Διπλωματική 1

ΠΑΝΕΠΙΣΤΗΜΙΟ ΔΥΤΙΚΗΣ ΑΤΤΙΚΗΣ
ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΥΠΟΛΟΓΙΣΤΩΝ

[ΤΟΜΕΑΣ]
[ΟΝΟΜΑ ΕΡΓΑΣΤΗΡΙΟΥ]
ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ
Ψηφιακή Δικανική Έρευνα
ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
ΑΜ: 18390162
[Ονοματεπώνυμο και βαθμίδα επιβλέποντος]
Διπλωματική εργασία υποβληθείσα στο Τμήμα
ΑΙΓΑΛΕΩ, [μήνας/2024]
Ψηφιακή Δικανική Έρευνα ΠΑΠΑΠΑΝΑΓΙΩΤΟΥ ΓΕΩΡΓΙΑ
Πανεπιστήμιο Δυτικής Αττικής, Τμήμα Μηχανικών Πληροφορικής και

Υπολογιστών
Παπαπαναγιώτου Γεωργία
© [έτος] – Με την επιφύλαξη παντός δικαιώματος
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] ii
ΠΑΝΕΠΙΣΤΗΜΙΟ ΔΥΤΙΚΗΣ ΑΤΤΙΚΗΣ

ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΥΠΟΛΟΓΙΣΤΩΝ
[ΤΟΜΕΑΣ]
[ΟΝΟΜΑ ΕΡΓΑΣΤΗΡΙΟΥ]
Η παρούσα διπλωματική εργασία παρουσιάστηκε
από την
ΑΜ: 18390162
την [ημέρα, μήνα, έτος]
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] iii

Η έγκριση της διπλωματικής εργασίας δεν υποδηλοί την αποδοχή των γνωμών του συγγραφέα.
Κατά τη συγγραφή τηρήθηκαν οι αρχές της ακαδημαϊκής δεοντολογίας.
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] iv

Ψηφιακή Δικανική Έρευνα
ΠΕΡΙΛΗΨΗ
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] v

Η ψηφιακή δικανική έρευνα είναι η διαδικασία συλλογής, ανάλυσης και διατήρησης

ψηφιακών αποδείξεων, η οποία είναι σημαντική πλευρά της κυβερνοασφάλειας. Όταν
διαπράττεται ένα έγκλημα ή μια παράβαση στον κυβερνοχώρο, διάφορα στοιχεία και αποδείξεις
μένουν πίσω. Αυτές οι αποδείξεις και τα στοιχεία αν συλλεχθούν και αναλυθούν μπορούν να μας
περιγράψουν τον τρόπο με τον οποίο διαπράχθηκε το έγκλημα και ακόμα και να μας οδηγήσουν
στους υπαίτιους αυτού. Μπορούν ακόμα να βοηθήσουν και στην αποτροπή επιθέσεων στον
κυβερνοχώρο και την διόρθωση αδυναμιών σε λογισμικό, σε κάποιο υπολογιστικό σύστημα ή σε
μια βάση δεδομένων.
Στην εργασία αυτή θα γίνει μια γρήγορη εισαγωγή στο ηλεκτρονικό έγκλημα, στη ψηφιακή
δικανική έρευνα και στη νομοθεσία περί αυτών, καθώς και θα συγκριθούν και θα δοκιμαστούν
τα πιο διαδεδομένα εργαλεία για κάθε πεδίο της έρευνας.
Λέξεις κλειδιά
Κυβερνοασφάλεια, κυβερνοέγκλημα, ψηφιακή δικανική έρευνα, συλλογή, ανάλυση, αποδείξεις,
εργαλεία
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] vi

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] vii

Digital Forensics Investigation
PAPAPANAGIOTOU GEORGIA
ABSTRACT
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] viii

Digital Forensics Investigation is the process of collecting, analyzing and preserving

digital evidence and it is an important aspect of cybersecurity. When a cybercrime or breach is
committed or attempted, various evidence is left behind. This evidence if collected and analyzed,
can describe to us how the crime was orchestrated and even lead us back to the perpetrators of it.
They can also help prevent cyberattacks and fix weaknesses in software, a computer system or a
database.
In this thesis, a quick introduction to cybercrime, digital forensics and the legislature about these
will take place, while also the most popular tools will be compared and used to demonstrate
evidence extraction.
Key words:
Cybersecurity, cybercrime, digital forensic investigation, collection, analysis, evidence, tools
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] ix

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] x

ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ
[Παράδειγμα: Πίνακας 1. Διάμετροι νανοτεχνολογικών……………………σελ. 16]
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xi

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xii

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xiii

ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ ΚΑΙ ΕΙΚΟΝΩΝ
[Παράδειγμα: Σχήμα 1. Μεταβολή του συντελεστή ενίσχυσης …………………………43]
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xiv

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xv

ΣΥΜΒΟΛΙΣΜΟΙ
[Καταγράφονται σε μορφή πίνακα όλα τα σύμβολα που χρησιμοποιούνται στην εργασία καθώς
και η σημασία τους]
[παράδειγμα: k (N/m) - σταθερά ελατηρίου]
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xvi

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xvii

ΠΕΡΙΕΧΟΜΕΝΑ
ΠΕΡΙΛΗΨΗ..................................................................................................................................V
ABSTRACT..............................................................................................................................VIII
ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ..........................................................................................................X
ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ ΚΑΙ ΕΙΚΟΝΩΝ......................................................................XII
ΣΥΜΒΟΛΙΣΜΟΙ.....................................................................................................................XIV
ΠΡΟΛΟΓΟΣ..................................................................................................................................1
1. ΕΙΣΑΓΩΓΗ............................................................................................................................3
1.1 ΗΛΕΚΤΡΟΝΙΚΟ ΕΓΚΛΗΜΑ............................................................................4
1.1.1 Μορφές..............................................................................................................5
1.2 ΔΙΑΔΙΚΑΣΙΑ ΨΗΦΙΑΚΗΣ ΔΙΚΑΝΙΚΗΣ ΕΡΕΥΝΑΣ....................................9
1.2.1 Ο ρόλος της σε άλλα πεδία.............................................................................10
1.3 ΝΟΜΟΘΕΣΙΑ ΚΑΙ ΚΡΑΤΙΚΌΣ ΜΗΧΑΝΙΣΜΟΣ.......................................12
1.3.1 Δικονομία.........................................................................................................12
1.3.2 Δίωξη ηλεκτρονικού εγκλήματος..................................................................13
1.3.3 CIRT................................................................................................................15
2. ΜΕΘΟΔΟΛΟΓΙΕΣ ΕΡΕΥΝΑΣ.........................................................................................18
2.1 ΤΟΜΕΙΣ ΕΡΕΥΝΑΣ..........................................................................................18
2.1.1 Λειτουργικά συστήματα................................................................................18
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xviii

2.1.2 Σύστημα αρχείων και δίσκος.........................................................................22
2.1.3 Μνήμη σε ζωντανή λειτουργία......................................................................26
2.1.4 Δίκτυο (Network)............................................................................................27
2.1.5 Διαδίκτυο (Web).............................................................................................29
2.1.6 Email................................................................................................................31
2.1.7 Πολυμέσα........................................................................................................32
3. ΕΡΓΑΛΕΙΑ..........................................................................................................................36
3.1 AUTOPSY SLEUTHKIT..................................................................................36
3.2 FTK......................................................................................................................37
3.3 BELKASOFT......................................................................................................37
3.4 OS FORENSICS.................................................................................................38
3.5 ENCASE..............................................................................................................38
3.6 REKALL.............................................................................................................39
3.7 NETWORK MINER..........................................................................................39
3.8 VOLATILITY.....................................................................................................40
3.9 LOGRHYTHM...................................................................................................40
3.10 NMAP..................................................................................................................41
3.11 COGNITECH.....................................................................................................41
3.12 OTHERS.............................................................................................................42
3.13 ΣΥΓΚΡΙΣΗ ΕΡΓΑΛΕΊΩΝ................................................................................43
4. ΧΡΗΣΗ ΕΡΓΑΛΕΙΩΝ ΓΙΑ................................................................................................46
4.1 IMAGE CREATION..........................................................................................46
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xix

4.2 DISK ANALYSIS...............................................................................................53
4.3 MEMORY FORENSICS...................................................................................92
4.4 NETWORK ANALYSIS..................................................................................111
4.5 MOBILE FORENSICS....................................................................................134
4.6 IMAGE ANALYSIS.........................................................................................134
5. ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΜΕΛΛΟΝΤΙΚΗ ΜΕΛΕΤΗ.................................................135
ΒΙΒΛΙΟΓΡΑΦΙΑ.......................................................................................................................147
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xx

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xxi

ΠΡΟΛΟΓΟΣ
[Ο πρόλογος είναι προαιρετικός. Οποιεσδήποτε ειδικές αναφορές, ευχαριστίες, κλπ. που γίνονται
σε τρίτους συνήθως περιλαμβάνονται στον πρόλογο.]
Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 1


1. ΕΙΣΑΓΩΓΗ
Καθώς η τεχνολογία εξελίσσεται γρήγορα στις μέρες μας, η εγκληματικότητα έχει και αυτή
αναγκαστεί να ανανεώσει τους τρόπους μέσω των οποίων διαπράττεται. Έτσι λοιπόν, πολλά
εγκλήματα που διαπράττονται από το παρελθόν πλέον γίνονται μέσω του ψηφιακού χώρου και
συνεπώς πρέπει οι τρόποι αντιμετώπισης τους να είναι και αυτοί ψηφιακή. Αυτό ακριβώς είναι η
ψηφιακή δικανική έρευνα.
Το κυβερνοέγκλημα μπορεί να κοστίσει πολλά λεφτά σε επιχειρήσεις, αλλά και να
εμποδίσει τη διαθεσιμότητα σημαντικών υπηρεσιών, όπως για παράδειγμα επιθέσεις DDOS
(distributed denial of service) σε συστήματα νοσοκομειακά, τραπεζικά, ακόμα και στρατιωτικά ή
πολιτικά. Άρα, είναι πολύ σημαντικό να αποφευχθεί.
Η συλλογή αποδείξεων και συμπερασμάτων που έχει ως αποτέλεσμα η έρευνα αυτή,
αποσκοπεί στην διαλεύκανση εγκλημάτων, την βοήθεια σύλληψης του δράστη αλλά και την
παρουσίαση των στοιχείων αυτών στην δικαιοσύνη και τα όργανα που την υπηρετούν. Για αυτό
θα γίνει λόγος για την νομοθεσία και τον κρατικό μηχανισμό που αφορά αυτού του είδους την
έρευνα. Ακόμα, θα αναφερθούν ομάδες που διεξάγουν ψηφιακές δικανικές έρευνες και πως είναι
η κατάσταση στην Ελλάδα σε σχέση με την Ευρώπη και τον υπόλοιπο κόσμο.
Οι ερευνητές που κάνουν την ψηφιακή δικανική έρευνα χρησιμοποιούν κάποια εργαλεία.
Άλλα παρέχονται δωρεάν (open-source) και άλλα είναι επί πληρωμή (licensed). Τα εργαλεία
αυτά τους βοηθούν να συλλέξουν πιθανά ίχνη που έχουν αφήσει πίσω οι εγκληματίες ή να
ανιχνεύσουν μελλοντικές επιθέσεις από αυτά και να τις αποτρέψουν. Η συλλογή τους πρέπει
όμως να γίνει με τέτοιο τρόπο ώστε να αποδεικνύεται ότι δεν έχουν τροποποιηθεί και είναι

αυθεντικά. Αφού συλλεχθούν τα ίχνη και δεδομένα αυτά, ο ερευνητής μαζί με τα εργαλεία του
πρέπει να αναλυθούν και έπειτα να καταγραφούν μαζί με τον τρόπο που συλλέχθηκαν. Τέλος, ο
ερευνητής συνδυάζοντας τα τεκμήρια που έχει συλλέξει και αναλύσει, βγάζει ένα τελικό
συμπέρασμα και το παρουσιάζει. Αυτή είναι και η τυπική διαδικασία που ακολουθείται συνήθως
σε αυτή την έρευνα.
Η επιλογή των σωστών εργαλείων βασίζεται σε διάφορα πράγματα. Αρχικά, έχει
σημασία η χρηστικότητα του κάθε εργαλείου. Υπάρχουν διαφορετικά εργαλεία για τα
λειτουργικά συστήματα, τον δίσκο, τα συστήματα αρχείων, την μνήμη, την δικτύωση, τα email
και τα πολυμέσα. Έπειτα, έχει σημασία η ευελιξία τους, το κόστος, την αυτοματοποίηση που
κάνουν και την ευκολία χρήσης τους.
Στην εργασία αυτή θα παρουσιαστούν τα πλέον δημοφιλή εργαλεία για κάθε σκοπό και
θα γίνει μια απλή σύγκρισή τους. Έπειτα θα χρησιμοποιηθούν για να παρουσιαστεί ο τρόπος
λειτουργίας τους και τα αποτελέσματα που δίνουν.
1.0 ΗΛΕΚΤΡΟΝΙΚΟ ΕΓΚΛΗΜΑ
Το ηλεκτρονικό έγκλημα είναι οι διάφορες παράνομες πράξεις που συμβαίνουν από εγκληματίες
μέσω του κυβερνοχώρου. Δηλαδή μέσω διαδικτύου, υπολογιστών, κινητών συσκευών και της
τεχνολογίας γενικότερα. Το ηλεκτρονικό έγκλημα μπορεί να γίνεται από ένα άτομο ή από
ομάδες ατόμων και μπορεί να επηρεάζει άτομα, επιχειρήσεις, το κράτος και κάθε είδους
οργανώσεις. Ο σκοπός του ηλεκτρονικού εγκλήματος συνήθως είναι η παράνομη απόκτηση
πληροφοριών και προσωπικών δεδομένων για μη εξουσιοδοτημένη επεξεργασία, απάτη με
σκοπό το κέρδος, δυσφήμηση κάποιου προσώπου ή εταιρίας για εκδίκηση ή οικονομικό όφελος,
επίθεση σε κρίσιμες υποδομές για πολιτικούς και ιμπεριαλιστικούς σκοπούς ή και απλή
διασκέδαση μερικές φορές.
2.0 Μορφές
Το ηλεκτρονικό έγκλημα έχει πολλές μορφές. Οι κυριότερες είναι οι κάτωθι:

 Hacking[2]: Ή στα ελληνικά “χακάρισμα” είναι η μη εξουσιοδοτημένη είσοδος σε
συστήματα, λογαριασμούς και δίκτυα για την κλοπή πληροφοριών ή γενικά την
πρόκληση ζημιάς σε συστήματα. Το χακάρισμα προσπαθεί να εκμεταλλευτεί αδυναμίες
στο λογισμικό, το δίκτυο ή οπουδήποτε είναι ο στόχος επίθεσης. Το κακόβουλο
χακάρισμα είναι έγκλημα και αυτοί που το διαπράττουν λέγονται “black-hatters”.
Υπάρχει όμως και το χακάρισμα για σκοπούς βελτίωσης αδυναμιών λογισμικού, το
οποίο αναλαμβάνουν ειδικοί και εξουσιοδοτημένες εταιρίες και είναι νόμιμο. Αυτοί
λέγονται “white-hatters”. Επίσης υπάρχει και ο «χακτιβισμός» (Hacktivism). Σκοπός του
είναι η προώθηση κοινωνικών και πολιτικών ιδεών, όμως πολλές φορές χρησιμοποιεί
παράνομες δραστηριότητες και για αυτό είναι αμφιλεγόμενος. Τα “script-kiddies” είναι
άτομα που χρησιμοποιούν κάποια εργαλεία για να χακάρουν χωρίς να έχουν πολλές
γνώσεις για τον τρόπο με τον οποίο αυτά δουλεύουν. Phishing είναι το «ψάρεμα»
προσωπικών στοιχείων όπως όνομα χρήστη και κωδικό, με δόλο από τους ιδιοκτήτες των
στοιχείων αυτών. Μπορεί να συμβεί με ένα απλό κλικ σε ένα σύνδεσμο, το κατέβασμα
μολυσμένων επισυναπτόμενων αρχείων ή την δημιουργία σελίδων στο διαδίκτυο που
μοιάζουν πολύ με τις πραγματικές και την ζήτηση εισαγωγή στοιχείων από εκεί. Μια
επίθεση phishing συνήθως ξεκινάει από κάποιο email. Τέλος το «κρακάρισμα»
(cracking) είναι η παράκαμψη μηχανισμών αποτροπής αντιγραφής λογισμικού για την
παράνομη χρήση και διάδοση λογισμικού.

 Κακόβουλο λογισμικό[2]: Το κακόβουλο λογισμικό είναι προγράμματα που σκοπό έχουν
να εισχωρήσουν σε κάποιο σύστημα ή υπολογιστή ή δίκτυο και να το «μολύνουν». Όταν
αυτό γίνει, τα προγράμματα αυτά αρχίζουν να εκτελούνται στο υπόβαθρο απαρατήρητα
και να επηρεάζουν λειτουργίες του συστήματος, να κλέβουν δεδομένα ή να κάνουν άλλες
κακόβουλες ενέργειες. Τέτοια κακόβουλα λογισμικά είναι οι λεγόμενοι ιοί (viruses),
σκουλήκια (worms), οι δούρειοι ίπποι (trojans) και το λυτρισμικό (ransomware). Τα
σκουλήκια είναι παρόμοια με τους ιούς απλά έχουν την δυνατότητα να
πολλαπλασιαστούν αυτόματα χωρίς κάποια ενέργεια από χρήστη. Οι δούρειοι ίπποι είναι
κακόβουλο λογισμικό που παριστάνει ότι είναι νόμιμο και άκακο και βασίζεται στην
εξαπάτηση του χρήστη έτσι ώστε αυτός να το τρέξει. Δεν πολλαπλασιάζεται από μόνο
του. Τέλος, το λυτρισμικό κάνει απρόσιτα αρχεία ή ακόμα και ολόκληρα υπολογιστικά
συστήματα κρυπτογραφόντας τα. Μόνο ο επιτιθέμενος μπορεί να τα αποκρυπτογραφήσει
αλλά για να το κάνει αυτό ζητάει λύτρα από τον ιδιοκτήτη σε μορφή κρυπτονομισμάτων.
Πολλές φορές ακόμα και αν πληρωθούν τα λύτρα μπορεί ο επιτιθέμενος να ζητήσει
παραπάνω, να μην αποκρυπτογραφήσει το σύστημα ή να μην μπορεί να το επαναφέρει
ακριβώς στην αρχική του μορφή.
 Κλοπή ταυτότητας[2]: Η κλοπή ταυτότητας (identity theft) συμβαίνει όταν ο
εγκληματίας κλέβει προσωπικά δεδομένα και παριστάνει το θύμα για σκοπούς απάτης.
 Άρνηση Εξυπηρέτησης(Denial of Service) [2]: Η DoS επίθεση σκοπεύει στην
κατάρρευση των συστημάτων στα οποία επιτίθεται μέσω υπερφόρτωσης των πόρων του,
για παράδειγμα το εύρος ζώνης του δικτύου, πόροι του επεξεργαστή και χώρο στο δίσκο.
Αυτό το πετυχαίνει με υπερφόρτωση στέλνοντας πάρα πολλά δεδομένα μαζί ή πακέτα

δρομολόγησης έτσι ώστε το σύστημα να μην μπορεί να εξυπηρετήσει τους κανονικούς
του χρήστες λόγω φόρτου εργασίας. Αυτές ονομάζονται επιθέσεις πλημμύρας (flood
attacks) και τα πιο συνηθισμένα πρωτόκολλα που στοχεύουν είναι τα ICMP, UDP και
SYN. Το ICMP (Internet Control Message Protocol) είναι το πρωτόκολλο ελέγχου
διαδικτυακών μηνυμάτων και φροντίζει την διακίνηση μηνυμάτων από συσκευές δικτύου
με περιεχόμενο αναφοράς σφαλμάτων ή αναζήτηση βοήθειας. Η πιο γνωστή λειτουργία
του είναι το ping, το οποίο ελέγχει αν ο δέκτης είναι προσιτός και μετράει και την
απόσταση βάση του πόσο γρήγορα έφτασε και επέστρεψε πίσω το αίτημα. Flood attack
σε ICMP λοιπόν θα ήταν η αποστολή πολλών ping. Flood attack με UDP είναι η
αποστολή πολλών UDP πακέτων μαζί. Παρόμοια είναι και η flood attack με SYN
πακέτα. Τα SYN πακέτα απλά σηματοδοτούν και την έναρξη μιας επικοινωνίας δικτύου
μέσω μιας χειραψίας (handshake) από τον επιτιθέμενο προς τον στόχο. Ο στόχος στέλνει
πίσω ένα πακέτο SYN-ACK για να δείξει ότι συμφωνεί στην επικοινωνία αλλά για να
ολοκληρωθεί η διαδικασία ο επιτιθέμενος πρέπει να στείλει πακέτο ACK πίσω, το οποίο
δεν κάνει ποτέ αλλά στέλνει συνεχώς νέα πακέτα SYN. Ο επιτιθέμενος θέλει πάντα να
αλλάζει συχνά την διεύθυνση IP του έτσι ώστε να μην τον βρει ο στόχος και τον
σταματήσει. Άλλο είδος DoS επίθεσης είναι οι επιθέσεις στη στρώση της εφαρμογής
(Application Layer Attacks) που είναι παρόμοιες και πιο συχνά επιτίθονται στα
πρωτόκολλα HTTP και DNS. Όταν τέτοιες επιθέσεις γίνονται ταυτόχρονα και
επηρεάζουν πολλούς υπολογιστές τότε λέγονται DDoS (Distributed Denial of Service)
και είναι πιο δύσκολο να αντιμετωπιστούν.

