρχείο (file) ή κλειδί (key) είναι ενδιαφέροντα.
Μπορούμε να περιορίσουμε την αναζήτηση στα αρχεία με την εντολή “python vol.py -f (file-
Ξανά βγαίνουν πολλά αποτελέσματα και δεν είναι όλα ενδιαφέροντα. Ίσως είναι αυτά
που περιέχουν τον χρήση στο file path ή αν μας ενδιαφέρει κάποια συγκεκριμένη επέκταση
αρχείου όπως .db για βάσεις δεδομένων. Αν για παράδειγμα μας ενδιαφέρει να τσεκάρουμε τα
αρχεία ιστορικού ή εκείνα που μπορεί να περιέχουν τη λέξη history μέσα γράφουμε “python
more”.
διαβάσουμε.
Για να το κάνουμε αυτό αρχικά φτιάχνουμε ένα φάκελο “dump” στον οποίο θα πετάμε
όλα τα αρχεία που αντιγράφουμε για να ελέγξουμε. Αυτό το κάνουμε με την εντολή “mkdir
dump”. Έπειτα, εκτελούμε “python vol.py -f (file-path) -o "dump" windows.dumpfile --pid 1328
--virtaddr 0xbf0f6abe9740”. Σε εισαγωγικά βάζουμε το όνομα φακέλου που φτιάξαμε για το που
Αν θέλαμε να ελέγξουμε όλα τα αρχεία με PID 1328 για ιούς πχ. δεν θα δίναμε την
ψηφιακή διεύθυνση.
Για να βρούμε αν μια διεργασία εκτελέστηκε από τη γραμμή εντολών και με ποιες
επιλογές εκτελέστηκε. Οι επιλογές είναι για παράδειγμα το -f που γράφουμε σε μια εντολή για
να δώσουμε αμέσως μετά το αρχείο που μας ενδιαφέρει. Ακόμα μπορούμε να δούμε αν κάτι
εκτελέστηκε και από άλλους δίσκους, όπως η εντολή για να δημιουργηθεί η εικόνα μνήμης που
κοιτάμε τώρα, εκτελέστηκε από έναν σκληρό δίσκο E:\ με το FTK Imager. Η εντολή για αυτό
Μια άλλη χρήσιμη εντολή είναι η “python vol.py -f (file-path) windows.netstat | more”.
Αν την τρέξουμε παίρνουμε για κάθε διεύθυνση της εικόνας μνήμης, το πρωτόκολλο, την τοπική
διεύθυνση του υπολογιστή από τον οποίο βγήκε η εικόνα μνήμης, την τοπική πύλη, την
διεύθυνση με την οποία ήταν συνδεδεμένος ο υπολογιστής και σε ποια πύλη ήταν συνδεδεμένος.
Μπορούμε να ψάξουμε την ξένη διεύθυνση μνήμης που ήταν συνδεδεμένος ο υπολογιστής. Για
για τον χρήστη, έτσι ώστε αν σπάσουμε το hash και βρούμε τον κωδικό μπορούμε ενδεχομένως
να ξεκλειδώσουμε και άλλα συστήματα στα οποία μπορεί να χρησιμοποιείται ή να πάρουμε μια
ιδέα για το πως ένας χρήστης δημιουργεί τους κωδικούς του ή να χρησιμοποιείται ο ίδιος
μπορούμε να δούμε πότε ένα πρόγραμμα έτρεξε την τελευταία φορά (last time), πόσες φορές
έτρεξε (count), πόσες φορές ο χρήστης επανέφερε το παράθυρο από ελαχιστοποίηση (focus
count) και για πόση ώρα ήταν ανοιχτό το συγκεκριμένο παράθυρο (time focused). Οι χρόνοι
αυτοί μπορεί να μην είναι εντελώς ακριβής αλλά είναι μια καλή βάση πληροφοριών. Φυσικά
Για να βρούμε όλες τις εγγραφές κυψέλης για τον χρήστη John Doe γράφουμε την
HxD.