 Κυβερνοεκφοβισμός και διαδικτυακή παρενόχληση[2] (Cyberbullying and Online
Harassment): Η χρήση κοινωνικών δικτύων (social media) για παρενόχληση, απειλή και
εκφοβισμό ατόμων.
 Ψηφιακή Κατασκοπία (Cyber Espionage): Σκοπός είναι η κλοπή πολύτιμων
πληροφοριών ή εμπορικών μυστικών και συνήθως συμβαίνει από πράκτορες που ορίζουν
κρατικές ή επιχειρησιακές οργανώσεις.
 Παράνομη πορνογραφία: Παράνομη πορνογραφία είναι αυτή που οι συμμετέχοντες δεν
έχουν συναινέσει και ένας κλάδος της είναι η παιδική πορνογραφία.
 Κλοπή Δεδομένων (Data Breaches): Είναι η παράβαση βάσεων δεδομένων για κλοπή
ευαίσθητων πληροφοριών. Εκτός από τους εξωτερικούς επιτιθέμενους, υπάρχουν και οι
εκ των έσω. Αυτοί μπορεί να είναι συνεργάτες και υπάλληλοι. Κλοπή δεδομένων μπορεί
να γίνει και με υλική κλοπή συσκευών που τα περιέχουν (λάπτοπ, σκληροί δίσκοι,
στικάκια, χαρτιά). Τέλος, κλοπή δεδομένων γίνεται και από τρίτους παράγοντες οι οποίοι
έχουν πρόσβαση στα δεδομένα για λόγους επεξεργασίας. Αντί να τηρήσουν την
ανωνυμία, μπορούν να τα κλέψουν και να τα εκμεταλλευτούν προς δικό τους όφελος.
 Cryptojacking: Είναι η παράνομη χρήση των συσκευών άλλων ατόμων για την εξόρυξη
κρυπτονομισμάτων χωρίς την έγκριση τους. Τα κρυπτονομίσματα είναι ένα ψηφιακό
νόμισμα με το οποίο μπορούν να γίνουν ψηφιακές αγορές. Η εξόρυξη
κρυπτονομισμάτων γίνεται με τους υπολογιστικούς πόρους της κάρτας γραφικών (GPU)
και του επεξεργαστή (CPU). Η εξόρυξη κρυπτονομισμάτων απαιτεί έντονη χρήση της
GPU και της CPU οπότε τις εξαντλεί γρηγορότερα από ότι συνήθως.

3.0 ΔΙΑΔΙΚΑΣΊΑ ΨΗΦΙΑΚΗΣ ΔΙΚΑΝΙΚΗΣ ΕΡΕΥΝΑΣ
Η ψηφιακή δικανική έρευνα ακολουθεί μία διαδικασία όταν εκτελείται. Η διαδικασία αυτή
αποτελείται από κάποια βασικά βήματα, σε αυτή την περίπτωση έξι. Υπάρχουν διάφορες
παραλλαγές με περισσότερα ή λιγότερα βήματα, αλλά αυτό δεν έχει σημασία καθώς το νόημα
είναι πολύ πανομοιότυπο. Τα βήματα είναι τα παρακάτω:
 Αναγνώριση Περιστατικού[2]: Για να μπορέσει να γίνει μια ψηφιακή δικανική έρευνα
πρέπει φυσικά να ανιχνευτεί το περιστατικό. Πολλά περιστατικά συμβαίνουν και δεν
ανιχνεύονται. Αφού ανιχνευτεί το περιστατικό, κατηγοριοποιείται για να μας δώσει
κάποιες αρχικές πληροφορίες για το περί τίνος πρόκειται. Σε αυτό το βήμα γίνεται και η
ανάλυση νομικών απαιτήσεων.
 Προστασία και διατήρηση στοιχείων: Πριν αρχίσουμε να συλλέγουμε τα στοιχεία που
άφησε πίσω ο επιτιθέμενος, πρέπει να σιγουρευτούμε πως δεν θα πειράξουμε την
ακεραιότητά τους. Αυτό γίνεται παράλληλα και για όλη την διάρκεια της συλλογής τους
που είναι το επόμενο βήμα.
 Συλλογή Στοιχείων[3]: Σε αυτό το βήμα ελέγχουμε τις συσκευές ή τους αποθηκευτικούς
χώρους που ενδέχεται να περιέχουν στοιχεία κρίσιμα για την έρευνα και τα συλλέγουμε.
Κατά όλη τη διάρκεια της έρευνας αλλά ειδικά στη συλλογή των στοιχείων είναι πολύ
καλό να γράφεται ένα αρχείο με τα μέρη που βρέθηκαν στοιχεία, επιπλέον πληροφορίες
για αυτά και τις κινήσεις που έκανε ο ερευνητής για να τα αποκτήσει. Η ενέργεια αυτή
λέγεται καταγραφή (logging).
 Ανάλυση στοιχείων[2,3]: Σε αυτή την φάση αναλύονται όλα τα στοιχεία που έχουν
συλλεχτεί. Για παράδειγμα, αν το συλλεγμένο στοιχείο ήταν μια εικόνα ή ένα πολυμέσο,
αυτό πρέπει να αναλυθεί περεταίρω για να παραγάγει νέα στοιχεία τα οποία μπορούν να
χρησιμοποιηθούν στη δικαιοσύνη ως αποδεικτικά στοιχεία. Και εδώ είναι σημαντική η
καταγραφή των κινήσεων (logging).
 Αξιολόγηση και έρευνα: Αφού αναλυθούν όλα τα στοιχεία που συλλέχθηκαν
ξεχωριστά, γίνεται η προσπάθεια να ερευνηθούν όλα μαζί για να δώσουν μια πιο
ολοκληρωμένη εικόνα του εγκλήματος, πως αυτό συνέβη και από ποιον.
 Συμπεράσματα και παρουσίαση: Τέλος, ο δικανικός ερευνητής βγάζει τα τελικά

συμπεράσματα και συντάσσει μια αναφορά περιγράφοντας τα αποδεικτικά στοιχεία και
τις μεθόδους με τις οποίες συλλέχθηκαν, αναλύθηκαν και ερευνήθηκαν και την
παρουσιάζει.
Σημείωση, υπάρχει περίπτωση τα στοιχεία να παρουσιαστούν σε δικαστικές διαδικασίες για να

υποστηρίξουν μια υπόθεση. Ο ερευνητής μπορεί να κληθεί και ως εμπειρογνώμων για να τα
εξηγήσει και να τεκμηριώσει τα συμπεράσματα που έβγαλε η έρευνα.
4.0 Ο ρόλος της σε άλλα πεδία
Η ψηφιακή δικανική έρευνα μπορεί να επεκταθεί και σε άλλους τομείς εκτός από την αντί-
εγκληματικό. Οι ψηφιακοί δικανικοί μπορούν να συνεισφέρουν με τις δεξιότητες τους και σε
άλλα πεδία για την προστασία των συστημάτων και την αντιμετώπιση προκλήσεων όταν
συμβούν. Μερικά από αυτά τα πεδία είναι:
 Επιχειρήσεις: Σε κάθε μεγάλη επιχείρηση η οποία διαθέτει υπολογιστικά συστήματα
πρέπει να υπάρχουν ψηφιακοί δικανικοί για να υποστηρίζουν τα συστήματα και να τα
αναβαθμίζουν όταν έρθει η ώρα. Ο ψηφιακός δικανικός σε επιχειρήσεις μπορεί να
αντιμετωπίσει και να διαλευκάνει υποθέσει από εσωτερικούς επιτιθέμενους με σκοπούς
απάτης. Οι επιθέσεις από εσωτερικούς παράγοντες είναι οι πιο δύσκολες να εντοπιστούν.
Επίσης, οι ψηφιακοί δικανικοί μπορούν να αντιμετωπίσουν υποθέσεις παραβίασης
πνευματικών δικαιωμάτων και ευρεσιτεχνιών.
 Περίθαλψη: Ο ρόλος των ψηφιακών δικανικών στην περίθαλψη και την υγεία είναι
πολύ σημαντικός καθώς τα νοσοκομειακά συστήματα είναι κρίσιμης σημασίας και αν

υπονομευτεί η λειτουργία τους, οι ζωές πολιτών μπορούν να βρεθούν σε κίνδυνο.
Επίσης, τα προσωπικά δεδομένα όσο αναφορά την υγεία είναι ευαίσθητα και η κλοπή
τους κοστίζει πιο πολύ από τα απλά προσωπικά δεδομένα.
 Κυβερνητικές Υπηρεσίες[4]: Παρομοίως με την περίθαλψη, τα κυβερνητικά συστήματα
είναι και αυτά κρίσιμης σημασίας αφού είναι αυτά που προστατεύουν την εθνική
κυριαρχία μιας χώρας και ύψιστης σημασίας μυστικά και δεδομένα. Οι ψηφιακοί
δικανικοί λοιπόν, μπορούν να προστατεύσουν εναντίων της ψηφιακής κατασκοπίας και
κυβερνοεπιθέσεων.
 Εκπαίδευση: Οι ψηφιακοί δικανικοί στον τομέα της εκπαίδευσης υποστηρίζουν
ακαδημαϊκά συστήματα και φορείς της τριτοβάθμιας εκπαίδευσης. Επίσης, χρειάζονται
στην γρήγορη επίλυση προβλημάτων κατά τις εξεταστικές περιόδους και ειδικότερα στις
πανελλήνιες εξετάσεις.
 Περιβάλλον: Η σημασία της περιβαλλοντικής προστασίας στις μέρες μας είναι μεγάλη
και οι ψηφιακοί δικανικοί μπορούν να βοηθήσουν στην περιβαλλοντική διαχείριση και
τον έλεγχο παραβάσεων νόμων.
 Νομική[4]: Ένα μέρος της νομικής είναι η έρευνα και η συγκέντρωση αποδεικτικών
στοιχείων, αλλά και η παρουσίαση τους στην δικαστική ανάκριση. Όταν τα αποδεικτικά
στοιχεία που πρέπει να συλλεχθούν είναι ψηφιακά, η τεχνογνωσία των ψηφιακών
δικανικών είναι πολύτιμη.

5.0 ΝΟΜΟΘΕΣΊΑ ΚΑΙ ΚΡΑΤΙΚΟΣ ΜΗΧΑΝΙΣΜΟΣ
6.0 Δικονομία
Για να γίνει μια ψηφιακή έρευνα πρέπει να ακολουθεί τους νομικούς περιορισμούς ενός
κράτους. Η ανάγκη για έκδοση εντάλματος για την εκκίνηση μιας ψηφιακής έρευνας εξαρτάται
από την υπάρχουσα νομοθεσία μιας χώρας. Η νομοθεσία μιας χώρας μπορεί να αλλάξει, οπότε
πρέπει να οι αρμόδιοι φορείς να είναι συνεχώς ενημερωμένοι.
Στην Ελλάδα, η έκδοση εντάλματος για την εκκίνηση μιας ψηφιακής δικανικής έρευνας
δεν είναι πάντα αναγκαία. Μια ψηφιακή δικανική έρευνα μπορεί να διεξαχθεί χωρίς την ύπαρξη
κακουργήματος ή πλημμελήματος ανάλογα με το είδος της έρευνας. Για παράδειγμα, το
πολιτικό δίκαιο, το εμπορικό δίκαιο, και το οικογενειακό δίκαιο και άλλοι νομικοί τομείς δεν
προβλέπουν την ανάγκη έκδοσης εντάλματος , γιατί τα αποδεικτικά στοιχεία θα
χρησιμοποιηθούν σε αστικές υποθέσεις.
Αν υπάρχει όμως υποψία κακουργήματος ή πλημμελήματος, υπάρχουν πιθανότητες η
έκδοση εντάλματος να είναι αναγκαία, αφού η έρευνα μπορεί να γίνει μέρος ποινικής
διαδικασίας. Ο νόμος που ορίζει τις ψηφιακές δικανικές έρευνες στην Ελλάδα καθορίζεται από
τον κώδικα δικονομίας (άρθρα 386 και επόμενα). Σε περίπτωση που αντληθούν στοιχεία χωρίς
να ακολουθηθεί η νόμιμη διαδικασία, όσο χρήσιμα και να είναι δεν μπορούν να
χρησιμοποιηθούν στο δικαστήριο ως πειστήρια και αποδείξεις. Αυτό συμβαίνει για την
εξασφάλιση του δικαιώματος της ιδιωτικότητας του κάθε πολίτη[2].

Για να εκδοθεί ένταλμα στην Ελλάδα, ο εισαγγελέας πρέπει να υποβάλει αίτηση από το
αρμόδιο δικαστήριο και να δοθούν λεπτομερείς πληροφορίες για αυτό, τον λόγο που πρέπει να
γίνει η ψηφιακή δικανική έρευνα, τους στόχους της και τα επιδιωκόμενα αποτελέσματά της και
με τι μέσα θα διεξαχθεί.
7.0 Δίωξη ηλεκτρονικού εγκλήματος
Εκτός από τις επιχειρήσεις που απασχολούν άτομα με γνώσεις ψηφιακής δικανικής έρευνας,
υπάρχουν και οργανώσεις οι οποίες εξειδικεύονται σε αυτό. Μια από αυτές είναι η δίωξη
ηλεκτρονικού εγκλήματος (ΔΗΛΕ). Η διεύθυνση ηλεκτρονικού εγκλήματος (ΔΙ.Δ.Η.Ε)
ιδρύθηκε το 2014 με προεδρικό διάταγμα Π.Δ 178/2014 με έδρα την Αθήνα, ενώ η
υποδιεύθυνση της έχει έδρα την Θεσσαλονίκη. Η δίωξη ηλεκτρονικού εγκλήματος ανήκει στον
δημόσιο τομέα, είναι υπηρεσία και συνεργάζεται με την ελληνική αστυνομία και τις αρχές. Το
τμήμα που συνεργάζεται με την αστυνομία λέγεται υπηρεσία ηλεκτρονικού εγκλήματος της
ελληνικής αστυνομίας (ΥΗΛΕ).
Βάση της επίσημης ιστοσελίδας της ελληνικής αστυνομίας, η διεύθυνση ηλεκτρονικού
εγκλήματος αποτελείται από πέντε τμήματα:
 Διοικητικής υποστήριξης και διαχείρισης πληροφοριών[5]: Το τμήμα αυτό
υποστηρίζει την υπηρεσία γενικότερα, διαχειριζόμενο θέματα του προσωπικού,
προσφέρει γραμματειακή, διοικητική και τεχνική υποστήριξη. Επίσης συλλέγει,
επεξεργάζεται αναλύει και προωθεί πληροφορίες στα αρμόδια τμήματα. Τέλος, μεριμνά

για την εκπαίδευση του προσωπικού της σε θέματα καταπολέμησης ηλεκτρονικών
εγκλημάτων.
 Καινοτόμων δράσεων και στρατηγικής[5]: Αυτό το τμήμα ενημερώνει τους πολίτες για
τους κινδύνους του ηλεκτρονικού εγκλήματος και την προστασία τους με αυτό,
διοργανώνοντας συνέδρια, ημερίδες και τηλεδιασκέψεις. Διαχειρίζεται τα κοινωνικά
δίκτυα και ενημερώνει και ευαισθητοποιεί τους πολίτες για τις δράσεις της. Επίσης,
σχεδιάζει και αναλύει στρατηγικές για το κυβερνοέγκλημα. Ετησίως το τμήμα κάνει
έρευνα και καταγράφει κυβερνοεπιθέσεις και τους τρόπους με τους οποίους έγιναν σε
διεθνές και παγκόσμιο επίπεδο καθώς και καταγραφή στατιστικών στοιχείων και
δράσεων.
 Ασφάλειας ηλεκτρονικών και τηλεφωνικών επικοινωνιών και προστασίας
λογισμικού και πνευματικών δικαιωμάτων[2,5]: Το προαναφερθέν τμήμα χειρίζεται
υποθέσεις παραβίασης υπολογιστικών συστημάτων και παράνομης διακίνησης
λογισμικού. Συνεργάζεται με άλλες αρμόδιες υπηρεσίες που διερευνούν τέτοιες
υποθέσεις και υποστηρίζει τα άλλα τμήματα της υπηρεσίας στις υποθέσεις τους όπου
χρειάζεται.
 Διαδικτυακής προστασίας ανηλίκων και ψηφιακής διεύρυνσης[2,5]: Εξιχνιάζει τα
εγκλήματα που γίνονται ψηφιακά εναντίων των ανηλίκων και των παιδιών, αναλαμβάνει
υποθέσεις παρενόχλησης (cyber bullying) και ρατσισμού μέσω διαδικτύου και βοηθάει
στην αποτροπή αυτοκτονιών εάν αναγγελθούν από το διαδίκτυο.
 Ειδικών υποθέσεων και δίωξης διαδικτυακών οικονομικών εγκλημάτων[5]: Σε
συνεργασία με την διεύθυνση οικονομικής αστυνομίας, αρμόδιες εθνικές αλλά και

διεθνείς ομάδες, δουλεύει για την εξιχνίαση οικονομικών εγκλημάτων που διαπράχθηκαν
με ψηφιακό τρόπο εναντίων της εθνικής οικονομίας ή παρουσιάζουν χαρακτηριστικά
οργανωμένου εγκλήματος και απαιτούν εξειδικευμένη τεχνογνωσία για να
αντιμετωπιστούν. Τέλος, ελέγχει και ερευνά συνεχώς το διαδίκτυο για την ανίχνευση και
αντιμετώπιση εγκλημάτων που είναι στην αρμοδιότητα του τμήματος.
8.0 CIRT
Ο όρος CIRT (Computer Incident Response Team) στα ελληνικά σημαίνει «ομάδα αντίδρασης
σε περιστατικά ηλεκτρονικής ασφάλειας». Οι CIRT είναι αρμόδιες ομάδες που όπως
προαναφέρθηκε αντιμετωπίζουν εγκλήματα που συμβαίνουν στον ψηφιακό χώρο και
συνεργάζονται με την διεύθυνση δίωξης ηλεκτρονικού εγκλήματος και τις αρχές του κράτους.
Υπάρχουν εταιρικά CIRT, κυβερνητικά, διεθνή και ακαδημαϊκά. Μερικές από τις πιο γνωστές
CIRT είναι οι παρακάτω:
 CERT/CC (Computer Emergency Response Team Coordination Center): Δημιουργήθηκε
από το Πανεπιστήμιο Carnegie Mellon το 1988 και λειτουργεί υπό την εποπτεία του
CERT στο πλαίσιο του τμήματος μηχανικών λογισμικού. Ερευνά, αναλύει και παρέχει
πληροφορίες για ηλεκτρονικά εγκλήματα και κυβερνοεπιθέσεις που συμβαίνουν αν τον
κόσμο. Ακόμα ενημερώνει για εργαλεία και στρατηγικές για την ενίσχυση της
ασφάλειας στον ψηφιακό χώρο.
 US-CERT (United States Computer Emergency Readiness Team): Η ομάδα αυτή εδρεύει
στις ΗΠΑ και ασχολείται με προβλήματα στις κρίσιμες υποδομές της. Οργανώθηκε το

2003 και λειτουργεί υπό την αιγίδα του υπουργείου εσωτερικής ασφάλειας των ΗΠΑ.
Συνεργάζεται με εταιρείες του ιδιωτικού τομέα, τις κυβερνητικές αρχές και άλλους
συνεργάτες διεθνώς.
 Europol EC3 (European Cybercrime Center): Η Europol έχει την EC3, η οποία είναι μια
ειδική μονάδα που καταπολεμά το κυβερνοέγκλημα στην Ευρωπαϊκή Ένωση.
Δημιουργήθηκε το 2013 και συνεργάζεται με κράτη μέλη της ΕΕ και παρέχει
πληροφορίες, συντονισμό και τεχνική υποστήριξη σε αυτά για την αποτελεσματικότερη
αντιμετώπιση του κυβερνοεγκλήματος. Ακόμη, προσφέρει προγράμματα εκμάθησης
και χρηματοδοτεί προσπάθειες εκπαίδευσης, εργαστήρια και μοιράζεται τις καλύτερες
πρακτικές για την καλύτερη επιμερισμένη αντιμετώπιση του κυβερνοεγκλήματος.
Συνεργάζεται με τον ιδιωτικό τομέα και ακαδημίες και πανεπιστήμια. Τέλος, κάνει
έρευνα για τις νεότερες απειλές και μεθόδους επιθέσεων και καινοτομικούς τρόπους
για να τις επιλύσει.
 FIRST(Forum of Incident Response and Security Teams): Είναι παγκόσμιος οργανισμός
που οργανώνει συνέδρια με άλλες ομάδες CIRT για ανταλλαγή γνώσεων. Επίσης,
υποστηρίζει την κοινότητα και τα μέλη της στην αντιμετώπιση περιστατικών
κυβερνοασφάλειας παρέχοντας συμβουλές, πόρους και μια πλατφόρμα επικοινωνίας.
Η Interpol είναι ο διεθνής οργανισμός αστυνομικής συνεργασίας. Η Interpol ασχολείται και με
ζητήματα κυβερνοασφάλειας και συνεργάζεται με τις αντίστοιχες διευθύνσεις των αστυνομιών
για την επίλυση τους. Καταπολεμά το διασυνοριακό έγκλημα συντονισμένα και

αποτελεσματικά και είναι εκείνη που εκδίδει διεθνείς αναζητήσεις εγκληματιών (διακήρυξη
καταζητούμενου) και παρέχει εκπαίδευση σε αστυνομικούς διεθνώς σε θέματα
εγκληματολογίας και κυβερνοασφάλειας.

2. ΜΕΘΟΔΟΛΟΓΙΕΣ ΕΡΕΥΝΑΣ
2.1 ΤΟΜΕΙΣ ΕΡΕΥΝΑΣ
2.1.1 Λειτουργικά συστήματα
Η ψηφιακή δικανική έρευνα στα λειτουργικά συστήματα είναι η συλλογή χρήσιμων
πληροφοριών από αυτά και τις συσκευές. Τα λειτουργικά συστήματα είναι το πρώτο πράγμα που
εκτελείται όταν ανοίγει ένας υπολογιστής[1], για παράδειγμα τα Windows, το Linux, η macOS.
Τα λειτουργικά μεταξύ τους έχουν κάποιες διαφορές, μαθαίνοντας το λειτουργικό σύστημα του
επιτιθέμενου παίρνουμε κάποιες πρώτες πληροφορίες που θα μας βοηθήσουν να διαγνώσουμε
τον τρόπο επίθεσης του και την ταυτότητα του.
Η ψηφιακή δικανική έρευνα στα λειτουργικά συστήματα αποσκοπεί στην αναγνώριση
ύποπτες ενέργειες και αρχεία σε έναν υπολογιστή ή μια συσκευή. Μια τεχνική για τον σκοπό
αυτό είναι η συναρτήσεις hash. Οι συναρτήσεις hash [1] είναι μαθηματικές συναρτήσεις όπως για
παράδειγμα η SHA-256, με τις οποίες μπορούμε να υπολογίσουμε μια μοναδική ακολουθία
αριθμών και χαρακτήρων (ένα hash). Όταν το hash που υπολογίζουμε εκ των υστέρων είναι ίδιο
ακριβώς με το hash που προϋπήρχε, σημαίνει πως το αρχείο/λογισμικό πρόγραμμα/δεδομένα δεν
έχουν αλλοιωθεί ή αλλάξει. Η διαδικασία αυτή λέγεται “hash matching” και χρησιμοποιείται
στην κρυπτογραφία και τον έλεγχο ακεραιότητας δεδομένων.

Σε ένα δίσκο μπορεί να υπάρχουν αρχεία που να έχουν λάθος όνομα ή λάθος επέκταση.
Υπάρχουν εργαλεία που μπορούν να αναζητήσουν και να βρουν τέτοια αρχεία και η διαδικασία
αυτή ονομάζεται «αναζήτηση αρχείων με λάθος ονομασίες» (misnamed file searching). Ο
σκοπός της διαδικασίας αυτής είναι η αποκατάσταση δεδομένων από backup ή έπειτα από
προβλήματα συστήματος και η εύρεση αρχείων που είχαν χαθεί ή μετονομαστεί λάθος. Άλλος
σκοπός της διαδικασίας, είναι η ανίχνευση κακόβουλου λογισμικού. Η ανίχνευση κακόβουλου
λογισμικού μπορεί να είναι στατική ή δυναμική. Η στατική ανάλυση είναι η εξέταση του
κώδικα, των συναρτήσεων, των δομών δεδομένων και άλλων χαρακτηριστικών χωρίς την
εκτέλεση του λογισμικού. Η δυναμική ανάλυση είναι η εκτέλεση του λογισμικού σε ελεγχόμενο
περιβάλλον όπως μια εικονική μηχανή (virtual machine), για την καλύτερη κατανόηση της
συμπεριφοράς του. Μερικά κακόβουλα λογισμικά μετονομάζουν αρχεία για να κρύψουν την
παρουσία τους. Η ανίχνευση αυτής της μετονομασίας μπορεί να οδηγήσει στην ανακάλυψη και
εξάλειψη κακόβουλου λογισμικού. Τέλος, οι χρήστες κάνουν λάθη και η διαδικασία μπορεί να
τα ανακαλύψει και να διορθωθούν.
Στα λειτουργικά υπάρχουν τρόποι ανάκτησης πηγών δεδομένων που μπορεί να
χρησιμοποιηθούν ως αποδείξεις. Τέτοιες πηγές είναι:
 Αρχεία LNK[1]: Είναι συντομεύσεις αρχείων στα windows (.LNK), τα οποία περιέχουν
μεταδεδομένα για αρχεία ή φακέλους. Τέτοια μεταδεδομένα είναι η διαδρομή (path), ο
στόχος (target), το εικονίδιο (icon) και συγκεκριμένες ρυθμίσεις.
 Αρχεία Prefetch[1]: Ο σκοπός των αρχείων αυτών είναι η επιτάχυνση της φόρτωσης
εφαρμογών και του συστήματος. Οι εφαρμογές που χρησιμοποιούνται συχνά
καταγράφονται όπως επίσης και το πόσους πόρους χρησιμοποιούν και πως. Επίσης

καταγράφεται και ποιες εφαρμογές έχουν τρέξει πότε, την ώρα, για πόση ώρα, όνομα και
μέγεθος. Τυπικά βρίσκονται στον κατάλογο “C:\Windows\Prefetch” και έχουν την
κατάληξη “.pf”.
 Καταγραφή συμβάντων[1]: Τα event logs είναι σημαντικά για την διάγνωση και την
ανάλυση διαφόρων προβλημάτων και σφαλμάτων και γενικά να παρακολουθείται η
απόδοση του συστήματος. Υπάρχουν τρεις κατηγορίες συμβάντων. Η καταγραφή
εφαρμογών που είναι εκκινήσεις, διακοπές, σφάλματα εφαρμογών που τρέχουν στο
σύστημα. Η καταγραφή συστήματος που καταγράφει γενικά συμβάντα του λειτουργικού
όπως εκκινήσεις, σφάλματα, πληροφορίες για το hardware και άλλα. Και το αρχείο
ασφαλείας, το οποίο καταγράφει προσπάθειες σύνδεσης, αλλαγές στις ρυθμίσεις
ασφαλείας και γενικά συμβάντα που έχουν να κάνουν με την ασφάλεια του συστήματος.
Οι καταγραφές αυτές γίνονται και σε σέρβερ και έχουν έναν «μαγικό» αριθμό που είναι
μοναδικός.
 Ο κάδος ανακύκλωσης[1]: Δίνει την δυνατότητα να επαναφερθούν αρχεία που είχαν
διαγραφεί, καθώς κρατάει τα αντίγραφα τους. Αυτό λέγεται «απαλή» διαγραφή.
 Ανάλυση υπηρεσιών[1]: Είναι η αξιολόγηση των υπηρεσιών ενός λειτουργικού συστήματος
και εξετάζει τους πόρους που χρησιμοποιούνται. Δηλαδή πόση CPU, RAM ή εύρος ζώνης
δικτύου απαιτούν οι υπηρεσίες. Τις εξαρτήσεις τους, δηλαδή ποιες άλλες υπηρεσίες τις
χρειάζονται για να προχωρήσουν τη διαδικασία τους. Και την συχνότητα χρήσης τους.
 Καταχώρηση μητρώου: Ο τομέας του λειτουργικού συστήματος που αποθηκεύονται
πληροφορίες ρυθμίσεων υλικού και λογισμικού, χρηστών, εφαρμογών και άλλα. Είναι

σημαντική βάση δεδομένων και τυχόν τροποποιήσεις πρέπει να γίνονται με προσοχή και από
έμπειρους χρήστες ή τεχνικούς.
 Εγκατεστημένα προγράμματα: Ο έλεγχος των εγκατεστημένων προγραμμάτων σε έναν
υπολογιστή ή συσκευή.
 Δραστηριότητα χρήστη: Οι ενέργειες των χρηστών όπως ο τρόπος πλοήγησης στο
διαδίκτυο, οι εκτελούμενες εφαρμογές, τα αρχεία που ανοίγει, κάθε υλική συσκευή που
συνδέει όπως τα USB, οι λήψεις του και οι αλληλεπιδράσεις μεταξύ χρηστών. Η
παρακολούθηση των δραστηριοτήτων αυτών συμβάλει στην ασφάλεια του συστήματος, την
διαχείριση πόρων και την αποτελεσματικότητα της εξυπηρέτησης του χρήστη.
 Κωδικοί[1]: Η πρόσβαση σε εφαρμογές και προφίλ απαιτούν κωδικούς. Οι φιλομετρητές
δίνουν την επιλογή αποθήκευσης αυτών των κωδικών. Έτσι υπάρχει η ικανότητα ανάκτησης
αυτών, αλλά και κωδικών που χρησιμεύουν στην ενεργοποίηση λογισμικών για την
επαλήθευση γνησιότητας τους.
 AmCache[1]: Μια βάση δεδομένων που διατηρεί πληροφορίες όπως οι διαδρομές αρχείων,
χρονοσφραγίδες για την δημιουργία και την τροποποίηση τους, ψηφιακές υπογραφές
αρχείων, κατέβασμα εφαρμογών ή την εκτέλεση τους από εξωτερικές επισυναπτόμενες
συσκευές. Είναι ένα αρχείο που λέγεται “Amcache.hve”.
 Χρονοδιάγραμμα (Timeline)[1]: Είναι η οργάνωση των δραστηριοτήτων που συμβαίνουν σε
έναν υπολογιστή σε χρονολογική σειρά, αφού η συλλογή τους έγινε από έτοιμα αρχεία
μεταδεδομένων από το λειτουργικό.
 Τηλεμετρία (Telemetry)[1]: Είναι μια αυτοματοποιημένη επικοινωνία από απομακρυσμένες
πηγές (χρήστες) σε έναν προορισμό (εταιρία). Συλλέγει, αποθηκεύει και μετράει

πληροφορίες σχετικά με την απόδοση συστημάτων, τα σφάλματα που μπορεί να προκύψουν
και στατιστικά στοιχεία. Φυσικά για να γίνει αυτό πρέπει να υπάρχει συγκατάθεση από τους
χρήστες. Σκοπός της είναι η βελτίωση της εμπειρίας των χρηστών, την καλύτερη επίλυση
προβλημάτων και την παρακολούθηση θεμάτων ασφαλείας.
 SRUM (System Resource Usage Monitor)[1]: Είναι μια λειτουργία των Windows που
παρέχει δεδομένα για την χρήση των πόρων ενός συστήματος. Όπως, τον χρόνο που
καταναλώθηκαν και από ποια εφαρμογή, για πόσο εκτελούνταν η εφαρμογή, τη χρήση της
μνήμης και των δίσκων, μεταφορές δεδομένων και συμβάντα μέσω δικτύου. Μέσα από αυτή
την λειτουργία μπορούν να βγουν συμπεράσματα για την δραστηριότητα των χρηστών σε
σχέση με τους πόρους που χρησιμοποίησε. Για τα Linux υπάρχουν άλλα εργαλεία που
κάνουν παρόμοια δουλειά όπως top/htop, sar, iotop.
2.1.2 Σύστημα αρχείων και δίσκος
Η συσχέτιση λειτουργικών συστημάτων και συστημάτων αρχείων και δίσκων είναι άρρηκτη. Το
σύστημα αρχείων είναι αναγκαίο σε ένα υπολογιστικό σύστημα καθώς οργανώνει τα πράγματα
και χωρίς αυτό θα κατέρρεε. Υπάρχουν διάφορα συστήματα αρχείων, αλλά τα βασικά
χαρακτηριστικά σε όλα είναι τα ονόματα των αρχείων, οι φάκελοι και οι κατάλογοι, η διαχείριση
χώρου και τα μεταδεδομένα. Στο δίσκο υπάρχουν δεδομένα που αν συλλεχθούν και αναλυθούν
μπορούν να εξάγουν τα περιεχόμενα από ένα αρχείο ή να επαναφέρουν ένα διαγραμμένο
αρχείο[1].

Μία τεχνική ψηφιακής δικανικής έρευνας είναι η υπογραφή δίσκου (drive signature).
Μέσα από αυτή, μπορούμε να μάθουμε για την δομή δεδομένων και πως είναι αποθηκευμένα
στον δίσκο, τον τύπο αρχείων που είναι αποθηκευμένα στον δίσκο, τις υπογραφές αρχείων και
τα μοτίβα τους και την διαμόρφωση του δίσκου που αναφέρεται στο μέγεθος των τομέων
(sectors), στο σύστημα αρχείων κ.α. Η εικόνα παρουσιάζει ποιοι είναι οι τομείς, τα
διαμερίσματα και οι συστάδες στον δίσκο. Οι υπογραφές αρχείων μπορούν να δείξουν και ποια
προγράμματα δημιούργησαν τα αρχεία. Γνωστά σύστημα αρχείων είναι το NTFS των windows,
το FAT32, exFAT της macOS και το Ext 4 (Linux). Τα υποστηριζόμενα συστήματα αρχείων
από κάθε λειτουργικό τα παρουσιάζει ο πίνακας .
Οι δίσκοι έχουν μερικά «κρυφά» σημεία τα οποία δεν είναι εύκολα ορατά από τις
κανονικές λειτουργίες του συστήματος. Υπάρχουν κρυφά αρχεία και φάκελοι που αποθηκεύουν
πληροφορίες που δεν πρέπει να είναι προσβάσιμες στον κοινό χρήστη για να μην πειράξει
πράγματα και λειτουργίες που είναι σημαντικές για την λειτουργία του συστήματος. Επίσης,
υπάρχουν κρυφά διαμερίσματα και τομείς που δεν είναι προσπελάσιμοι από το λειτουργικό
σύστημα. Χρησιμοποιούνται για να αποθηκεύουν πληροφορίες και κώδικα για την εκκίνηση του
υπολογιστή. Ένα παράδειγμα τομέων και διαμερισμάτων παρουσιάζεται στην εικόνα .
Τα βασικότερα χαρακτηριστικά που πρέπει να έχει ένα εργαλείο δικανικής έρευνας είναι
τα παρακάτω:
 File System Explorer[1]: Είναι εργαλείο που παρουσιάζει ιεραρχικά τα αρχεία και τους
καταλόγους ενός συστήματος για την διευκόλυνση του ερευνητή. Βοηθάει στην
περιήγηση στο σύστημα αρχείων και την διαχείριση τους, στην φιλτραρισμένη
αναζήτηση και προβολή πληροφοριών τους.

 Αναζήτηση διαγραμμένων αρχείων και επαναφορά[1]: Οι εγκληματίες συνήθως
προσπαθούν να καλύψουν τα ίχνη τους διαγράφοντας και καταστρέφοντας αρχεία, άρα
είναι σημαντικό να υπάρχει η δυνατότητα επαναφοράς τους. Η διαδικασία αυτή
ονομάζεται “carving”. Τα εργαλεία αναζητούν πρότυπα στα δεδομένα για την
αναγνώριση διαγραμμένων αρχείων και την ανάκτηση τους. Τα πρότυπα αυτά έχουν
δείκτες ή μοτίβα που ορίζουν την αρχή και το τέλος ενός αρχείου. Τα αρχεία αυτά μπορεί
να είναι διαφόρων τύπων, για παράδειγμα έγγραφα, εικόνες βίντεο και τα λοιπά.
 Slack space[1]: Είναι ο ανεκμετάλλευτος χώρος σε ένα δίσκο ή σε ένα αποθηκευτικό
μέσο. Όταν ένα αρχείο διαγράφεται αφήνει κενό χώρο. Ένα άλλο αρχείο καταλαμβάνει
τον κενό αυτό χώρο. Πολλές φορές όμως δεν τον καταλαμβάνει ολόκληρο και αυτό που
μένει ονομάζεται slack space. Ο χώρος αυτός αν δεν γραφθεί από πάνω περιέχει
κατάλοιπα του αρχείου που είχε διαγραφθεί προηγουμένως και μπορεί να βοηθήσει την
έρευνα.
 Hex viewer[1]: Το εργαλείο αυτό προβάλλει τα αρχεία σε δεκαεξαδική μορφή και κάθε
byte παίρνει τιμές από 00 έως FF. Η ανάλυση των αρχείων σε δεκαεξαδική μορφή μπορεί
να εντοπίσει κρυφά δεδομένα ή μοτίβα. Επίσης είναι δυνατή η επεξεργασία δεδομένων
και μνήμης. Η προβολή γίνεται και σε άλλες μορφές όπως ASCII, δεκαδικό και άλλα.
Δημοφιλή hex viewers είναι τα XVI32 για Windows, το Bless για το Linux και τα HxD,
HexFiend για το macOS.
 Volume Shadow Copy Service[1]: Είναι αντίγραφα ασφαλείας αρχείων στα Windows
ακόμα και όταν τα αρχεία χρησιμοποιούνται από εφαρμογές ή το λειτουργικό. Είναι
χρήσιμα για backup και βοηθούν και στην ψηφιακή δικανική έρευνα.