Για την έρευνα του δικτύου θα χρησιμοποιήσουμε τα εργαλεία “Network Miner” και “Nmap”.
Το αρχείο που θα δώσουμε στο Network Miner για ανάλυση θα μπορούσαμε να το εξάγουμε
από τον δικό μας υπολογιστή με το Wireshark, αλλά θα κατεβάσουμε ένα έτοιμο “ DFIR
MONTEREY 2015 Network Forensics Challenge (by Phil Hagen of SANS)” από τον
από το Network Miner να φτιάξει ένα αρχείο pcap προς ανάλυση αν δίναμε διεύθυνση IP και
Στην αρχική οθόνη βλέπουμε όλες τις συνδέσεις με τις διευθύνσεις IP τους και πιθανόν
το όνομα τους δίπλα. Αυτές τις συνδέσεις μπορούμε να τις φιλτράρουμε βάση των διευθύνσεων
IP, των διευθύνσεων MAC (δηλαδή των συσκευών που κάνανε την περιήγηση), ονομάτων των
δεκτών (hostnames), πακέτα που έχουν σταλεί ή παραλειφθεί και bytes, ανοιχτά ports που έχουν
επικοινωνήσει οι πομποί με τους δέκτες (όχι όλα όσα υπάρχουν ανοιχτά και ακούνε, αυτό το
κάνει το Nmap), λειτουργικά συστήματα και την απόσταση από δρομολογητή σε δρομολογητή
(hops).
Στα δεξιά στο “Case Panel” μπορούμε να δούμε το αρχείο pcap που έχουμε προς
ανάλυση. Αν πατήσουμε δεξί κλικ μπορούμε να δούμε μεταδεδομένα για αυτό. Για παράδειγμα
μπορούμε να δούμε το όνομα του, πότε ξεκίνησε να μαζεύει στοιχεία και συνδέσεις
(δημιουργήθηκε) και πότε σταμάτησε σε ημερομηνίες και ώρες, πόσα πλάνα/καρέ (frames) έχει
συνολικά, το MD5 hash του και άλλα. Τα συνολικά frames είναι 80106 σε αυτή την περίπτωση.
Αν επιλέξουμε μια διεύθυνση IP θα δούμε στις λεπτομέρειες όλες τις διευθύνσεις MAC
διεύθυνση MAC, οι IP των server όμως όπως η google έχει πολλές MAC καθώς συνδέονται
πολλές IP σε αυτόν τον δέκτη. Επίσης για κάθε IP μπορούμε να δούμε πόσα πακέτα έστειλε και
Κάτω από τα host details μπορούμε να δούμε λεπτομέρειες για τους δέκτες. Αν είναι
server μπορούμε να βρούμε το όνομα του πανό τους (banner). Για την IP 74.125.232.115 για
Στην καρτέλα “Files” μπορούμε να βρούμε αρχεία που μεταφέρθηκαν μέσω του δικτύου.
επέκταση .jpg και να μελετήσουμε την λίστα με τα αρχεία αυτά. Πατώντας πάνω τους μπορούμε
να δούμε λεπτομέρειες όπως το μέγεθος τους, την τελευταία φορά που τροποποιήθηκαν, από που
και προς που στάλθηκαν και τις πύλες, τα hashes τους και τις διαδρομές (path). Στην καρτέλα
“Images” μπορούμε να δούμε σε μορφή εφαρμογές όλες τις εικόνες που στάλθηκαν.
Στην καρτέλα “Messages” μπορούμε να δούμε μηνύματα που έχουν σταλθεί μέσω του
δικτύου. Στην προκειμένη περίπτωση έχει σταλθεί ένα mail από το facebook και συγκεκριμένα
ημερομηνία 2015-04-13 04:38:53 UTC. Υπάρχουν και άλλες πληροφορίες όπως το πρωτόκολλο
POP3, ποιος αριθμός frame είναι, αν έχει ελεγχθεί για κακόβουλο λογισμικό ή ιούς κτλ, αν
θεωρήθηκε ανεπιθύμητη αλληλογραφία (spam) ή όχι, αλλά φυσικά και το περιεχόμενο του
μηνύματος.