 Registry[1]: Είναι ένα ιεραρχημένο μητρώο των Windows που αποτελείται από κλειδιά
και τιμές, στο οποίο μπορούν να βρεθούν σημαντικές πληροφορίες. Όπως ρυθμίσεις του
υπολογιστή, ιστοσελίδες που ο χρήστης επισκέφθηκε πρόσφατα, συνδεδεμένες
εξωτερικές συσκευές και τροποποιημένα έγγραφα. Οι βασικοί τύποι τιμών που μπορούν
να αποθηκευτούν στο μητρώο είναι αλφαριθμητικές (strings), ακέραιοι, δυαδικές τιμές
(binary) και αναφορές σε άλλα κλειδιά και άλλους τύπους δεδομένων.
 Αρχείο αδρανοποίησης (hibernation file): Το αρχείο αυτό αποθηκεύει την κατάσταση
του υπολογιστή από την μνήμη RAM στον σκληρό δίσκο πριν την αδρανοποίηση του.
Μετά την επαναφορά του υπολογιστή το αρχείο αυτό επιτρέπει την ακριβή επαναφορά
του συστήματος πριν την αδρανοποίηση.
 Αρχείο σελιδοποίησης (paging file)/Αρχείο ανταλλαγής (swap file): Σε αυτό το αρχείο
μεταφέρονται δεδομένα από την RAM τα οποία δεν χρησιμοποιούνται επί του παρόντος
εκ μέρους του λειτουργικού συστήματος, για να δοθεί περισσότερος χώρος RAM για την
εκτέλεση του τρέχοντος κώδικα. Το αρχείο αυτό διαχειρίζεται την εικονική μνήμη
(virtual memory) στα Windows. Το αρχείο σελιδοποίησης είναι για τα windows, ενώ το
αρχείο ανταλλαγής είναι το αντίστοιχο για τα Linux.
 Ανακατασκευή RAID (Redundant Array of Independent Disks)[1]: Η διαδικασία
επαναφοράς δεδομένων μετά από απώλεια ενός ή παραπάνω δίσκων. Η κατασκευή ενός
χάρτη RAID γίνεται με ένα σετ εικόνων δίσκου (disk images). Υπάρχουν διάφοροι τύποι
RAID. Στον RAID 0 δεν υπάρχει ανεξάρτητη αποθήκευση δεδομένων (striping). Αυτό
σημαίνει ότι αν ένας δίσκος υποστεί βλάβη δεν υπάρχει η δυνατότητα ανακατασκευής
αλλά πρέπει η αποκατάσταση να γίνει με κάποιο ξεχωριστό backup. Στο RAID 1 τα

δεδομένα αντιγράφονται σε διπλούς δίσκους (mirroring). Έτσι αν ένας δίσκος πάθει
βλάβη τα δεδομένα υπάρχουν στον άλλο. Στα RAID 5/6/10.. η ανακατασκευή των
δεδομένων είναι πιο πολύπλοκη και χρονοβόρα καθώς πρέπει να συλλεχθούν δεδομένα
που είναι αποθηκευμένα σε πολλούς διαφορετικούς δίσκους σωστά. Επιτρέπει όμως η
αποκατάσταση να γίνει χωρίς να διακοπεί η λειτουργία του συστήματος.
2.1.3 Μνήμη σε ζωντανή λειτουργία
Με τον όρο μνήμη σε ζωντανή λειτουργία εννοούμε την RAM. Η RAM είναι η ενδιάμεση
μνήμη μεταξύ του αποθηκευτικού χώρου και του επεξεργαστή. Ο τρόπος που η RAM έχει
πρόσβαση σε δεδομένα είναι διαφανής. Η έρευνα στην RAM περιλαμβάνει ανάκτηση
πληροφοριών σχετικά με διεργασίες που εκτελούνται στο σύστημα και σχετικά με τις συνδέσεις
του δικτύου, εντοπισμός κακόβουλων λογισμικών ή πράξεων και ανάκτηση δεδομένων που
έχουν διαγραφεί αλλά μπορεί να παραμένουν στην μνήμη [1]. Η μνήμη σε ζωντανή λειτουργία
επιτρέπει να γίνει η έρευνα χωρίς την αναγκαστική απενεργοποίηση του συστήματος. Μερικά
από τα πιο σημαντικά χαρακτηριστικά των εργαλείων για έρευνα μνήμης σε ζωντανή λειτουργία
είναι:
 Γραμμή εντολών (CLI)/Γραφικό περιβάλλον (GUI)[1]: Μερικά εργαλεία παρέχουν
γραφικό περιβάλλον για να είναι πιο προσιτά στον χρήστη, μερικά παρέχουν μόνο
γραμμή εντολών ενώ άλλα προσφέρουν και τα δύο για χρήση.
 Απομακρυσμένη πρόσβαση[1]: Ο ερευνητής μπορεί να θέλει να συλλέξει τα στοιχεία με
τη βοήθεια ηλεκτρονικού πράκτορα, τον οποίο θα ελέγχει από τον δικό του υπολογιστή.

 Απόκτηση δεδομένων[1]: Μερικά εργαλεία δεν υποστηρίζουν την συλλογή δεδομένων
αλλά μόνο την ανάλυση τους.
 Πολλαπλότητα χρηστών[1]: Πολλές φορές μια έρευνα γίνεται από πολλούς ερευνητές
ταυτόχρονα. Οπότε είναι χρήσιμο το εργαλείο να μπορεί να κρατήσει τις πράξεις του
κάθε ερευνητή ξεχωριστά.
 Υποστηριζόμενες εκδόσεις[1]: Τα συστήματα έχουν διαφορετικές επεκτάσεις μεταξύ
τους, οπότε είναι καλό τα εργαλεία να υποστηρίζουν όσες περισσότερες γίνεται για να
αναλύσουν την μνήμη. Το ίδιο ισχύει και για τα λειτουργικά. Όσα περισσότερα
λειτουργικά συστήματα υποστηρίζει το εργαλείο, τόσο το καλύτερο.
 Γραφική παρουσίαση[1]: Κάποια εργαλεία επιτρέπουν την παρουσίαση αποτελεσμάτων
με γραφικό τρόπο έτσι ώστε να είναι πιο εύκολα κατανοητά.
2.1.4 Δίκτυο (Network)
Ο στόχος της δικανικής έρευνας στο δίκτυο είναι η παρακολούθηση της κίνησης σε αυτό και σε
περίπτωση επίθεσης, η αναγνώριση της πηγής της. Αποτελείται από διάφορες συσκευές και
συστήματα, όπως routers, switches, IPS-IDS (Intrusion prevention and detection systems),
έξυπνες συσκευές. Το δίκτυο μπορεί να κατηγοριοποιηθεί σε χώρο δικτύου (LAN/MAN/WAN).
Το LAN (Local Area Network) είναι το τοπικό δίκτυο περιοχής που συνδέει υπολογιστές σε
κοντινές αποστάσεις όπως ένα σπίτι ή ένα γραφείο. Το MAN (Metropolitan Area Network) είναι
δίκτυο μητροπολιτικής περιοχής και έχει εμβέλεια μεγαλύτερη από ένα LAN αλλά μικρότερη
από ένα WAN. Μπορεί περίπου να καλύψει μια πόλη και συνήθως χρησιμοποιείται από
οργανισμούς που θέλουν μεγαλύτερη εμβέλεια από ένα κτήριο. Συνδέει πολλά LAN μαζί. Το
WAN (Wide Area Network) είναι δίκτυο ευρείας περιοχής και καλύπτουν μεγάλες γεωγραφικές

περιοχές μέχρι και χώρες. Το χρησιμοποιούν οι μεγάλες επιχειρήσεις, οργανισμοί, πολυεθνικές

και τηλεπικοινωνιακές εταιρίες.
Άλλη κατηγοριοποίηση είναι η προσβασιμότητα (public/private/hybrid). Στα δημόσια
δίκτυα έχουν πρόσβαση όλοι χωρίς την χρήση κωδικού και για αυτό τον λόγο είναι και τα πιο
ευπαθή σε επιθέσεις. Συνήθως παρέχεται σε αεροδρόμια, εστιατόρια, πλατείες και γενικώς
δημόσιους χώρους με τη χρήση Wi-Fi hotspots. Αντιθέτως, τα ιδιωτικά ζητάνε κωδικό και έχουν
καλύτερη προστασία σε επιθέσεις. Τα hybrid δίκτυα προσβασιμότητας συνδυάζουν και τις δύο
μεθόδους πρόσβασης.
Τελευταία κατηγοριοποίηση είναι αν το δίκτυο συνδέεται ενσύρματα (wired) ή
ασύρματα (wireless). Τα ασύρματα δίκτυα είναι πιο ευέλικτα στη χρήση καθώς προσφέρουν
σύνδεση στο διαδίκτυο από οποιαδήποτε περιοχή. Τα ενσύρματα προσφέρουν καλύτερες
ταχύτητες λήψης (download) και μεταφόρτωσης (upload).
Σημαντικά χαρακτηριστικά υποστήριξης για την επιλογή του σωστού εργαλείου, είναι τα
παρακάτω.
 NetFlow[1]: Είναι ένα πρωτόκολλο παρακολούθησης της κίνησης ενός δικτύου. Ελέγχει
τις πηγές και τους προορισμούς της κίνησης των δεδομένων, την συλλογή των πακέτων
που διακινούνται, τους τύπους των άλλων πρωτοκόλλων που χρησιμοποιούνται (πχ.
HTTP, FTP) και την διάρκεια των επικοινωνιών που εκτελούνται και πόσο γρήγορα
έρχονται οι απαντήσεις. Βοηθάει στην ανίχνευση επιθέσεων ή λαθών και την εφαρμογή
των πολιτικών του εύρους μπάντας.
 OS Fingerprints[1]: Η αναγνώριση του λειτουργικού είναι σημαντική για την κατανόηση
πιθανών ευπαθειών και την τοποθέτηση αντιμέτρων σε πιθανές επιθέσεις. Αυτό μπορεί
να επιτευχθεί με μεθόδους όπως ανάλυση της απόκρισης δικτύου (network responses),
αναγνώριση των πακέτων που διατρέχουν το δίκτυο και οι πληροφορίες από
αυθεντικοποιήσεις (authentication information).
 Port Scanner[1]: Το port scanner είναι τεχνική που ανιχνεύει σε ποιες θύρες πάνω στο
δίκτυο εκτελούνται ποιες υπηρεσίες και πρωτόκολλα. Με αυτόν τον τρόπο μπορούν να
εντοπιστούν ευπάθειες και πιθανά σημεία επιθέσεων από ανοιχτές θήρες. Το

δημοφιλέστερο εργαλείο που υποστηρίζουν port scanner είναι το Nmap. Η αλόγιστη

χρήση του όμως μπορεί να θεωρηθεί πρόθεση επίθεσης.
 Banner grabber[1]: Η διαδικασία επιστροφής ενός “banner” από έναν διακομιστή όταν ο
χρήστης συνδέεται σε αυτόν, επιστρέφει κάποιες πληροφορίες για το λογισμικό που
εκτελείται, την έκδοση του, τις υπηρεσίες που προσφέρει μέσω των θηρών και άλλες
πληροφορίες.
 Ανάλυση απειλών (threat analysis)[1]: Κάποια εργαλεία χρησιμοποιούν τεχνικές των
IDS/IPS και αξιολογούν αν υπάρχουν ευπάθειες και απειλές για ένα σύστημα, πόσο
μεγάλες είναι και τι επιπτώσεις έχουν και προτείνουν στρατηγικές αντιμετώπισης.
 Ανάκτηση δεδομένων[1]: Τυχόν πακέτα που μπορεί να χαθούν μέσα σε ένα δίκτυο λόγω
αυξημένης κίνησης και να μην φτάσουν ποτέ στον προορισμό τους, μπορούν να βρεθούν
από εργαλεία, να τα συναρμολογήσει ξανά και αυτά να βοηθήσουν στην έρευνα εν τέλη.
 Εξαγωγή συνθηματικών χρήστη[1]: Όταν ένας χρήστης συνδέεται με τα στοιχεία του σε
μια εφαρμογή, στέλνει τα στοιχεία του μέσω του διαδικτύου. Τα πακέτα που
μεταφέρονται λοιπόν στο δίκτυο μπορεί να περιέχουν κωδικούς ή κρίσιμα δεδομένα για
την ταυτοποίηση του χρήστη. Ένα εργαλείο έρευνας δικτύου μπορεί να τα συλλέξει
αυτά.
 Κρυπτογραφημένη κίνηση δικτύου: Πλέον, οι περισσότερες επικοινωνίες
κρυπτογραφούνται έτσι ώστε ακόμα και αν κλαπούν να μην μπορούν να διαβαστούν και
τα δεδομένα να διαρρεύσουν. Για να διαβαστούν πρέπει να είναι γνωστό το κλειδί
αποκρυπτογράφησης. Παρόλα αυτά, ακόμα και με την κρυπτογράφηση υπάρχουν
εργαλεία που μπορούν να ανιχνεύσουν και να αποτρέψουν επιθέσεις μέσω δικτύου.
 Συλλογή αρχείου (Log collection)[1]: Οι συσκευές δικτύου κρατάνε αρχεία καταγραφής.
Αυτά μπορούν να συλλεχθούν από τα κατάλληλα εργαλεία και να παράγουν
πληροφορίες για το πως έγινε μια επίθεση.
 Απομακρυσμένη ανάλυση[1]: Κάποια εργαλεία μπορούν να διεξάγουν δικανική έρευνα
δικτύου με απομακρυσμένη σύνδεση με το σύστημα ή την συσκευή που δέχτηκε
επίθεση.

2.1.5 Διαδίκτυο (Web)
Το διαδίκτυο είναι το μέσο επικοινωνίας του χρήστη με τον υπόλοιπο κόσμο μέσω ενός
φυλλομετρητή (web browser). Η έρευνα συλλέγει τα δεδομένα της από το ιστορικό περιήγησης,
αναζητήσεων, πληρωμών, επικοινωνίας και άλλων δραστηριοτήτων. Τα πιο αξιοσημείωτα
χαρακτηριστικά εργαλείων έρευνας για το διαδίκτυο είναι:
 Υποστηριζόμενοι φυλλομετρητές[1]: Είναι απαραίτητο για να χρησιμοποιήσουμε ένα
εργαλείο και να μας βοηθήσει στην έρευνα μας να ξέρουμε ποιους φυλλομετρητές
υποστηρίζει. Όσους περισσότερους υποστηρίζει τόσο το καλύτερο γενικότερα.
 Σελιδοδείκτες[1]: Οι χρήστες βάζουν σελιδοδείκτες στις ιστοσελίδες που χρησιμοποιούν
συχνά. Η ανακάλυψη αυτών μπορεί να δώσει πληροφορίες σχετικά με τον επιτιθέμενο
και τις μεθόδους του κατά την διάρκεια μιας έρευνας.
 Ιστορικό[1]: Με την ίδια λογική το ιστορικό ενός φυλλομετρητή μπορεί να δείξει ποιες
ιστοσελίδες επισκέφτηκε ο χρήστης, τι έκανε σε αυτές, για πόση ώρα και πόσο συχνά.
Με την παραδοχή μόνο ότι το ιστορικό διατηρείται για ένα διάστημα χρόνου, μετά
διαγράφεται.
 Λήψεις[1]: Τα αρχεία που κατεβάζει ο χρήστης φαίνονται στις λήψεις. Αν ο χρήστης
κατεβάζει για παράδειγμα παράνομα ή κακόβουλα λογισμικά αυτό μπορεί να το
ανακαλύψει η έρευνα.
 Cookies[1]: Είναι μικρά αρχεία κειμένου που αποθηκεύονται στον υπολογιστή του
χρήστη όταν επισκέπτεται μια ιστοσελίδα. Περιέχουν πληροφορίες για τις
δραστηριότητες του χρήστη στη σελίδα, τις προτιμήσεις του. Υπάρχουν απαραίτητα

cookies για την σωστή λειτουργία της ιστοσελίδας, υπάρχουν cookies απόδοσης που
στοχεύουν στην βελτίωση της σελίδας, λειτουργικότητας που έχουν να κάνουν για
παράδειγμα με την τοποθεσία του χρήστη και την γλώσσα του και τέλος διαφημιστικά
cookies, τα οποία όμως πρέπει να αποδεχτεί ο χρήστης να συλλέγονται.
 Ερωτήματα αναζήτησης[1]: Όταν ο χρήστης αναζητεί κάτι στο διαδίκτυο το ερώτημα
που γράφει διατηρείται ως λέξεις κλειδιά από τον φυλλομετρητή. Ο ερευνητής μπορεί να
βασίσει σε αυτά ένα μέρος του προφίλ του επιτιθέμενου.
 Cache[1]: Για την ταχύτερη φόρτωση ιστοσελίδων, ο φυλλομετρητής κρατάει αρχεία
cache τα οποία έχουν μέσα πληροφορίες για τις πιο συχνά επισκεπτόμενες ιστοσελίδες.
2.1.6 Email
Η επικοινωνία στο διαδίκτυο πολλές φορές γίνεται μέσω μηνυμάτων ηλεκτρονικού

ταχυδρομείου (email). Τα email είναι από τους πιο διάσημους τρόπους επιθέσεων phishing,
social engineering και κλοπή ταυτότητας (identity theft). Όταν στέλνεται ένα email, εκτός από
το περιεχόμενο περιέχει και τον αποστολέα και τον παραλήπτη, την ώρα που στάλθηκε, την
ψηφιακή υπογραφή το αποστολέα, τα πρωτόκολλα (HTTP vs SMTP) με τα οποία θα σταλθεί και
πληροφορίες για servers. Για την λήψη emails χρησιμοποιούνται τα πρωτόκολλα IMAP ή POP3.
Επίσης, υπάρχει η δυνατότητα ο αποστολέας να μπορεί να γνωρίζει αν ο αποδέκτης έχει ανοίξει
και διαβάσει ένα email ακόμα και αν δεν απαντήσει. Αυτό βοηθάει στο να μην μπορεί ο
αποδέκτης να αποφανθεί ότι δεν έχει διαβάσει ένα email αν το έχει κάνει, την μη αποποίηση της
γνώσης του δηλαδή. Τα email μπορεί να στέλνονται μέσω διαδικτύου ή και τοπικά σε ένα
κλειστό δίκτυο υπολογιστών. Η δικανική έρευνα για τα email συλλέγει τις πληροφορίες που
παράγονται όταν συντελείται μια επίθεση μέσω της διαδικασίας αποστολής ενός email. Τα κύρια
χαρακτηριστικά που πρέπει να έχει ένα εργαλείο τέτοιας έρευνας είναι τα παρακάτω:

 Headers[1]: Είναι τμήμα email που περιέχει πληροφορίες παραλήπτη και αποστολέα,
διαδρομής, χρόνου αποστολής, θέμα και τέλος λειτουργία αυθεντικοποίησης του
μηνύματος όπως DKIM (DomainKeys Identified Mails), SPF (Sender Policy
Framework). Το πρώτο είναι ένας τρόπος αυθεντικοποίησης ότι το μήνυμα έχει σταλεί
από τον αποστολέα και δεν έχει τροποποιηθεί από κάποιον άλλο. Αυτό γίνεται με την
δημιουργία της ψηφιακής υπογραφής του αποστολέα που είναι ένα ιδιωτικό κλειδί του
domain του. Το SPF είναι παρόμοιο απλά αυθεντικοποιεί τα email βάση από ποιους
διακομιστές έρχονται. Ορίζονται κάποιες εξουσιοδοτημένες πηγές και αν τα
συγκεκριμένα email δεν έρχονται από εκεί τότε θεωρούνται κακόβουλα και
απορρίπτονται. Επίσης, μέσω του header μπορεί να βρεθεί η IP του αποστολέα και είναι
χρήσιμη πληροφορία αν δεν χρησιμοποιεί VPN για να κρύψει την πραγματική του IP.
 Τύπος email[1]: Αυτό ορίζει αν ένα εργαλείο έχει δυνατότητα να αναλύσει σε ζωντανή ή
εκτός σύνδεσης λειτουργία.
 Επιλογές αναζήτησης[1]: Τα εργαλεία είναι καλό να παρέχουν αναζήτηση λέξεων
κλειδιών στην ανάλυση των emails. Ακόμα μπορούν να κάνουν τακτικούς ελέγχους και
αναζητήσεις, αναζητήσεις πάνω στα επισυναπτόμενα αρχεία και αναζητήσεις με τη
βοήθεια γράφων βάση των συνδέσεων.
 Τύπος γραμματοκιβωτίου[1]: Είναι η λίστα των υποστηριζόμενων μορφών email που
προσφέρει το εργαλείο. Όσο περισσότερες τόσο το καλύτερο.
 Υποστήριξη απεικόνισης[1]: Το εργαλείο περιγράφει αν υποστηρίζει την απεικόνιση
των email σε μια διεπαφή ή όχι.
 Ανάλυση αρχείων συστήματος[1]: Τα εργαλεία μπορούν να εξάγουν πληροφορίες μέσω
των email από αρχεία συστήματος και την μνήμη RAM με διάφορες τεχνικές. Το
χαρακτηριστικό αυτό περιγράφει ποιες τεχνικές υποστηρίζει το κάθε εργαλείο.
2.1.7 Πολυμέσα

Τα πολυμέσα πλέον είναι πολύ δημοφιλή. Οι χρήστες ανταλλάζουν συνεχώς εικόνες, ήχο, βίντεο
και πολλά άλλα. Η ψηφιακή δικανική έρευνα στα πολυμέσα είναι η ανάλυση τους για
πληροφορίες που περιέχουν, αλλά σημαντικότερα η αναγνώριση της συσκευής που παρήγαγε
την φωτογραφία/βίντεο, ποια άτομα απεικονίζονται σε αυτή αν υπάρχουν κτλ. και αν έχει
υποστεί μετατροπές από την αρχική της μορφή ή να είναι πλαστές ή αν περιέχει στενογραφία [1].
Η στενογραφία είναι τρόπος να περιέχονται πληροφορίες μέσα σε μια εικόνα χωρίς όμως να
είναι εμφανής χωρίς επεξεργασία. Καθώς τα πολυμέσα και κυρίως τα βίντεο μπορεί να είναι
υπάρχει η δυνατότητα αυτόματης ανάλυσης τους από εργαλεία. Παρακάτω είναι τα πιο
σημαντικά χαρακτηριστικά εργαλείων για δικανική έρευνα πάνω σε αυτό το πεδίο:
 Αυθεντικοποίηση εικόνων[1]: Για να αποδειχθεί πως μια εικόνα δεν έχει τροποποιηθεί ή
είναι πλαστή υπάρχουν κάποιες τεχνικές. Οι ψηφιακές υπογραφές εκμεταλλεύονται την
κρυπτογραφία για να επιβεβαιώσουν ότι η εικόνα δεν έχει αλλάξει από όταν την έφτιαξε
ο δημιουργός της. Αν είχε αλλάξει η ψηφιακή υπογραφή δεν θα ήταν η ίδια. Τα
μεταδεδομένα μιας εικόνας είναι έξτρα πληροφορίες για αυτή όπως τι ημερομηνία και
ώρα τραβήχτηκε, την τοποθεσία και τον εξοπλισμό. Επίσης, υπάρχουν τα ψηφιακά
αποτυπώματα (digital footprints) τα οποία μπορούν να ελέγξουν τα εργαλεία και η
εξωτερική επαλήθευση. Τα ψηφιακά αποτυπώματα είναι ουσιαστικά hash μαθηματικές
συναρτήσεις δηλαδή που αν αλλάξουν σημαίνει πως η εικόνα δεν είναι γνήσια και τα
ελέγχει ειδικό λογισμικό. Η εξωτερική επαλήθευση συνήθως είναι βάσεις δεδομένων που
περιέχουν αυθεντικές εικόνες ή λογισμικά ελέγχου πληροφοριών για να συγκρίνουν
εικόνες.

 Καθαρισμός: Τα βίντεο και οι εικόνες πολλές φορές εμπεριέχουν θολούρα, θόρυβο και
αντικείμενα στο προσκήνιο όπως καιρικές συνθήκες, που δυσκολεύουν την ανάλυση
τους. Αυτά μπορούν να αφαιρεθούν εντελώς ή να βελτιωθούν με τα εργαλεία, έτσι ώστε
η εικόνα και το βίντεο να είναι πιο καθαρά και επεξεργάσιμα. Τέλος υπάρχουν τεχνικές
για την ανίχνευση και μέτρηση ταχύτητας σε κινούμενα αντικείμενα (ανακατασκευή
ταχύτητας – velocity reconstruction) και οι τεχνολογίες πολλαπλών καρέ (multi-frame) η
οποία χρησιμοποιεί πολλά καρέ εικόνων και βίντεο μαζί για την βελτίωση πληροφοριών
ή την μείωση θορύβου.
 Δημιουργία βίντεο από εικόνες: Πολλές εικόνες μαζί στη σειρά μπορούν να
μετατραπούν σε ένα βίντεο.
 Υπογράμμιση: Για την ανάδειξη σημαντικών σημείων σε μια εικόνα ή βίντεο υπάρχουν
τεχνικές που εστιάζουν τον χρήστη στο σημείο ενδιαφέροντος. Αυτό γίνεται με την
αύξηση της φωτεινότητας, των χρωμάτων και της αντίθεσης στην περιοχή ενδιαφέροντος
και τη σκόπιμη προσθήκη θολούρας ή θορύβου σε μέρη που δεν είναι σημαντικά ή δεν
πρέπει να εμφανίζονται για την διασφάλιση της ιδιωτικότητας και των προσωπικών
δεδομένων, όπως πρόσωπα, πινακίδες και άλλα.
 Ανακατασκευή παραμορφωμένων εικόνων και βίντεο: Πολλές φορές αντικείμενα
μπορεί να είναι σε κίνηση ή να μην φαίνονται ολόκληρα μέσα σε μια εικόνα ή βίντεο. Η
τεχνική αυτή μπορεί να δημιουργήσει το υπόλοιπο μέρος που λείπει βάση του εμφανούς
κομματιού με μεγάλη προσέγγιση και να παρουσιάσει κινούμενα αντικείμενα σαν
σταματημένα με εμφανής λεπτομέρειες.

 Διαπλοκή και απο-διαπλοκή[1]: Τα διαπλεκόμενα βίντεο έχουν μονές γραμμές και

διπλές γραμμές που συνιστούν ένα πεδίο και τα πεδία μαζί ένα πλαίσιο. Τα πεδία
παρουσιάζονται και αποθηκεύονται εναλλάξ. Η μέθοδος αυτή βοηθάει στην καλύτερη
αναπαραγωγή βίντεο από παλιές κάμερες και μειώνουν το τρεμούλιασμα. Η απο-
διαπλοκή είναι το αντίθετο. Κάθε γραμμή δεν παρουσιάζεται εναλλάξ αλλά προοδευτικά.
Αυτή η τεχνική βοηθάει στη βελτίωση των βίντεο σε πιο σύγχρονες οθόνες.
 Αναγνώριση αντικειμένων[1]: Η αναγνώριση αντικειμένων είναι η διαδικασία
ταξινόμησης περιοχών σε μια εικόνα ή βίντεο που μοιάζουν με κάτι συγκεκριμένο, για
παράδειγμα ανθρώπους, αυτοκίνητα και πολλά άλλα. Γίνεται με τη βοήθεια νευρωνικών
δικτύων και μηχανικής μάθησης.
Υπάρχουν και άλλα είδη ψηφιακής δικανικής έρευνας όπως έρευνα σε μηνύματα μέσω των
social media, υπολογιστικής νέφους, υλικού και συσκευών, κακόβουλου λογισμικού και βάσεων
δεδομένων.

3. ΕΡΓΑΛΕΊΑ
3.1 AUTOPSY SLEUTHKIT
Τα εργαλεία αυτά υποστηρίζουν έρευνα σε λειτουργικά συστήματα, συστήματα αρχείων,
διαδίκτυο και ηλεκτρονικό ταχυδρομείο. Το Autopsy και το SleuthKit είναι δύο ξεχωριστά
εργαλεία που και τα δύο κάνουν πολύ παρόμοιες δουλειές. Το autopsy είναι φτιαγμένο με βάση
το sleuthkit με διαφορά ότι έχει gui (graphical user interface) έτσι ώστε να είναι πιο φιλικό ως
προς τον ερευνητή απλοποιώντας τις διαδικασίες έρευνας. Το autopsy αναλύει εικόνες δίσκων,
συστήματα αρχείων και κινητές συσκευές. Παρέχει την ικανότητα στους ερευνητές να κάνουν
ανάκτηση αρχείων, αναζήτηση με λέξεις κλειδιά, ανάλυση χρονοδιαγράμματος και hash. Το
sleuthkit είναι μια σειρά από εργαλεία που χρησιμοποιούνται στη γραμμή εντολών και
προσφέρει μια πιο βαθιά εξέταση των συστημάτων αρχείων, εξαγωγή πληροφοριών και
metadata. Και τα δύο είναι δωρεάν και υποστηρίζουν Windows, Linux και άλλα λειτουργικά
συστήματα.

3.2 FTK
Το FTK είναι και αυτό εργαλείο ψηφιακής δικανικής έρευνας που υποστηρίζει έρευνα στα
λειτουργικά συστήματα, συστήματα αρχείων, διαδίκτυο και ηλεκτρονικό ταχυδρομείο. Παρέχει
λειτουργίες όπως ανάλυση εικόνων δίσκου, αναζήτηση με λέξεις κλειδιά, ανάκτηση αρχείων,
ανάλυση χρονοδιαγράμματος και μεταδεδομένων και τέλος αναφορά. Το FTK γενικά συνιστάται
για όλα αυτά τα παραπάνω πεδία και είναι δωρεάν.
3.3 BELKASOFT
Το Belkasoft Evidence Center (BEC) είναι ένα εργαλείο ψηφιακής δικανικής έρευνας που κάνει
εύκολη την συλλογή και ανάλυση στοιχείων για τον ερευνητή. Αναλύει σκληρούς δίσκους και
εικόνες αυτών, πακέτα μνήμης, υπολογιστική νέφους, κινητές συσκευές και άλλα. Είναι
εργαλείο επί πληρωμή όμως προσφέρει και μια περίοδο δοκιμής δωρεάν. Κάνει την ανάλυση και
παρουσίαση των πιο σημαντικών αντικειμένων αυτόματα για τον ερευνητή. Υποστηρίζει
Windows, macOS, Linux και άλλα Unix λειτουργικά συστήματα. Η Belkasoft έχει και άλλα δύο
εργαλεία. Το Belkasoft Acquisition and Triage, το οποίο είναι χρήσιμο για μια γρήγορη πρώτη
συλλογή και ανάλυση πολλών δεδομένων και το Belkasoft Live RAM Capturer, το οποίο
συλλέγει δεδομένα της μνήμης RAM σε ζωντανή λειτουργία.

3.4 OS FORENSICS
Ένα κατανοητό εργαλείο εξαγωγής δικανικής έρευνας είναι το OS Forensics. Είναι εργαλείο που
διαθέτει έκδοση επί πληρωμή και δωρεάν, αλλά η δωρεάν περιέχει περιορισμένες λειτουργίες. Η
δωρεάν έκδοση μπορεί να κάνει αναζήτηση αρχείων, ανάλυση εικόνων δίσκου, ανάκτηση
αρχείων, βασική ανάλυση μεταδεδομένων, περιορισμένη ανάλυση κινήσεων στο διαδίκτυο και
τους φυλλομετρητές, βασική ανάλυση αρχείων του λειτουργικού και μερική ανάλυση μνήμης. Η
πληρωμένη έκδοση προσφέρει τα ίδια απλά όχι περιορισμένα και με πιο κατανοητό τρόπο για
τον ερευνητή, ειδικά σε προχωρημένου βαθμού αναλύσεις. Βάση των ερευνητικών μας αναγκών
επιλέγουμε την αντίστοιχη έκδοση.
3.5 ENCASE
Το Encase είναι από τα πιο διαδεδομένα εργαλεία στον τομέα της ψηφιακής δικανικής έρευνας.
Προσφέρει διάφορες εκδόσεις επί πληρωμή μόνο. Η τιμή κάθε έκδοσης διαφέρει, όσο
υψηλότερη τιμή τόσες περισσότερες λειτουργίες παρέχει. Φυσικά ακολουθεί την ίδια διαδικασία
συλλογής και ανάλυσης δεδομένων και στο τέλος παράγει αναφορές που είναι μεγάλης
κλίμακας. Οι λειτουργικότητες του είναι carving, ανάλυση εικόνων δίσκου, ανάκτηση αρχείων,
αναζήτηση με λέξεις κλειδιά, ανάλυση αρχείων του λειτουργικού, ανάλυση χρονοδιαγράμματος
και ανάκτηση κωδικών.

3.6 REKALL
Είναι μια πλατφόρμα ανοικτού κώδικα με εργαλεία για ψηφιακή δικανική έρευνα που πλέον
λέγεται “Memory Forensics Framework”. Χτίστηκε πάνω στο πλαίσιο του “Volatility”, το οποίο
θα παρουσιαστεί ακριβώς μετά. Ασχολείται με την ανάκτηση και ανάλυση μνήμης και
υποστηρίζει Windows, macOS, Linux. Έχει GUI (γραφικό περιβάλλον) για την επικοινωνία του
χρήστη μέσω διαδικτυακού φυλλομετρητή με το εργαλείο, αλλά τρέχει κυρίως σε CLI (γραμμή
εντολών). Επίσης ανιχνεύει κακόβουλο λογισμικό, συγκρίνει διαδικασίες μνήμης σε διάφορα
χρονικά σημεία, αναλύει αρχεία και κάνει εξόρυξη δεδομένων, κάνει ανάλυση δικτύου και
υποστηρίζει επεκτάσεις. Κυρίως χρησιμοποιείται για ζωντανό έλεγχο της μνήμης RAM. Είναι
καλύτερη για έρευνες μεγαλύτερου βεληνεκούς.
3.7 VOLATILITY
Το Volatility είναι και αυτό εργαλείο ελέγχου της RAM, το οποίο προσφέρει γραφικό
περιβάλλον μέσω του workbench ή GUIs που δημιουργήθηκαν από τρίτους. Οι βασικός και
αρχικός τρόπος λειτουργίας της όμως είναι από την γραμμή εντολών. Υποστηρίζει Windows,
Linux και macOS. Επίσης, όπως και το recall ανιχνεύει και αναλύει κακόβουλο λογισμικό,
προσφέρει γνώση για εφαρμογές που εκτελούνται ζωντανά και ανοιχτές επικοινωνίες δικτύου.
Έχει μεγαλύτερη υποστήριξη από την κοινότητα και χρησιμοποιείται πιο συχνά. Είναι καλύτερα
κατανοητή λόγω του μεγαλύτερου αριθμού εγχειριδίων και οδηγιών που παρέχει. Φαίνεται να
εξελίσσεται πιο γρήγορα από την Rekall πλέον.

3.8 NETWORK MINER
Είναι εργαλείο ψηφιακής δικανικής έρευνας για το δίκτυο. Είναι ανοικτού κώδικα άρα δωρεάν.
Ασχολείται με τη λήψη πακέτων από το δίκτυο και την εξαγωγή αρχείων και δεδομένων από
αυτά. Μπορεί να διαβάσει αρχεία “pcap” και να παρουσιάσει δεδομένα για αυτά όπως
διευθύνσεις IP, παραλήπτης και αποστολέας, πρωτόκολλα και άλλα. Μπορεί να
ανακατασκευάσει TCP και UDP συνδέσεις και να προσφέρει πληροφορίες για την επικοινωνία
δύο δεκτών. Μπορεί να βρει πληροφορίες για το λειτουργικό σύστημα των δεκτών, διευθύνσεις
MAC (κάθε συσκευή έχει μοναδική διεύθυνση MAC που δεν αλλάζει). Κάνει αναζήτηση με
λέξεις κλειδιά, υποστηρίζει γραφικό περιβάλλον (GUI) και επιτρέπει την εξαγωγή αρχείων για
περαιτέρω ανάλυση.
3.9 LOGRHYTHM
Είναι δωρεάν, ανοικτού κώδικα πλατφόρμα που προσφέρει πληροφορίες ασφάλειας και
διοίκηση περιστατικών. Βασικό χαρακτηριστικό της είναι η ομαδοποίηση και ανάλυση
δεδομένων από αρχεία καταγραφής (log files) για την ανίχνευση ανωμαλιών ή πιθανών
επιθέσεων. Για το σκοπό αυτό χρησιμοποιεί και μηχανική μάθηση, ανάλυση συμπεριφοράς και
προχωρημένων τεχνικών ανάλυσης. Κατανέμει τα περιστατικά προς αντιμετώπιση βάση της
σοβαρότητας και επικινδυνότητας τους. Επίσης, προσφέρει και εργαλεία για αυτόματο
περιορισμό ζημιάς μετά από επιθέσεις και αποκατάσταση συστημάτων. Περιγράφει πρότυπα και
προϋποθέσεις ασφαλείας για να βοηθήσει τις οργανώσεις να τηρούν τους κανόνες και τις
ρυθμίσεις. Μπορεί να λειτουργήσει και πάνω σε υπολογιστικές νέφους. Είναι χρήσιμη και για
την ψηφιακή δικανική έρευνα πάνω στα δίκτυα.
3.10 NMAP
Το Nmap είναι ένα δυνατό εργαλείο για χαρτογραφήσεις δικτύων. Είναι ανοικτού κώδικα.
Υποστηρίζει Windows, Linux, macOS, Solaris, HP-UX. Μπορεί να βρει και να εμφανίσει τα
ανοιχτά ports, τις υπηρεσίες που προσφέρει και τα πρωτόκολλα που χρησιμοποιεί ένας server ή
ιστοσελίδα κτλ. αν δώσουμε την IP. Μπορεί να μαντέψει ποιο λειτουργικό τρέχει στον στόχο,
επιτρέπει το γράψιμο scripts και την εκτέλεση τους και έχει τεχνικές ανίχνευσης και
προσπέρασης τοίχων ασφαλείας (firewalls). Γενικώς είναι ένα εργαλείο που ψάχνει αδυναμίες
σε ένα δίκτυο για να τις εκμεταλλευτεί ο χρήστης. Ο κακόβουλος χρήστης το χρησιμοποιεί για
να κάνει επιθέσεις, ο ερευνητής και ο ηθικός χάκερ για να εντοπίσουν πως έγινε μια επίθεση ή
να βελτιώσουν το δίκτυο φτιάχνοντας τις αδυναμίες του. Για να χρησιμοποιηθεί το εργαλείο
αυτό όμως νόμιμα πρέπει το δίκτυο να επιτρέπει τα σαρώματα ή το άτομο που το χρησιμοποιεί
να έχει εξουσιοδότηση για αυτό.
3.11 COGNITECH
Είναι μια επιχείρηση που παρέχει υπηρεσίες κυβερνοασφάλειας και ψηφιακής δικανικής
έρευνας. Δραστηριοποιείται σε πολλούς τομείς και μέσα σε αυτούς και στη ψηφιακή δικανική

έρευνα πολυμέσων. Πουλάει και το πιο γνωστό της εργαλείο και λογισμικό “Cognitech Video
Investigator”. Το οποίο αναλύει και επεξεργάζεται βίντεο. Οι λειτουργικότητες που έχει το
εργαλείο αυτό είναι η βελτιστοποίηση ποιότητας βίντεο, αυθεντικοποίηση βίντεο και έλεγχος
της ακεραιότητας του, παρακολούθηση κινούμενων αντικειμένων μέσα στο βίντεο και
σχολιασμός και αναφορά ευρημάτων.
3.12 OTHERS
Για την ανάκτηση δεδομένων και αρχείων από ένα σύστημα αν έχουν διαγραφεί ή καταστραφεί,
τα πιο διαδεδομένα εργαλεία είναι το Recuva, R-studio, EaseUS Data Recovery Wizard, Stellar
Data Recovery, Disk Drill. Το Recuva έχει επί πληρωμή αλλά και δωρεάν έκδοση και
υποστηρίζει Windows. Το R-studio έχει και αυτό δωρεάν έκδοση αλλά υποστηρίζει Windows,
macOS, Linux. Το ExifTool αναγνωρίζει τις εκδόσεις εικόνων, το Free Hex Editor Neo κάνει
επιμέλεια δυαδικών αρχείων, το Bulk Extractor επιτρέπει σε αρχεία που δεν υποστηρίζονται να
τρέξουν σε ένα σύστημα αρχείων να τρέξουν σε αυτό. Επιπλέον, το DSi USB Write Blocker
απαγορεύει στους επιτιθέμενους να γράψουν ή να μεταφέρουν αρχεία από και προς σε ένα USB
στικάκι, το EPRB είναι εργαλείο κρυπτογραφίας και αποκρυπτογράφησης. X-Ways Forensics
είναι ένα ταχύ και αποδοτικό εργαλείο για τη διαχείριση μεγάλων ομάδων δεδομένων.
Wireshark είναι ένα δωρεάν εργαλείο παρακολούθησης της κίνησης δικτύων και αιχμαλώτισης
αρχείων που μεταφέρονται μέσα από δίκτυα. Το Audacity είναι εργαλείο για την επεξεργασία