κάποιους server. Στο παράδειγμα μας μπορούμε να βρούμε τρεις τέτοιες περιπτώσεις. Ένας
χρήστης έχει το ίδιο όνομα (homer.pwned.se@gmx.com) και κωδικό (spring2015) στο email του
αλλά έχει πιθανός δύο συσκευές (μια με Windows και μια με Linux) αλλά με την ίδια διεύθυνση
Στην καρτέλα “Sessions” μπορούμε να δούμε τις επισκέψεις που έκανε κάθε IP σε ποια
άλλη, στις πύλες, ποιο πρωτόκολλο χρησιμοποιήθηκε, τον αριθμό του frame και την ημερομηνία
και ώρα. Για ποιο συγκεκριμένα αποτελέσματα μπορούμε να ψάξουμε βάση πύλης ή
πρωτοκόλλου.
Στην καρτέλα “DNS” (Σύστημα Ονοματοδοσίας Διαδικτύου) βλέπουμε όλες τις αιτήσεις
που έγιναν και ποια ήταν η απάντηση (μπορεί να είναι μια IP για ανακατεύθυνση ή σε
περίπτωση σφάλματος να δοθεί κάποιο flag). Μπορούμε ακόμα να δούμε το TTL (Time To
ψάξουμε για συγκεκριμένες παραμέτρους όπως η “GET” και να δούμε από που έγινε, προς τα
οι οποίες μας ενδιαφέρουν και να δούμε όλα τα αποτελέσματα στα οποία αναφέρονται.
Το ιδιαίτερο χαρακτηριστικό του Nmap είναι ότι μπορεί να χαρτογραφήσει δίκτυα και να
εμφανίσει πύλες ενεργές σε έναν server και τι πρωτόκολλα χρησιμοποιούν αν απλά δώσουμε την
IP που θέλουμε. Το χρησιμοποιούν οι hackers για να ανακαλύψουν αδυναμίες σε ένα δίκτυο και
να βρουν τρόπους να επιτεθούν ή να ανακαλύψουν στοιχεία που είναι απόρρητα. Είναι όμως
χρήσιμο και για ηθική χρήση όπως έλεγχος ενός δικτύου για την βελτίωση του.
Nmap Security Scanner Project προσφέρει μια ιστοσελίδα/server για αυτό τον σκοπό
Γνωρίζοντας μια ιστοσελίδα μπορούμε να βρούμε τις διευθύνσεις IP της είτε με απλό ping, είτε
με τη βοήθεια του εργαλείου “DNS lookup tool” στο διαδίκτυο, είτε με την εντολή nslookup στη
είναι IPv6 και μια μικρότερη και πιο συνηθισμένη (45.33.32.156) που είναι IPv4. Και οι δύο
διευθύνσεις είναι σωστές. Οι IPv6 διευθύνσεις φτιάχτηκαν για να λύσουν το πρόβλημα του
περιορισμού των IPv4. Οι IPv4 ίσως χρησιμοποιούνται περισσότερο, σιγά σιγά όμως θα γίνει η
Αφού ξέρουμε την διεύθυνση IP, τώρα μπορούμε να κάνουμε ping για να δούμε αν είναι
ανοιχτός ο server. Αφού παίρνουμε απάντηση ο server είναι διαθέσιμος, αν θέλουμε να κάνουμε
ping ένα ολόκληρο δίκτυο αρχικά υπολογίζουμε ποια θα ήταν η διεύθυνση αυτού. Το δίκτυο
αυτό θα μπορούσε να έχει μέχρι 254 δέκτες. Οπότε η διεύθυνση θα ήταν 45.33.32.0/24. Ο
αριθμός μετά το slash (/) είναι η μάσκα δικτύου (subnet mask). Αφού έχουμε 0 στους δέκτες
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 122
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
(hosts) βάση του πίνακα θα έχουμε 24 στη μάσκα. Η εντολή λοιπόν θα είναι “nmap -sP
45.33.32.0/24”. Η χρήση του nmap εδώ αντί του ping βοηθά στο να μην είναι εμφανές οι
ενέργειες που γίνονται. Στο τέλος, μπορούμε να δούμε ότι είναι ενεργοί 162 δέκτες από τους 254
πιθανούς.