ήχου, αλλά μπορεί να χρησιμοποιηθεί και για την ψηφιακή δικανική έρευνα πολυμέσων και πιο
ειδικά ήχου.
3.13 ΣΥΓΚΡΙΣΗ ΕΡΓΑΛΕΊΩΝ
Το FTK για τα λειτουργικά συστήματα προσφέρει ανάλυση υπηρεσιών, ανάκτηση κωδικών και
κάδο ανακύκλωσης τα οποία δεν τα έχει το autopsy.
Στα συστήματα αρχείων το FTK παρέχει ανακατασκευή χαρτών RAID, το οποίο δεν το
παρέχει το autopsy.
Για την έρευνα διαδικτύου το Autopsy υποστηρίζει περισσότερα είδη βάσεων δεδομένων
ενώ οι υποστηριζόμενοι φυλλομετρητές είναι οι ίδιοι (Firefox, Chrome, Internet Explorer).
Παρόλα αυτά, το FTK έχει δυνατότητα έρευνας της cache ενώ το Autopsy δεν το έχει αυτό.
Για το ηλεκτρονικό ταχυδρομείο, το Autopsy και το FTK υποστηρίζουν μόνο έρευνα
εκτός σύνδεσης, ενώ η Belkasoft υποστηρίζει και ζωντανή έρευνα email. Το Autopsy όμως
περιέχει ανάλυση email και είναι το μόνο. To FTK παρέχει δυνατότητα αναζήτησης και
ανάλυση αρχείων συστήματος που δεν παρέχει το Autopsy. Κάθε εργαλείο υποστηρίζει
διάφορους τύπους από email.
Στη δικανική έρευνα ζωντανής μνήμης η Rekall υποστηρίζει αρκετά λειτουργικά αλλά
τρέχει κυρίως στη γραμμή εντολών όπως ακριβώς και η volatility, ενώ η Belkasoft έχει γραφικό
περιβάλλον. Κάθε εργαλείο υποστηρίζει διάφορες εκδόσεις (formats). Επίσης, η Belkasoft
υποστηρίζει έρευνα πολλαπλών χρηστών ταυτόχρονα κάτι που δεν έχει η Rekall. Η Rekall και η

Volatility όμως είναι οι μόνες που υποστηρίζουν μετατροπή εκδόσεων (format). Η volatility
όμως δεν υποστηρίζει απομακρυσμένη πρόσβαση.
Στη δικανική έρευνα του δικτύου το Network Miner και το Logrhythm υποστηρίζουν
όλες τις λειτουργείες εκτός από το banner grabber. Το Nmap είναι το μόνο εργαλείο που
υποστηρίζει banner grabber και για αυτό είναι χρήσιμο. Το μόνο που δεν υποστηρίζει είναι η
εξόρυξη συνθηματικών χρήστη. Επίσης, υποστηρίζει τα περισσότερα λειτουργικά συστήματα.
Για την δικανική έρευνα πολυμέσων υπάρχει η εταιρία IntaForensics που προσφέρει όλες
τις λειτουργίες εκτός της διαπλοκής και από-διαπλοκής. Το εργαλείο της Cognitech το
προσφέρει αυτό αλλά δεν κάνει αυθεντικοποίηση εικόνας, κάτι που κάνει η IntaForensics.
Για την έρευνα λειτουργικών προτείνεται το FTK για δωρεάν χρήση και το OS Forensics
ως εμπορικό εργαλείο.
Για την έρευνα στο σύστημα αρχείων προτείνονται τα FTK και Autopsy ως δωρεάν
εργαλεία και το Belkasoft για εργαλείο επί πληρωμή.
Για την έρευνα του διαδικτύου (web), τα FTK και Autopsy είναι ξανά τα καλύτερα
δωρεάν εργαλεία, ενώ αν δεν είναι αρκετά τα εμπορικά εργαλεία που μπορούν να
χρησιμοποιηθούν είναι το OS Forensics και EnCase.
Στην έρευνα των email η καλύτερη λύση είναι το FTK καθώς υποστηρίζει όλες τις
απαραίτητες λειτουργίες, αλλά αν είναι απαραίτητη η ζωντανή έρευνα των email προτείνεται η
Belkasoft.
Στην δικανική έρευνα ζωντανής μνήμης (RAM) το δωρεάν εργαλείο που προτείνεται
είναι το Rekall ή το Volatility καθώς είναι πολύ παρόμοια και το εμπορικό είναι η Belkasoft.

Για την δικανική έρευνα δικτύου προτείνονται δύο εργαλεία ανοικτού κώδικα. Το
Network Miner και το LogRhythm. Ακόμα, το Nmap μπορεί να είναι χρήσιμο σε μερικές
περιπτώσεις και είναι και αυτό δωρεάν.
Τέλος, το εργαλείο που καλύπτει τον τομέα των πολυμέσων για την ψηφιακή δικανική
έρευνα βίντεο είναι της Cognitech και είναι εμπορικό. Για την εξαγωγή μεταδεδομένων από
βίντεο και εικόνες το ExifTool μπορεί να βοηθήσει και είναι δωρεάν. Ενώ για την έρευνα
πολυμέσων σε εικόνες, το GIMP (GNU Image Manipulation Program) είναι δωρεάν και
προσφέρει βασικές δυνατότητες επεξεργασίας και ανάλυση εικόνων. Υπάρχει επίσης και ένα
open-source πρόγραμμα ονόματι “sherloq” για επεξεργασία εικόνων καθώς και τα “stegsolve”
για αναγνώριση στενογραφίας και “steghide” αντίστοιχα για ενσωμάτωση στενογραφίας σε
εικόνες.

4. ΧΡΗΣΗ ΕΡΓΑΛΕΙΩΝ ΓΙΑ
4.1 IMAGE CREATION
Αρχικά για να αναλύσουμε οτιδήποτε από έναν υπολογιστή ή σύστημα, πολύ συχνά θα
χρειαζόμαστε εικόνες δίσκων, μνήμης, δικτύου. Η διαδικασίας δημιουργίας μιας εικόνας
κατάστασης ενός δίσκου σε έναν υπολογιστή λέγεται “Image Creation”. Για να κάνουμε μια
επίδειξη της διαδικασίας αυτής θα χρησιμοποιήσουμε το εργαλείο FTK Imager. Το κατεβάζουμε
από την ιστοσελίδα https://go.exterro.com/l/43312/2023-05-03/fc4b78 αφού συμπληρώσουμε
την φόρμα με τα στοιχεία που θέλουμε.
Ανοίγουμε το πρόγραμμα, πατάμε “File” και μετά “Create Disk Image”. Επιλέγουμε
“Physical Drive”. Ο φυσικός δίσκος μπορεί να διαιρεθεί σε πολλά μέρη (partitions). Κάθε ένα
από αυτά μπορεί να χρησιμοποιηθεί ως ένας λογικός δίσκος. Το “Image File” αναφέρεται σε
αρχεία εικόνων δίσκου που μπορεί να έχουμε ήδη και το πρόγραμμα απλά θα τα άνοιγε. Επίσης,
θα μπορούσαμε να δημιουργήσουμε μια εικόνα από τα περιεχόμενα ενός συγκεκριμένου
φακέλου ή και από κάποιο CD ή DVD. Για ευκολία συνδέουμε ένα USB στικάκι στον
υπολογιστή και επιλέγουμε αυτό για να γίνει η εικόνα δίσκου.

Στη συνέχεια πρέπει να επιλέγουμε τον τύπο της εικόνας που θα δημιουργηθεί αφού
πατήσουμε “Add”. Η “Raw” είναι ακριβές αντίγραφο του δίσκου χωρίς τίποτα λιγότερο και
τίποτα περισσότερο. Οπότε δεν περιέχει μεταδεδομένα και άλλες πληροφορίες. Η επιλογή
“SMART” χρησιμοποιείται για linux συστήματα. Το “E01” είναι η πιο συνηθισμένη μορφή
εικόνων δίσκου. Τέλος, η “AFF” είναι για εικόνες δίσκου Raw οι οποίες όμως είναι μεγάλες σε
μέγεθος και δεν γίνεται να συμπιεστούν. Επιλέγουμε “Raw” και πατάμε επόμενο.
Συμπληρώνουμε τα πεδία με τους κωδικούς περιπτώσεων που μπορεί να έχουμε, την περιγραφή,
ποιος είναι ο ερευνητής και ό,τι σχόλια μπορεί να έχουμε. Πατάμε επόμενο.

Επιλέγουμε που θέλουμε να αποθηκευτεί η εικόνα δίσκου και με τι όνομα. Θα
μπορούσαμε να την αποθηκεύσουμε σε ίσα τμήματα επιλέγοντας το μέγεθος τους (το
συνηθισμένο είναι 1500 ΜΒ), συμπιεσμένη ή να βάλουμε κρυπτογράφηση. Πατάμε τέλος.

Τσεκάρουμε το κουτάκι “Verify images after they are created”. Αυτό σημαίνει ότι θα
δημιουργηθεί ένα hash για την αυθεντικότητα της εικόνας δίσκου. Θα μπορούσαμε να
δημιουργήσουμε ένα κατάλογο για κάθε αρχείο μέσα στην εικόνα δίσκου και να επιλέξουμε αν
θέλουμε να υπολογιστεί η πρόοδος της δημιουργίας της εικόνας δίσκου. Η προσθήκη επιπλέον
τοποθεσίας αποθήκευσης των εικόνων γίνεται επιλέγοντας το κουτάκι “Add Overflow
Location”. Αν τα περιεχόμενα του δίσκου που θέλουμε να “αντιγράψουμε” είναι πολλά για μια
τοποθεσία που έχουμε διαθέσιμη, τότε μπορούμε να επιλέξουμε δύο για παράδειγμα, ενώνοντας
τον χώρο τους. Πατάμε “Start” και περιμένουμε να τελειώσει η διαδικασία. Θα παραχθούν
κάποια MD5 hashes, ένα για τον πρωτότυπο δίσκο και ένα για την εικόνα. Αυτά πρέπει να
ταιριάζουν μεταξύ τους για να έχει γίνει σωστά η διαδικασία.
Επιπλέον ένα αρχείο με τις λεπτομέρειες της εικόνας δίσκου.

Όταν ανοίγουμε μια εικόνα δίσκου με το FTK Imager και επιλέγουμε ένα αρχείο που μας
ενδιαφέρει από τα περιεχόμενα της εικόνας, μπορούμε να δούμε πληροφορίες για αυτό. Τις
βασικές όπως όνομα, μέγεθος και πότε ανοίχθηκε, επεξεργάστηκε. Αλλά και πιο εξιδεικευμένες
όπως από ποια ομάδα (cluster) και ποιον τομέα (sector) αρχίζει το αρχείο, αν είναι αρχείο
συστήματος ή το κρύβει το λειτουργικό σύστημα, αν είναι κρυπτογραφημένο, συμπιεσμένο και
άλλα.


Επίσης, τα αρχεία μπορούν να προβληθούν σε δεκαεξαδική μορφή, σε μορφή κειμένου
(text) ή σε μορφή εφαρμογής (application) αν είναι εικόνες για παράδειγμα.
Τέλος, αν ένα αρχείο έχει διαγραφεί πριν δημιουργηθεί η εικόνα δίσκου μπορεί να βρεθεί
και να ανοιχθεί και πάλι.

4.2 DISK ANALYSIS
Θα πραγματοποιήσουμε disk analysis με τη βοήθεια του εργαλείου Autopsy. Πρώτα θα το
κατεβάσουμε από την επίσημη ιστοσελίδα του https://autopsy.com. Ανοίγουμε το εργαλείο και
δημιουργούμε μία νέα έρευνα. Για όνομα μπορούμε να βάλουμε ό,τι θέλουμε, συνήθως όμως
βάζουμε ένα όνομα που αποτελείται από κωδικό τύπου περιστατικού, κωδικό τοποθεσίας
περιστατικού, παύλα, αρχικά ή όνομα ερευνητή, παύλα, ημερομηνία που ξεκίνησε η έρευνα.
Ένα παράδειγμα θα ήταν 0615-ΓΠ-07-12-2023. Έστω δηλαδή ότι ο κωδικός τύπου περιστατικού
06 αντιστοιχεί σε χακάρισμα και ο κωδικός τοποθεσίας περιστατικού 15 στο Παρίσι. Αυτό
αποσκοπεί στη καλύτερη αναγνώριση ενός αρχείου μιας έρευνας μόνο από το όνομα στο οποίο
περιέχονται οι σημαντικότερες πληροφορίες αλλά και διασφαλίζεται η μοναδικότητα του
ονόματος σε περίπτωση δημιουργίας άλλων ερευνών στο μέλλον. Θα μπορούσε αυτό να
μετατραπεί και σε αριθμό έρευνας με την τοποθέτηση του hashtag ‘#’ μπροστά στο όνομα.

Έπειτα πρέπει να επιλέξουμε την τοποθεσία στον υπολογιστή που θα αποθηκευτούν τα
δεδομένα που θα παραγάγει η έρευνα. Θέλουμε να κρατήσουμε αυτά τα δεδομένα όσο πιο
ξεχωριστά μπορούμε από τα δικά μας δεδομένα. Οπότε καλό είναι να τα αποθηκεύουμε σε έναν
συγκεκριμένο εξωτερικό ή εσωτερικό δίσκο που θα προορίζεται για τον σκοπό αυτό μόνο.
Συνήθως οι εξωτερικοί δίσκοι είναι πιο αργοί, όχι όλοι όμως οπότε για παράδειγμα η χρήση
USB δεν προτείνεται. Επίσης, καλό είναι να έχουμε συγκεκριμένο φάκελο για τις έρευνες μας.
Το Autopsy έχει την δυνατότητα να δημιουργήσει αρχείο έρευνας το οποίο να μπορούν
να παρακολουθούν και να επεξεργάζονται πολλοί ερευνητές (Multi-User) ταυτόχρονα μέσω ενός
κεντρικού συστήματος. Στην περίπτωση αυτής της έρευνας όμως θα επιλέξουμε τον μοναδικό
χρήστη (Single-User). Τέλος μας παρουσιάζεται το full-path του αρχείου που θα αποθηκευτεί η
έρευνα. Πατάμε επόμενο (next).
Βάζουμε το νούμερο έρευνας που μπορεί να έχουμε ήδη ή όχι. Στην περίπτωση αυτή
βάζουμε το 001 και συμπληρώνουμε τα στοιχεία του ερευνητή. Πατάμε τέλος (finish).
Ανοίγει αυτόματα ένα παράθυρο και μας ζητάει τον δέκτη που θα οργανώνει τις πηγές
δεδομένων και άλλα δεδομένα. Επιλέγουμε να δημιουργηθεί νέος με το όνομα “Exhibit001”. Αν
θέλαμε να βάλουμε κάποιο άλλο όνομα με καινούριο δέκτη θα επιλέγαμε το δεύτερο κουμπί
(radio button). Στην περίπτωση που έχουμε ήδη υπάρχον δέκτη και θέλουμε να τον
χρησιμοποιήσουμε επιλέγουμε το τρίτο κουμπί και τον επιλέγουμε από το κουτί επιλογών που
θα μας δώσει. Πατάμε επόμενο.

Επιλέγουμε τον τύπο πηγής δεδομένων. Συνήθως θα κάνουμε ανάλυση σε εικόνες
δίσκων. Η πρώτη επιλογή καλύπτει αυτό και τα αρχεία εικονικών δίσκων, δηλαδή δίσκων που
προέρχονται από μια εικονική μηχανή (Virtual Machine). Η δεύτερη επιλογή είναι να γίνει η
ανάλυση σε έναν τοπικό δίσκο. Αυτό συνήθως γίνεται αν θέλουμε να αναλύσουμε σε ζωντανό
χρόνο έναν δίσκο του υπολογιστή ή αν έχουμε στα χέρια μας τον δίσκο του υπολογιστή από τον
οποίο έγινε η επίθεση και τον συνδέσουμε άμεσα στον δικό μας υπολογιστή για να κάνουμε από
εκεί την ανάλυση. Πρέπει όμως να έχουμε και ένα πρόγραμμα που να μπλοκάρει την
οποιαδήποτε αντιγραφή λογισμικού από τον δίσκο (write blocker) κτλ. για να μην θέσουμε το
σύστημα μας σε κίνδυνο. Η Τρίτη επιλογή είναι χρήσιμη σε περίπτωση που έχουμε ήδη έτοιμα
αρχεία δεδομένων που θέλουμε να αναλύσουμε. Η τέταρτη επιλογή είναι για την ανάλυση μιας
εικόνας δίσκου που όμως πλέον δεν περιέχει κανονικά δεδομένα. Για παράδειγμα μπορεί να
περιέχει δεδομένα που έχουν φθαρεί, καταστραφεί ή προηγουμένως διαγραφεί. Η πέμπτη

επιλογή είναι η ανάλυση εικόνας δίσκου και δεδομένων που παρήγαγε προηγουμένως το
εργαλείο Autopsy Logical Imager. Η έκτη και τελευταία επιλογή είναι η ανάλυση δεδομένων
που έχουν εξαχθεί από κάποια κινητή συσκευή σε μορφή έγγραφου. Επιλέγουμε το πρώτο και
πατάμε επόμενο.
Τώρα πρέπει να δώσουμε τον σύνδεσμο στο Autopsy στον οποίο υπάρχει η εικόνα
δίσκου που θα αναλύσουμε. Για τον σκοπό αυτό υπάρχουν διαθέσιμες εικόνες δίσκων για
έρευνα στο διαδίκτυο. Έχουμε κατεβασμένη μια από το link:
https://dfir.science/assets/data/SuspectData.dd.zip. Αφήνουμε κενό το κουτάκι που λέει “ignore
orphan files in FAT file systems”. Εμείς θέλουμε να αναλύσουμε όλα τα αρχεία, ακόμα και αυτά
που μπορεί να έχουν χάσει τον φάκελο τους και την θέση τους στον δίσκο, παρόλα αυτά
υπάρχουν και μπορεί να περιέχουν σημαντικές πληροφορίες. Έπειτα βάζουμε την ζώνη χρόνου

που δημιουργήθηκε η εικόνα δίσκου. Συνήθως θα το γνωρίζουμε αυτό, αλλά σε περιπτώσεις
όπως αυτή που κάνουμε έρευνα και κατεβάζουμε εικόνες δίσκων για testing μπορεί να μην
ξέρουμε. Τότε, βάζουμε στη ζώνη χρόνου “(GMT +0:00) UTC”. Βάζουμε να αναγνωρίζει το
μέγεθος του τομέα του δίσκου αυτόματα. Αν έχουμε κάποιους κωδικούς hash αναλόγως με το
αρχείο εικόνας δίσκου, τα συμπληρώνουμε στα αντίστοιχα κουτάκια. Βάζουμε το
«efbf30672c4eb3713b7f639f16944fd3» στο MD5 και το
«6baed29520499d2d5c44c32a0f3a8a08cbe92c47b4e00101b1041d14f9a579e2» στο SHA-256.
Πατάμε επόμενο.
Τώρα θα επιλέξουμε τις ρυθμίσεις και τις λειτουργίες που θέλουμε να έχει η έρευνα μας.
Το “recent activity” το θέλουμε ενεργό για να δούμε τις τελευταίες κινήσεις του επιτιθέμενου.

Τα hash sets μπορούμε να τα ορίσουμε ως αρχεία που γνωρίζουμε πως είναι άκακα για
να μην δώσουμε πολύ σημασία και αρχεία που έχουν ενδιαφέρον για την έρευνα καθώς είναι
κακόβουλα λογισμικά κτλ.
Στο “File Type Identification” μπορούμε να βάλουμε επεκτάσεις αρχείων για να τις
αναζητήσει το εργαλείο και να δούμε αν υπάρχουν μέσα στον δίσκο.
Το “Extension Mismatch Detector” ελέγχει να βρει αν υπάρχουν αρχεία με λάθος
επεκτάσεις. Για παράδειγμα, αν μια εικόνα έπρεπε να είναι .jpg αλλά είναι κάτι άλλο δεν θα
ανοίξει κανονικά. Αν όμως γυρίσουμε την επέκταση σε jpg όπως πρέπει να είναι τότε θα ανοίξει.
Μπορούμε να προσθέσουμε και τις δικές μας επεκτάσεις αρχείων από τα global settings.
Προσθέτουμε στο application type το “application/x-hwp” το οποίο αποδέχεται την επέκταση
“hwp”.