Το nmap όμως μπορεί να κάνει πολλά παραπάνω. Από τα σημαντικότερα πράγματα είναι
να ελέγχουμε για ανοιχτά ports. Αν θέλουμε να ψάξουμε για παράδειγμα αν ένας server έχει
ανοιχτές πύλες τις 80 και 443 γράφουμε την εντολή “nmap -sT -p 80,443 45.33.32.0/24”. Η
επιλογή -sT είναι για TCP έλεγχος σύνδεσης σε πύλες και η επιλογή -p είναι για να δηλώσουμε
τις πύλες που θέλουμε να ψάξουμε δίπλα. Στη γραμμή εντολών αυτό δεν θα τρέξει, οπότε
χρησιμοποιούμε το Windows PowerShell. Στα Linux απλώς θα γράφαμε sudo μπροστά στην
εντολή. Για κάθε δέκτη βλέπουμε αν κάθε πύλη που ζητήσαμε είναι ανοικτή. Υπάρχουν τρεις
σημαίνει ότι ένα τοίχος προστασίας (firewall) ή κάποιο άλλο δικτυακό εμπόδιο προστατεύει
αυτή την πύλη έτσι ώστε να μην φαίνεται από ένα scan για παράδειγμα να είναι ανοιχτή ή
κλειστή. Μπορεί το nmap να μην καταλαβαίνει αν μια πύλη είναι ανοικτή ή κλειστή αλλά να
μην είναι μπλοκαρισμένη ή προστατευμένη. Τότε την χαρακτηρίζει “unfiltered”. Υπάρχει τέλος
περίπτωση το nmap να μην γνωρίζει αν μια πύλη είναι ανοιχτή ή φιλτραρισμένη και κλειστή ή
λειτουργεί το “TCP Connect Scan” είναι η τριμερής χειραψία ή αλλιως “Three-way handshake”.
Αν θέλουμε όμως να μην μας ανιχνεύει κάποιο firewall ή IDS όταν το κάνουμε αυτό
μπορούμε να τρέξουμε την εντολή “nmap -sS -p 80,443 45.33.32.0/24”. Βέβαια, μερικά τύχη
προστασίας έχουν πιο εξελιγμένες τεχνικές ανίχνευσης και μπορούν ακόμα και έτσι να μας
καταλάβουν και να μας αποτρέψουν. Ο τρόπος που δουλεύει η παραπάνω εντολή είναι ο ίδιος
μόνο που δεν ολοκληρώνει ποτέ την τριμερή χειραψία. Ο πομπός δεν στέλνει ποτέ το τελευταίο
Η διαφορά μπορεί να φανεί με την χρήση του εργαλείου wireshark. Το wireshark μπορεί
να συλλέγει πακέτα που λαμβάνουμε και στέλνουμε. Ας το δοκιμάσουμε και με τις δύο εντολές.
Πρώτη η ολοκληρωμένη σύνδεση. Ξεκινάμε τη συλλογή πακέτων και τρέχουμε την εντολή αλλά
για ποιο μεγάλη ευκολία θα την τρέξουμε για ένα συγκεκριμένο δέκτη και δεν θα δώσουμε
συγκεκριμένες πύλες. Το nmap θα εμφανίσει τις χίλιες πιο “διάσημες” από αυτές. Μόλις βγάλει
αποτελέσματα η εντολή σταματάμε την συλλογή πακέτων του Wireshark και φιλτράρουμε τα
αποτελέσματα για την συγκεκριμένη διεύθυνση που ψάξαμε. Παρατηρούμε ότι στην πρώτη
περίπτωση ο πομπός (εμείς) στείλαμε το ACK πίσω, ενώ στην δεύτερη αυτό δεν υπάρχει και
ακολουθεί κατευθείαν το RST. Το RST είναι ένα reset της σύνδεσης και ουσιαστικά την κλείνει.