Το “Embedded File Extractor” είναι λειτουργία που εξάγει αρχεία όπως εικόνες ή βίντεο
και άλλα από τύπους αρχείων που μπορούν να ενσωματώσουν άλλα αρχεία όπως word, power
point και άλλα.
Με το “Picture Analyzer” επιλεγμένο μπορούμε να βρούμε τα μεταδεδομένα αρχείων
όπως τοποθεσία, ημερομηνία και άλλα. Αυτά τα μεταδεδομένα δεν αλλάζουν.
Η αναζήτηση λέξεων κλειδιών (keyword search) είναι η αναζήτηση διάφορων μοτίβων.
Τα νούμερα κινητών είναι τοπικά και ανάλογα με την χώρα που βρίσκεται κάποιος, αλλά τα
υπόλοιπα είναι παγκόσμια. Μπορούμε επίσης να ψάξουμε για λέξεις τις οποίες θα ορίσουμε από
το κουμπί “Global Settings”. Μπορούμε να φτιάξουμε λίστα και συγκεκριμένες λέξεις και
φράσεις που θέλουμε να ψάξουμε. Έχουμε και την δυνατότητα να ψάξουμε και για κανονικές
εκφράσεις. Για παράδειγμα, η κανονική έκφραση “..st” θα βρει όλα τα αποτελέσματα που θα
έχουν δύο οποιουσδήποτε χαρακτήρες στην αρχή και μετά τους χαρακτήρες ‘s’, ‘t’. Το εργαλείο
λοιπόν θα ψάξει για την λέξη test, nest και άλλες. Στην ταμπέλα “String Extraction” μπορούμε
επίσης να ορίσουμε και την αλφάβητο και γλώσσα στην οποία θα ψάξουμε. Τα Ελληνικά δεν
υποστηρίζονται.

Βάζουμε Hangul (Korean), δημιουργούμε μια λίστα “Drugs” με τις λέξεις κλειδιά
“Meth” και “Cocaine” και επιλέγουμε τα emails και την λίστα που δημιουργήσαμε για αυτή την
έρευνα. Επίσης επιλέγουμε “Enable Optical Character Recognition” για να μπορούμε να
ψάχνουμε λέξεις που δεν είναι από κείμενο αλλά μέσα σε φωτογραφίες για παράδειγμα.

Το “Email Parser” αναλύει όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου αν αυτά
αποθηκεύονται τοπικά στον υπολογιστή.
Το “Encryption Detection” αναζητά αρχεία με την μικρότερη εντροπία που επιλέγουμε
εμείς. Δεν θα το χρειαστούμε οπότε δεν το επιλέγουμε.
Το “Interesting Files Identifier” ψάχνει για αρχεία που μπορεί να είναι ενδιαφέροντα για
την έρευνα. Τέτοια αρχεία είναι υπολογιστικού νέφους, προγράμματα κρυπτονομισμάτων,
προγράμματα κρυπτογραφίας και προγράμματα ιδιωτικότητας.
Το “Central Repository” είναι μια λειτουργικότητα που μας επιτρέπει να σημειώνουμε
σημαντικά πράγματα από άλλες έρευνες και όταν τα βρίσκουμε πάλι μπροστά μας να τα
αναγνωρίζουμε. Επίσης, μπορούμε να αναγνωρίζουμε συσκευές και χρήστες από άλλες έρευνες
και προγράμματα και εφαρμογές που δεν έχουμε ξαναδεί.
Το “PhotoRec Carver” είναι λειτουργία που επαναφέρει δεδομένα που έχουν διαγραφθεί.
Αν υπάρχει κάποια εικονική μηχανή από την οποία πήραμε την εικόνα δίσκου, τότε το
Autopsy θα πάρει αυτή την εικονική μηχανή και θα την αντιμετωπίζει ως ξεχωριστό δίσκο.
Οπότε επιλέγουμε το “Virtual Machine Extractor”.
Το “Data Source Integrity” ελέγχει τα hash από πηγές δεδομένων.
Το “Cyber Triage Malware Scanner” ελέγχει να βρει κακόβουλα λογισμικά αλλά
χρειάζεται πληρωμένη άδεια.
Η έρευνα μας δεν θα χρησιμοποιήσει Android οπότε δεν επιλέγουμε το “Android
Analyzer (aLEAPP)”. Ούτε το “Android Analyzer” στο τέλος των επιλογών.
Η έρευνα δεν έχει να κάνει με drones οπότε δεν επιλέγουμε το ”DJI Drone Analyzer”.

Το “Plaso” είναι ένα εργαλείο που αναζητά αρχεία όπως “winreg” και “pe”. Κάνει το
Autopsy να χρειάζεται περισσότερη ώρα. Δεν το χρειαζόμαστε και δεν το επιλέγουμε.
Το “Yara Analyzer” μπορεί να ελέγξει αρχεία και κώδικα για μοτίβα. Χρησιμοποιείται
για την αναγνώριση και ανάλυση κακόβουλου λογισμικού, βάζοντας τους λεγόμενους “Yara
Rules”. Αναγνωρίζει ύποπτες συμπεριφορές και προγράμματα και τα σημειώνει ως σημαντικά
στοιχεία για μια έρευνα.
Το “iOS Analyzer (iLEAPP)” είναι το αντίστοιχο για λογισμικά κινητών συσκευών
iPhones. Δεν το επιλέγουμε.
Το “GPX Parser” αναζητά αρχεία GPX τα οποία περιέχουν πληροφορίες από τοποθεσίες
και τις εξάγει για ανάλυση. Πατάμε επόμενο. Μετά από λίγο πατάμε τέλος (finish).

Στα αριστερά του προγράμματος έχουμε τις πηγές δεδομένων (Data Sources) και κάτω
από αυτές ως υποκατάλογο έχουμε τον δέκτη που ορίσαμε ως “Exhibit001” και κάτω από αυτό
έχουμε την εικόνα δίσκου “SuspectData.dd”. Αν το επιλέξουμε, μπορούμε να δούμε όλα τα
αρχεία που περιέχει το ακριβές αντίγραφο του δίσκου, με πληροφορίες για αυτά όπως πότε
τροποποιήθηκαν, προβλήθηκαν, το μέγεθος τους, τα hash τους, τις επεκτάσεις τους και που είναι
αποθηκευμένα. Μπορούμε να προβάλλουμε τα αρχεία σε μορφή εφαρμογής στην ταμπέλα
“Application”, για παράδειγμα αν είναι εικόνα το αρχείο θα δούμε την εικόνα. Μπορούμε επίσης
να προβάλλουμε τα αρχεία σε μορφή δεκαεξαδικών δεδομένων μέσω της ταμπέλας “Hex” προς
τα κάτω, και να βρούμε μεταδεδομένα στην ταμπέλα “File Metadata”.
Στην ταμπέλα “File Views” αριστερά μπορούμε να ψάξουμε γρήγορα κάθε αρχείο βάση
του τύπου του μέσα στην εικόνα δίσκου. Υπάρχουν φίλτρα για παράδειγμα με βάση τις
επεκτάσεις που ομαδοποιούν τις εικόνες τα έγγραφα κτλ. Φίλτρα με βάση το “MIME type”
δηλαδή παρόμοια αλλά αντί για τις επεκτάσεις κοιτάμε τους headers. Φίλτρα με βάση ποια
αρχεία έχουν διαγραφθεί και μπορούν να ανακτηθούν ολοκληρωμένα ή μερικώς. Μερικά αρχεία

μπορεί να υπάρχουν στο σύστημα αρχείων ενώ μερικά μπορεί να μην υπάρχουν πλέον και να
βρίσκονται μόνο στην ταμπέλα “All”. Φίλτρα με βάση το μέγεθος αρχείων.
Ένα από τα πρώτα πράγματα που μπορούμε να κάνουμε όταν ξεκινήσουμε την έρευνα
και δούμε με μια γρήγορη ματιά τα περιεχόμενα, είναι να ψάξουμε λέξεις κλειδιά. Αν ψάχναμε
για παράδειγμα την λέξη “cat” για την έρευνα που κάνουμε τώρα σε αυτή την εικόνα δίσκου θα
βρίσκαμε διάφορα αποτελέσματα. Αυτό υπάρχει στο Autopsy πάνω δεξιά σε ένα κουμπί
“Keyword Search”. Προσοχή: για να δουλέψει η λειτουργία αυτή πρέπει πρώτα το πρόγραμμα
να έχει τελειώσει να αναλύει τα αρχεία από την εικόνα δίσκου. Όσο περισσότερα και
μεγαλύτερα αρχεία, τόση περισσότερη ώρα κάνει το πρόγραμμα. Και όσες περισσότερες
λειτουργίες ζητήσουμε από τις ρυθμίσεις τόση περισσότερη ώρα θα αργήσει η ανάλυση.
Αν κάποιο από τα αποτελέσματα θεωρούμε ότι είναι σημαντικό για την έρευνα μπορούμε
να του βάλουμε ετικέτα. Αυτό γίνεται επιλέγοντας το αρχείο, κάνοντας δεξί κλικ και “Add File
Tag” από το drop down list. Μπορούμε να του βάλουμε την ετικέτα “Bookmark”. Όταν είμαστε
σίγουροι ότι ένα αρχείο είναι σημαντικό για την έρευνα, βάζουμε την ετικέτα “Notable”.
Υπάρχει και η ετικέτα “Follow-Up” που την χρησιμοποιούμε όταν θέλουμε να επανέλθουμε σε
κάποιο αρχείο για να το ξαναδούμε αργότερα.

Αριστερά στην ταμπέλα “Tags” αποθηκεύονται όλα τα αρχεία στα οποία έχουμε βάλει
ετικέτες. Εκεί έχουμε και την επιλογή να εξάγουμε το αρχείο σε περίπτωση που θέλουμε να
κάνουμε περαιτέρω ανάλυση σε αυτό με άλλα εργαλεία. Αυτό γίνεται πατώντας δεξί κλικ και
“Extract File(s)”.
Αναφορά βγάζουμε από το “Generate Report” πάνω και δίπλα από το “Close Case”. Ο
πιο σύνηθες τρόπος αναφοράς είναι ο HTML.

Πατάμε επόμενο, επιλέγουμε σε ποια/ες εικόνα/ες δίσκου θέλουμε να κάνουμε αναφορά,
πατάμε επόμενο. Επιλέγουμε ποια αποτελέσματα θέλουμε να συμπεριλάβουμε. Βάζουμε
συγκεκριμένα αποτελέσματα “Specific Tag Results” από τις ετικέτες που βάλαμε σε αρχεία πριν
και επιλέγουμε τα “Bookmark”, “Notable Item” και πατάμε τέλος.
Η αναφορά μπορεί να προβληθεί μέσω του link που μας βγάζει το Autopsy.

Το πρόγραμμα τότε έχει δημιουργήσει ένα φάκελο με την αναφορά μέσα στον φάκελο
Autopsy/Reports. Αυτόν τον φάκελο τον αντιγράφουμε στο δικό μας φάκελο Reports που
φτιάξαμε και τον ονομάζουμε για παράδειγμα “Supporting Evidence”. Συμπληρώνουμε το
αρχείο που αρχίσαμε να κρατάμε για την έρευνα με τις κινήσεις μας και τα ευρήματα μας και
όταν κλείσουμε την έρευνα.

Το εργαλείο μας δίνει και άλλες δυνατότητες. Για να τις αναδείξουμε θα πρέπει να
κατεβάσουμε άλλη εικόνα δίσκου, με περισσότερα αρχεία. Ο σύνδεσμος είναι:
https://archive.org/details/africa-dfirctf-2021-WK01. Μπορούμε μάλιστα να προσθέσουμε την
εικόνα δίσκου ως διαφορετικό δέκτη (host) αλλά στην ίδια έρευνα. Οπότε προσθέτουμε την
εικόνα δίσκου στην ίδια έρευνα με το όνομα δέκτη “Exhibit002”. Αυτή τη φορά θα αναλύσουμε
τα αντικείμενα δεδομένων (data artifacts) και τα αποτελέσματα ανάλυσης (analysis results).
Στα αντικείμενα δεδομένων υπάρχουν διάφορες χρήσιμες υποκατηγορίες. Αρχικά
υπάρχει η κατηγορία “installed programs”. Εκεί μπορούμε να βρούμε τα προγράμματα που έχει
κατεβασμένα στον δίσκο ο προκάτοχος του. Μερικά προγράμματα μπορεί να έχουν ενδιαφέρον
για την έρευνα καθώς μπορεί να μας παρέχουν πληροφορίες για τις δραστηριότητες του χρήστη.
Για παράδειγμα, το πρόγραμμα “Quick Crypto” έχει να κάνει με την ασφάλεια της
κρυπτογραφίας σε έναν υπολογιστή. Επίσης, το “Angry IP Scanner” ελέγχει διευθύνσεις IP και
δεν είναι πρόγραμμα που χρησιμοποιείται συχνά και από τον οποιοδήποτε. Το “FileZilla” είναι
πρόγραμμα για μεταφορές αρχείων. Υπάρχει το “Nmap” το οποίο όπως έχουμε προαναφέρει
χαρτογραφεί ένα δίκτυο και τις πύλες του. Τέλος, τα “Npcap” και “Wireshark” έχουν να κάνουν
με παρακολούθηση πακέτων που μεταφέρονται μέσω του δικτύου. Όλα αυτά δείχνουν πως ο
χρήστης έχει κάποιες ικανότητες πάνω στην επιστήμη των υπολογιστών και της πληροφορικής
και δεν είναι ο κοινός, συνηθισμένος χρήστης.

Τα μεταδεδομένα αντικειμένων αρχείων αναδεικνύουν πληροφορίες για αρχεία όπως ο
χρόνος που δημιουργήθηκε ένα αρχείο, πότε τροποποιήθηκε, ποιο άτομο το δημιούργησε (όνομα
συγγραφέα) και ίσως ποια εταιρεία έχει αναπτύξει το αρχείο ή πρόγραμμα.

Η κατηγορία “Operating System Information” περιέχει πληροφορίες για το λειτουργικό
σύστημα στο οποίο υπήρχε ο δίσκος. Μπορούμε να καταλάβουμε ότι το λειτουργικό ήταν
Windows από το path. Επίσης βλέπουμε και την αρχιτεκτονική του επεξεργαστή. Στην
προκειμένη περίπτωση είναι AMD64. Μπορούμε να δούμε το όνομα του κατόχου και τον
αριθμό προϊόντος για το κλειδί των windows (Product ID). Μπορεί το όνομα του κατόχου
βέβαια να μην είναι ο τωρινός κάτοχος αλλά το άτομο που κατέβασε τα windows για πρώτη
φορά.

Τα πρόσφατα αρχεία είναι αυτά που ο χρήστης χρησιμοποίησε τελευταία. Δεν μπορούμε
να βρούμε δεδομένα αυτών αλλά υπάρχουν αρχεία συνδέσμων (.lnk) που περιέχουν
μεταδεδομένα και τη διαδρομή από την οποία εκτελέστηκε το πρόγραμμα ή αρχείο. Έτσι,
μπορούμε να δούμε αν υπάρχουν επιπλέον σκληροί δίσκοι (εσωτερικοί ή εξωτερικοί) που μπορεί
να μην έχουμε στα χέρια μας. Για παράδειγμα, ο E:/ σε αυτή την περίπτωση. Βλέπουμε ότι ο
χρήστης είχε αρχεία στον υπολογιστή του που είχαν να κάνουν με λίστες κωδικών (password)
και ένα πρόγραμμα που ονομάζεται “bettercap”. Πιθανός ο χρήστης να ενδιαφέρεται για
χακάρισμα κωδικών. Αυτό δεν είναι απαραίτητα παράνομο, αλλά μπορεί να μας δώσει γνώση
για την έρευνα μας.

Στη κατηγορία «κάδος ανακύκλωσης» (recycle bin) μπορούμε να βρούμε αρχεία που
έχουν διαγραφθεί και πιθανώς να τα ανακτήσουμε. Ανοίγοντας το πρόγραμμα “HxD” αφού πάμε
στην ταμπέλα “Hex”. Έτσι μπορούμε να δούμε τα περιεχόμενα του αρχείου από την
δεκαεξαδική τους μορφή. Φαίνεται ότι το αρχείο είναι μια λίστα λέξεων ή κωδικών.

Στα εκτελεσμένα προγράμματα μπορούμε να δούμε ποια προγράμματα έχουν τρέξει στον
υπολογιστή του χρήστη και την ακριβή ώρα που έτρεξαν κάθε φορά. Μπορούμε να δούμε αν
ήταν κατέβασμα αρχείων, ενημέρωση ή εκτέλεση και πόσα byte έλαβε ο χρήστης και πόσα
έστειλε. Το Nmap για παράδειγμα είναι εφαρμογή που χρησιμοποιεί την κονσόλα. Μπορούμε να

δούμε το ιστορικό της κονσόλας μέσω του αρχείου “ConsoleHost_history.txt” από τη διαδρομή
που βλέπουμε στην εικόνα.
Μπορούμε να δούμε την εντολή που χρησιμοποίησε με το Nmap και ποιες διευθύνσεις
IP έψαξε. Δεν μπορούμε να ξέρουμε την ακριβή ώρα που εκτελέστηκε κάθε εντολή αλλά
μπορούμε να υποθέσουμε μέσα στο διάστημα που κατέβηκε το πρόγραμμα και την τελευταία
φορά που εκτελέστηκε και γνωρίζουμε σίγουρα πόσες φορές έτρεξε το Nmap.

Τα “Shell Bags” καταγράφουν τις διαδρομές και χρονοσφραγίδες κάθε φορά που ένας
φάκελος ανοίγεται. Από το παράδειγμα στην εικόνα μπορούμε να καταλάβουμε ότι υπάρχει και
άλλος δίσκος “D:/”. Οπότε αν ο χρήστης ανοίξει ένα φάκελο αυτομάτως γνωρίζουμε ότι
γνωρίζει για την ύπαρξη του.

Η κατηγορία “USB Device Attached” φτιάχνει μια λίστα με όλες τις συσκευές που
συνδέθηκαν με τον υπολογιστή του χρήστη μέσω USB. Για παράδειγμα, βλέπουμε στην εικόνα
ότι συνδέθηκαν δύο κινητά τηλέφωνα και ένα τάμπλετ με τους αριθμούς ID τους, τα μοντέλα
τους και ποιος τα έχει φτιάξει. Μπορούμε να ψάξουμε ποιος κατέχει αυτές τις συσκευές και να
βγάλουμε συμπεράσματα για τους υπόπτους που μπορεί να έχουμε και τις σχέσεις τους με
άλλους υπόπτους.

Μέσω της καρτέλας “Web Accounts” μπορούμε να δούμε ποιες ιστοσελίδες επιστέφθηκε
ο χρήστης και αν συνδέθηκε και το όνομα χρήστη του. Στην περίπτωση αυτή βλέπουμε την
ιστοσελίδα “protonmail.com” και ο χρήστης την επισκέφθηκε από τον φυλλομετρητή της
Google.

Οι σελιδοδείκτες διαδικτύου του χρήστη είναι οι σύνδεσμοι που έχει βάλει στα
αγαπημένα για γρήγορη περιήγηση σε αυτές.
Στο “Web Cache” μπορούμε να βρούμε πληροφορίες για ιστοσελίδες που έχει
επισκεφθεί ο χρήστης όπως σύνδεσμοι, domain names και πότε δημιουργήθηκαν τα δεδομένα
αυτά. Μερικές φορές μπορεί να υπάρχουν δεδομένα που μπορούν να ανασκευαστούν.

Τα “Web Cookies” περιέχουν πληροφορίες για τις ιστοσελίδες που έχει επισκεφθεί ο
χρήστης, τις ρυθμίσεις και τις κινήσεις του στην ιστοσελίδα. Για να αποθηκευτούν τα cookies
πρέπει να το επιτρέψει ο χρήστης αν αυτό περιγράφεται μέσα από τις ρυθμίσεις του
φυλλομετρητή. Περιέχουν και αριθμούς επίσκεψης των ιστοσελίδων (session IDs). Υπάρχει η
δυνατότητα χρήσης των cookies για την επιβεβαίωση (authentication) και είσοδο των ερευνητών
στις ιστοσελίδες.
Στην κατηγορία “Web Downloads” μπορούμε να βρούμε κάθε αρχείο ή πρόγραμμα που
κατέβασε ο χρήστης. Γνωρίζουμε από ποια ιστοσελίδα το κατέβασε, που το αποθήκευσε στον
υπολογιστή του και την χρονοσφραγίδα που έγινε αυτό. Στο παράδειγμα μας, βλέπουμε την
λήψη του Nmap από τον χρήστη, του bettercap, του ipscan και άλλων αρχείων και
προγραμμάτων.
Το “Web From Autofill” περιέχει πληροφορίες που έχει αποθηκεύσει ο χρήστης να
μπαίνουν αυτόματα στα πεδία συμπλήρωσης σε ιστοσελίδες. Στη συγκεκριμένη περίπτωση
υπάρχουν δύο. Το ένα έχει όνομα χρήστη bettercap και το άλλο “dreammaker82” το οποίο είναι
πιο ενδιαφέρον καθώς είναι μοναδικό και μπορούμε να το ψάξουμε μέσω της αναζήτησης
λέξεων κλειδιών. Αν το κάνουμε μπορούμε να δούμε ότι είναι το email του στο ηλεκτρονικό
ταχυδρομείο “protonmail.com”.
Το ιστορικό του διαδικτύου μας δίνει πληροφορίες για τις ιστοσελίδες που επισκέφθηκε
ο χρήστης και τα τοπικά αρχεία που άνοιξε με φυλλομετρητές. Κοιτάζοντας το ιστορικό με
χρονολογική σειρά μπορούμε να καταλάβουμε την διαδικασία εκμάθησης του χρήστη, τι
πιθανώς σκεφτόταν και αποσκοπούσε να κάνει από τις αναζητήσεις του. Σε αυτή την περίπτωση
μπορούμε να δούμε ότι ο χρήστης ανάμεσα σε άλλα έψαξε εργαλεία για hacking, επισκέφθηκε
την ιστοσελίδα με τίτλο “Learn everything about ethical hacking”, έψαξε το grep και άλλα.
Στο “Web Search” βλέπουμε πιο συγκεκριμένα τι έχει αναζητήσει ο χρήστης στους
φυλλομετρητές. Για παράδειγμα, ο χρήστης έψαξε τεχνικές και εργαλεία για χακάρισμα,
απόκρυψη διευθύνσεων IP, τον φυλλομετρητή tor και πως να κατεβάσει ταινίες δωρεάν.