Η εντολή στο nmap για το “κρυφό” TCP που δεν θα το ολοκληρώσουμε ποτέ:
γίνεται με την εντολή “nmap -O 45.33.32.241”. Το αποτέλεσμα που παίρνουμε είναι εικασία
αλλά είναι αρκετά εύστοχη. Στην περίπτωση του παραδείγματος, ο στόχος τρέχει Linux με πιο
Η εντολή “nmap -A 45.33.32.241” θα μας βγάλει πολλές πληροφορίες για τον στόχο και
το δίκτυο. Παίρνει περισσότερη ώρα. Μας εμφανίζει όπως και πριν το λειτουργικό σύστημα που
χρησιμοποιείται. Αλλά και αναγνώριση εκδόσεων για παράδειγμα απαντήσεις από web servers,
ftp (file-transfer-protocol) servers, ssh (secure shell) servers και άλλα. Μπορεί να εμφανίσει και
ssh host keys. Τα κλειδιά αυτά είναι κρυπτογραφημένα και χρησιμοποιούνται για την
ακεραιότητα του πρωτοκόλλου. Κάνει script-scanning, δηλαδή τρέχει κάποιο έτοιμο μικρό
κώδικα για να εμφανίσει πληροφορίες για τον στόχο. Τέλος κάνει traceroute, δηλαδή μπορεί να
μας πει πόσο μακριά είναι ο στόχος από εμάς, πόση ώρα παίρνει ένα πακέτο να ταξιδέψει από
εμάς στον στόχο, από ποια hops περνάει. Όλα αυτά πλέον ανήκουν στο aggressive mode,
δηλαδή είναι πιο επιθετικοί τρόποι ελέγχου δικτύων και πρέπει να χρησιμοποιούνται με
εξουσιοδότηση.
Το nmap προσφέρει την δυνατότητα της απόκρυψης της IP που το χρησιμοποιεί για να
ελέγξει έναν στόχο, σαν ένα VPN. Η εντολή είναι “nmap -sS -D 192.168.1.80 45.33.32.241”.
Την ρύθμιση -sS την έχουμε δει παραπάνω, είναι TCP connect αλλά όχι ολοκληρωμένο. Το -D
συμβολίζει το decoy (δόλωμα), για αυτό η πρώτη IP δεν σημαίνει κάτι. Θα είναι η IP που θα
Το nmap λοπως είπαμε μπορεί να τρέξει scripts. Υπάρχουν scripts για την αναζήτηση
να τα τρέξει το nmap. Το nmap όμως μπορεί να τρέξει όλα τα scripts στην κατηγορία που
θέλουμε (εδώ την vuln) αυτόματα με την εντολή “nmap --script vuln 45.33.32.241”. Αυτές τις
Δίπλα από εντολές όπως η -sT, -sS μπορούμε να βάλουμε τους δείκτες -T0, … -T4 όπου
το 0 είναι ο πιο αργός έλεγχος και το 4 ο πιο γρήγορος. Το νόημα στον αργότερο έλεγχο στο
nmap είναι ότι μειώνει τις πιθανότητες ένα σύστημα να το αναγνωρίσει και να το μπλοκάρει
βάση των συχνοτήτων των εντολών που εκτελούνται και των πακέτων που μεταφέρονται.
Στην ενότητα αυτή θα δείξουμε πως μπορούμε να συνδέσουμε το κινητό μας (είτε android είτε
IOS) στο σύστημα μας και να το ελέγξουμε για κακόβουλο λογισμικό. Για τον σκοπό αυτό θα
εργαλείο αυτό δεν υποστηρίζει windows αλλά linux. Παρόλα αυτά μπορούμε να το τρέξουμε και
από το υποσύστημα των windows για τα linux (WSL). Αρχικά θα χρειαστούμε το pip της python
για να κατεβάσουμε το MVT και το “adb” για να κάνουμε την σύνδεση με το κινητό τηλέφωνο.
Αυτό το κάνουμε γράφοντας στο terminal “sudo apt install python3-pip adb”. Όταν κατεβάζουμε
ένα πρόγραμμα, είναι πάντα χρήσιμο να κοιτάμε την τεκμηρίωση του. Για το MVT μπορούμε να
την βρούμε εδώ: https://docs.mvt.re/en/latest/install/. Μέσω του συνδέσμου αυτού βλέπουμε ότι
πρέπει επίσης να κατεβάσουμε κάποιες εξαρτήσεις για αυτό το εργαλείο με την εντολή “sudo apt
και το pipx με τις εντολές “python3 -m pip install --user pipx” και “python3 -m pipx
ensurepath”. Το pipx το θέλουμε για να εγκαταστήσουμε εντολές python και όχι εξαρτήσεις.
Τέλος κατεβάζουμε το MVT με την εντολή “pipx install mvt”. Αν όλα έχουν πάει καλά
τρέχοντας την εντολή “mvt-android” θα μας εμφανιστούν στην οθόνη οδηγίες και επιλογές για
το πως να τρέξουμε την εντολή. Το ίδιο ισχύει και για την εντολή “mvt-ios”.
ρυθμίσεις. Στην κατηγορία “σχετικά με το κινητό - about phone” πρέπει να πατήσουμε αρκετές
Θα μας εμφανιστεί μια οθόνη προειδοποίησης για κινδύνους και εμείς απλά θα το δεχτούμε.
Τώρα είμαστε έτοιμοι να συνδέσουμε το κινητό στο σύστημα μας μέσω USB για παράδειγμα.
σύνδεση adb, αλλά θα κάνουμε την σύνδεση μέσω wi-fi καθώς είναι πιο εύκολο. Έτσι γράφουμε
την εντολή “adb tcpip 5555” για να ορίσουμε τον αριθμό της πύλης εμείς και έπειτα την εντολή
την διεύθυνση “192.168.1.20” με την πραγματική διεύθυνση του κινητού μας και το
Η διεύθυνση IP του κινητού μπορεί να βρεθεί πηγαίνοντας στις ρυθμίσεις και ψάχνοντας
“διεύθυνση IP - IP address” και κυλώντας τον δρομέα προς τα κάτω βρίσκουμε την IP
διεύθυνση σε πολλές μορφές όπως IPv4, IPv6. Θα πρέπει να πατήσουμε “allow” από το κινητό
για να ολοκληρωθεί.
Σημείωση: Αν υπάρχουν προβλήματα προτείνεται να γίνει λήψη των εργαλείων adb από τον
μπορούμε να μετακινηθούμε στα αρχεία που έχουμε στον υπολογιστή μας με cd μέσω του mnt
φακέλου και μετά στον φάκελο στον οποίο κατεβάσαμε τα εργαλεία αυτά. Αντιγράφουμε
ολόκληρο τον φάκελο στον φάκελο “~/” του wsl. Από εκεί μπαίνουμε στον φάκελο που μόλις
αντιγράψαμε και τρέχουμε τις εντολές “adb kill-server” και “adb start-server”. Μετά
Μέσω της εντολής “mvt-android check-adb” βλέπουμε τα αποτελέσματα του ελέγχου των
παράδειγμα, μερικές προειδοποιήσεις (warnings) είναι ότι η συγκεκριμένη συσκευή δεν έχει
λάβει ενημερώσεις εδώ και πάνω από 6 μήνες και ότι η εγκατάσταση μη εμπορικών εφαρμογών
είναι ενεργοποιημένη. Επίσης, αφού τελειώσει αυτό το στάδιο, μπορούμε να πάμε στον φάκελο
που επιλέξαμε και να δούμε με λεπτομέρειες τα αντίγραφα. Για παράδειγμα μπορούμε να δούμε
τα εισερχόμενα και εξερχόμενα μηνύματα (sms) στο κινητό αυτό, πότε έχουν σταλθεί από ποιόν
και το περιεχόμενο τους. Καθώς και πολλές άλλες πληροφορίες του συστήματος, των
εφαρμογών και των πληροφοριών του ιδιοκτήτη που είναι αποθηκευμένες στη συσκευή.
ΒΙΒΛΙΟΓΡΑΦΙΑ
2. Moulianitis V.C., Dentsoras A.J., Aspragathos N.A., (1999), A Heuristic Method for
Knowledge-Based Conceptual Design of Robot Grippers based on the Euclidean Space Inner
3. Zimmermann H.J., (1996), Fuzzy Set Theory and its Applications, Kluwer Academic
Publishers, USA
4. Marczyk A., Genetic Algorithms and Evolutionary Computation, (2016, November 8),
and Future Directions", in IEEE Access, vol. 10, pp. 11065-11089, 2022, doi:
10.1109/ACCESS.2022.3142508.
https://dione.lib.unipi.gr/xmlui/handle/unipi/14202
https://dione.lib.unipi.gr/xmlui/handle/unipi/15367
5. Ελληνική Αστυνομία Υπουργείο Προστασίας του Πολίτη “Λειτουργία και αρμοδιότητες των
https://www.astynomia.gr/elliniki-astynomia/eidikes-ypiresies/diefthynsi-dioxis-ilektronikou-
egklimatos/leitourgia-kai-armodiotites-ton-tmimaton-tis-diefthnsis-dioxis-ilektronikou-
egklimatos
6. William Oettinger, (24th of April 2020), “Learn Computer Forensics: A beginner’s guide to
searching, analyzing, and securing digital evidence”, Packt Publishing, ISBN-10: 1838648178,
ISBN-13: 978-1838648178
7. Darren Hayes, (21st of October 2020), “Practical Guide to Digital Forensics Investigations”,
Forensic Tools”. In: Shukla, R.K., Agrawal, J., Sharma, S., Singh Tomer,
https://doi.org/10.1007/978-981-13-6351-1_15
9. Karam Muhammed Mahdi Salih, Najla Badi Ibrahim, “Digital Forensic Tools: A Literature
https://edusj.mosuljournals.com/article_177259.html
10. Vassil Roussev, Irfan Ahmed, Andres Barreto, Shane McCulley, Vivek Shanmughan, “Cloud
forensics–Tool development studies & future outlook”, Volume 18 pages 79-95, 2016,
11.
Γενικές παρατηρήσεις:
Τεχνικές παρατηρήσεις:
1. Το παρόν πρότυπο μπορεί να σχηματίζει αυτόματα τον πίνακα περιεχομένων υπό την
προϋπόθεση ότι: α. χρησιμοποιείτε τους προτεινόμενους τύπους (styles) για τις
επικεφαλίδες κεφαλαίων, ενοτήτων, υποενοτήτων, κλπ, β. κάνετε ενημέρωση του πίνακα
περιεχομένων κάθε φορά που τροποποιείτε τις επικεφαλίδες
2. Χρησιμοποιείστε διάστημα 1.5 ανάμεσα στις γραμμές του κειμένου
3. Η χρήση χρωμάτων και τονικών διαβαθμίσεων στα σχήματα και τις εικόνες βοηθά στην
κατανόησή των περιεχομένων τους
4. Το παρόν πρότυπο χρησιμοποιεί τη γραμματοσειρά Times New Roman με μέγεθος
γραμμάτων 12. Εναλλακτικά μπορούν να χρησιμοποιηθούν οι γραμματοσειρές Arial,
Calibri, Cambria, Garamond και Century Gothic