Στα αποτελέσματα ανάλυσης (analysis results) είναι όλα τα αρχεία και δεδομένα που
ανέλυσε το autopsy βάση κάποιων ρυθμίσεων που έθεσε ο ερευνητής και τα κατηγοριοποίησε σε
ομάδες.
Πρώτα έχουμε την κατηγορία “encryption suspected” που περιέχει οτιδήποτε μπορεί να
είναι κρυπτογραφημένο. Τα prefetch αρχεία δεν έχουν τόσο μεγάλο ενδιαφέρον, αλλά αρχεία
όπως WAN μπορεί να είναι ύποπτα και χρίζουν επιπλέον διερεύνηση.
Στο “EXIF Metadata” βρίσκουμε μεταδεδομένα για εικόνες όπως που είναι
αποθηκευμένες, πότε δημιουργήθηκαν, από ποιο μοντέλο και το μέγεθος τους. Μερικές φορές
μπορεί να γνωρίζουμε και το γεωγραφικό πλάτος και μήκος από όπου τραβήχτηκαν.

Όταν ένας τύπος αρχείου έχει λάθος επέκταση τότε το autopsy θα το βάλει στο
“Extension Mismatch Detected”. Πολλά αρχεία μπορεί να μην είναι τόσο σημαντικά γιατί
συνδέονται με το WindowsApps και άλλα. Καλό είναι να έχουμε κατεβάσει την NSRL βάση
δεδομένων μας για να φιλτράρει όλα αυτά τα αρχεία ως γνωστά και να μην ασχοληθούμε μαζί
τους.
Στα ενδιαφέροντα αντικείμενα (Interesting Items), έχουμε δύο φυλλομετρητές, το Tor
που έχει να κάνει με κρυπτογραφία και το Brave που έχει να κάνει με την ιδιωτικότητα του
χρήστη. Τα ενδιαφέρον αντικείμενα τα ρυθμίσαμε εμείς όταν ξεκινήσαμε την έρευνα.

Στα “Keyword Hits” έχουμε ό,τι έχει βρεθεί από τις αναζητήσεις που κάναμε με λέξεις
κλειδιά, ό,τι βρέθηκε από τις λέξεις κλειδιά και λίστες που ρυθμίσαμε στην αρχή της έρευνας
και ό,τι άλλες ρυθμίσεις από email για παράδειγμα επιτρέψαμε στην αρχή της έρευνας.

Μπορεί να είχαμε ζητήσει να αναζητηθούν και αριθμοί τηλεφώνων για παράδειγμα. Στα
email έχουμε πολλά αποτελέσματα και αυτό είναι συχνό φαινόμενο. Οπότε είναι καλό να
ψάχνουμε με βάση τα περισσότερα περιστατικά των email σε αρχεία. Λογικά το email με τα
περισσότερα περιστατικά θα είναι το email που χρησιμοποιεί ο χρήστης. Τα επόμενα σε σειρά
θα είναι είτε άλλα email του χρήστη είτε email με τα οποία επικοινωνεί συχνά. Πατώντας πάνω
σε ένα email μπορούμε να δούμε που έχει χρησιμοποιηθεί και το κείμενο που ενδέχεται να έχει.


Τα αρχεία και προγράμματα που έχουμε ξαναδεί αποθηκεύονται στη καρτέλα
“Previously seen”, ενώ αυτά που δεν έχουμε ξαναδεί αποθηκεύονται στην καρτέλα “Previously
Unseen”. Στην αρχή, θα έχουμε πολλά προγράμματα στο Previously Unseen αλλά όσο
περισσότερο χρησιμοποιούμε το Autopsy, τόσο πιο ενδιαφέρον θα γίνεται αυτή η καρτέλα.
Το “User Content Suspected” είναι οτιδήποτε αρχείο πιστεύει το Autopsy πως έχει
δημιουργήσει ο χρήστης. Συνήθως είναι εικόνες, έγγραφα, βίντεο.
Έπειτα έχουμε τους λογαριασμούς που έχει ο χρήστης στο διαδίκτυο (Web Account
Type). Αυτοί μπορεί να είναι διευθύνσεις IP, λογαριασμοί όπως email και άλλα. Μπορούμε να
βρούμε λεπτομέρειες για αυτούς τους λογαριασμούς στην καρτέλα “OS Account”. Μπορούμε να
δημιουργήσουμε προφίλ χρηστών με κινήσεις ή δεδομένα που χρησιμοποιούν συχνά για ένα
συγκεκριμένο σκοπό και στο τέλος να μπορούμε να βγάζουμε συμπεράσματα για το προφίλ των
υπόπτων βάση των δεδομένων που γνωρίζουμε για αυτούς.

Τέλος, αν θέλουμε να ψάξουμε βάση ονόματος λειτουργειών πχ. Φυλλομετρητές,
ηλεκτρονικά email κτλ. και κλάδου για παράδειγμα google, bing, yahoo, protonmail κτλ.
μπορούμε να κοιτάξουμε στην καρτέλα “Web Categories”.
Υπάρχουν και άλλες λειτουργίες που δεν παρουσιάζουμε καθώς δεν τις επιλέξαμε στις
ρυθμίσεις όταν ξεκινήσαμε την έρευνα, διότι γνωρίζαμε πως δεν θα μας ήταν ενδιαφέροντες.
Παρακάτω είναι η αναφορά στην έρευνα που κάναμε:



4.3 MEMORY FORENSICS
Για την έρευνα της RAM και των αντικειμένων που μπορούν να βρεθούν μέσω αυτής και
πιθανόν να μην είναι αποθηκευμένα σε σκληρούς δίσκους μνήμης θα χρησιμοποιήσουμε το

εργαλείο Volatility καθώς είναι λίγο πιο διαδεδομένο. Βέβαια και το Rekall θα ήταν εξίσου καλή
επιλογή. Η χρήση εργαλείων εξαρτάται από τις ανάγκες της έρευνας, την εξικοίωση των
ερευνητών με τα εργαλεία και τις προσωπικές τους προτιμήσεις.
Για να κατεβάσουμε και να χρησιμοποιήσουμε το volatility πρέπει να κατεβάσουμε τα
εξής εργαλεία πρώτα: Την γλώσσα προγραμματισμού Python https://www.python.org/ την
έκδοση 3 και πάνω, το Visual Studio Build Tools της Microsoft
https://visualstudio.microsoft.com/visual-cpp-build-tools/, το volatility φυσικά
https://github.com/volatilityfoundation/volatility3, το πακέτο python-snappy
https://www.lfd.uci.edu/~gohlke/pythonlibs/#python-snappy που είναι μια επέκταση της python
που θα χρειαστούμε και προαιρετικά για την δική μας διευκόλυνση το git για τα Windows
https://gitforwindows.org/. Την python, το VS build tools και το git τα κατεβάζουμε απλά
ακολουθόντας τον installer χωρίς δυσκολίες ή κάτι ιδιαίτερο. Για να κατεβάσουμε το volatility
πάμε στον αντίστοιχο σύνδεσμο παραπάνω και πατάμε στο πράσινο κουμπί “code” και
αντιγράφουμε το link που θα μας εμφανίσει. Μετά ανοίγουμε το PowerShell και γράφουμε “git
clone (copied link)” και πατάμε enter. Για να βρούμε πιο .whl αρχείο python snappy μπορούμε
να ανοίξουμε το cmd (γραμμή εντολών) και να γράψουμε “echo
%PROCESSOR_ARCHITECTURE%” και θα μας βγάλει την αρχιτεκτονική επεξεργαστή που
έχουμε στον υπολογιστή μας. Στη συγκεκριμένη περίπτωση είναι AMD64. Για να ελέγξουμε ότι
έχουμε την Python κατεβασμένη μπορούμε να γράψουμε στο PowerShell “python -V” και θα
μας βγάλει την έκδοση της python που έχουμε κατεβασμένη αν όλα πάνε καλά.

Θα χρησιμοποιήσουμε την έκδοση 3.11 της python καθώς δεν έχουμε wheel αρχείο που
να είναι για 3.12. Αφού κατεβάσουμε το wheel αρχείο, πάμε στο PowerShell και εκτελούμε την
εντολή “pip install (path-to-file)” με τη διαδρομή στην οποία αποθηκεύσαμε το αρχείο wheel
πριν λίγο.
Μετά πάμε στον φάκελο volatility με την εντολή “cd .\volatility3\” και κάνοντας ls
μπορούμε να δούμε ότι υπάρχει ένα αρχείο “requirements.txt” και ένα “requirements-
minimal.txt”. Το δεύτερο αρχείο είναι για να κατεβάσουμε λιγότερα πράγματα. Εμείς θα
κατεβάσουμε το πρώτο γράφοντας “pip install -r .\requirements.txt”.

Για να ελέγξουμε ότι όλα κατέβηκαν σωστά μπορούμε να τρέξουμε την εντολή στο
PowerShell στον φάκελο volatility3 “python vol.py -v”.

Αν όλα πήγαν καλά θα μπορούμε να δούμε την έκδοση του volatility, την διαδρομή που
μπορούμε να κατεβάσουμε πρόσθετα αρχεία (plug-ins) και την διαδρομή που θα αποθηκεύονται
τα σύμβολα προς ανάλυση. Τώρα θα πρέπει να βάλουμε την εικόνα της μνήμης που θέλουμε να
αναλύσουμε. Κατεβάζουμε από το διαδίκτυο στον σύνδεσμο: https://archive.org/details/Africa-
DFIRCTF-2021-WK02 ένα δείγμα.
Για να πάρουμε αρχικά τις βασικές πληροφορίες για αυτή τη μνήμη γράφουμε στο
PowerShell στον φάκελο του volatility την εντολή “python vol.py -f (file-path) windows.info”.
Βλέπουμε ότι ο επεξεργαστής είναι τετραπύρηνος, την ημερομηνία και ώρα που βγήκε η εικόνα
μνήμης, την πηγαία διαδρομή των windows και άλλα. Αν θέλουμε να αποθηκεύσουμε τις
πληροφορίες σε ένα αρχείο text μπορούμε να γράψουμε “python vol.py -f (file-path)
windows.info > ACTF.mem.info.txt”.
Από τα πιο ενδιαφέροντα πράγματα να κάνουμε σε μία έρευνα είναι να δούμε ποιες
εφαρμογές τρέχανε την στιγμή που δημιουργήθηκε η εικόνα μνήμης. Για να το κάνουμε αυτό
γράφουμε την εντολή “python vol.py -f (file-path) windows.pslist | more”. Η κάθετη γραμμή
είναι σωλήνωση εντολών, δηλαδή δύο εντολές θα εκτελεστούν μαζί. Το more το βάζουμε μόνο
και μόνο για να δούμε τα αποτελέσματα καλύτερα. Θα εμφανίζονται λίγα-λίγα και θα
προχωράμε εμείς πατώντας spacebar. Στην πρώτη στήλη βλέπουμε τον αριθμό της εφαρμογής
(PID), στην δεύτερη τον αριθμό της εφαρμογής γονέα (PPID), στην τρίτη το όνομα της
εφαρμογής, στην τέταρτη τη θέση μνήμης όταν εκτελέστηκε, στην πέμπτη τον αριθμό των

νημάτων, στην έκτη ποιες εφαρμογές διαχειρίζεται (handles) και άλλες πληροφορίες. Τα
σημαντικότερα είναι το PID, PPID, το όνομα και τα handles.
Αν βρούμε κάτι που μας ενδιαφέρει να ερευνήσουμε, για παράδειγμα την chrome τότε
εκτελούμε “python vol.py -f (file-path) windows.pslist Select-String chrome”. Η αντίστοιχη
εντολή για τα Linux είναι το γνωστό grep. Βλέπουμε ότι η πρώτη που εκτελέστηκε είναι η PID
1328 καθώς κάθε άλλη διεργασία chrome έχει για PPID το ίδιο νούμερο.

Για να δούμε τα handles μιας εφαρμογής μπορούμε να γράψουμε “python vol.py -f (file-
path) windows.handles –pid 1328 | more”.

Τα αποτελέσματα που έχουν τύπο αρχείο (file) ή κλειδί (key) είναι ενδιαφέροντα.
Μπορούμε να περιορίσουμε την αναζήτηση στα αρχεία με την εντολή “python vol.py -f (file-
path) windows.handles –pid 1328 | Select-String File | more”.

Ξανά βγαίνουν πολλά αποτελέσματα και δεν είναι όλα ενδιαφέροντα. Ίσως είναι αυτά
που περιέχουν τον χρήση στο file path ή αν μας ενδιαφέρει κάποια συγκεκριμένη επέκταση
αρχείου όπως .db για βάσεις δεδομένων. Αν για παράδειγμα μας ενδιαφέρει να τσεκάρουμε τα
αρχεία ιστορικού ή εκείνα που μπορεί να περιέχουν τη λέξη history μέσα γράφουμε “python
vol.py -f (file-path) windows.handles –pid 1328 | Select-String File | Select-String History |
more”.

Παρατηρούμε ότι τώρα έχουμε μόνο τρία αποτελέσματα. Μπορούμε να πάρουμε τη
διεύθυνση του αρχείου και να το εμφανίσουμε ή να το αντιγράψουμε αλλού για να το
διαβάσουμε.
Για να το κάνουμε αυτό αρχικά φτιάχνουμε ένα φάκελο “dump” στον οποίο θα πετάμε
όλα τα αρχεία που αντιγράφουμε για να ελέγξουμε. Αυτό το κάνουμε με την εντολή “mkdir
dump”. Έπειτα, εκτελούμε “python vol.py -f (file-path) -o "dump" windows.dumpfile --pid 1328
--virtaddr 0xbf0f6abe9740”. Σε εισαγωγικά βάζουμε το όνομα φακέλου που φτιάξαμε για το που
θα αποθηκευτεί το αρχείο και μετά χρησιμοποιούμε το windows.dumpfile δίνοντας το PID της
διεργασίας και τη ψηφιακή της διεύθυνση που βρήκαμε πριν.
Το αρχείο υπάρχει πλέον και είναι αυτό με την επέκταση .dat.

Τέτοια δυαδικά αρχεία μπορούμε να τα ανοίξουμε με το HxD Hex Editor πρόγραμμα.
Φαίνεται να είναι SQLite αρχείο.

Αν θέλαμε να ελέγξουμε όλα τα αρχεία με PID 1328 για ιούς πχ. δεν θα δίναμε την
ψηφιακή διεύθυνση.
Για να βρούμε αν μια διεργασία εκτελέστηκε από τη γραμμή εντολών και με ποιες
επιλογές εκτελέστηκε. Οι επιλογές είναι για παράδειγμα το -f που γράφουμε σε μια εντολή για
να δώσουμε αμέσως μετά το αρχείο που μας ενδιαφέρει. Ακόμα μπορούμε να δούμε αν κάτι
εκτελέστηκε και από άλλους δίσκους, όπως η εντολή για να δημιουργηθεί η εικόνα μνήμης που
κοιτάμε τώρα, εκτελέστηκε από έναν σκληρό δίσκο E:\ με το FTK Imager. Η εντολή για αυτό
είναι “python vol.py -f (file-path) windows.cmdline | more”.


Μια άλλη χρήσιμη εντολή είναι η “python vol.py -f (file-path) windows.netstat | more”.
Αν την τρέξουμε παίρνουμε για κάθε διεύθυνση της εικόνας μνήμης, το πρωτόκολλο, την τοπική
διεύθυνση του υπολογιστή από τον οποίο βγήκε η εικόνα μνήμης, την τοπική πύλη, την
διεύθυνση με την οποία ήταν συνδεδεμένος ο υπολογιστής και σε ποια πύλη ήταν συνδεδεμένος.
Μπορούμε να ψάξουμε την ξένη διεύθυνση μνήμης που ήταν συνδεδεμένος ο υπολογιστής. Για
παράδειγμα η 185.70.41.35 ανήκει στο protonmail.

Αν μας ενδιέφερε για παράδειγμα η chrome μόνο θα βάζαμε φίλτρο με Select-String.

Σημαντικό είναι να μπορούμε να βρούμε τους κωδικούς σε hash (κρυπτογραφημένους)
για τον χρήστη, έτσι ώστε αν σπάσουμε το hash και βρούμε τον κωδικό μπορούμε ενδεχομένως
να ξεκλειδώσουμε και άλλα συστήματα στα οποία μπορεί να χρησιμοποιείται ή να πάρουμε μια
ιδέα για το πως ένας χρήστης δημιουργεί τους κωδικούς του ή να χρησιμοποιείται ο ίδιος
κωδικός για λογαριασμούς κτλ. Η εντολή “python vol.py -f (file-path) windows.hashdump”
Με την εντολή “python vol.py -f (file-path) windows.registry.userassist | more”
μπορούμε να δούμε πότε ένα πρόγραμμα έτρεξε την τελευταία φορά (last time), πόσες φορές

έτρεξε (count), πόσες φορές ο χρήστης επανέφερε το παράθυρο από ελαχιστοποίηση (focus
count) και για πόση ώρα ήταν ανοιχτό το συγκεκριμένο παράθυρο (time focused). Οι χρόνοι
αυτοί μπορεί να μην είναι εντελώς ακριβής αλλά είναι μια καλή βάση πληροφοριών. Φυσικά
μπορούμε να φιλτράρουμε την αναζήτηση.

Για να βρούμε όλες τις εγγραφές κυψέλης για τον χρήστη John Doe γράφουμε την
εντολή “python vol.py -f (file-path) windows.registry.hivelist”. Βρίσκουμε κάποια
αποτελέσματα και είναι πιο ενδιαφέρον το ntuser.dat αρχείο. Μπορούμε να φιλτράρουμε
γράφοντας “python vol.py -f (file-path) windows.registry.hivelist --filter Doe\ntuser.dat”. Και να
θέλουμε να το εξάγουμε και να το αναλύσουμε περαιτέρω γράφουμε “python vol.py -f (file-
path) -o "dump" windows.registry.hivelist --filter Doe\ntuser.dat --dump”. Το αρχείο

δημιουργείται και μπορούμε να συμπεράνουμε ότι είναι αρχείο registry ανοίγοντάς το με το
HxD.
Αν έχουμε ένα συγκεκριμένο κλειδί που θέλουμε να ψάξουμε χρησιμοποιούμε την
εντολή “python vol.py -f (file-path) windows.registry.printkey --key "Software\Microsoft\
Windows\CurrentVersion" --recurse | more”.

4.4 NETWORK ANALYSIS
Για την έρευνα του δικτύου θα χρησιμοποιήσουμε τα εργαλεία “Network Miner” και “Nmap”.

Το αρχείο που θα δώσουμε στο Network Miner για ανάλυση θα μπορούσαμε να το εξάγουμε
από τον δικό μας υπολογιστή με το Wireshark, αλλά θα κατεβάσουμε ένα έτοιμο “ DFIR
MONTEREY 2015 Network Forensics Challenge (by Phil Hagen of SANS)” από τον
σύνδεσμο: https://www.netresec.com/?page=PcapFiles. Επίσης θα μπορούσαμε να ζητήσουμε
από το Network Miner να φτιάξει ένα αρχείο pcap προς ανάλυση αν δίναμε διεύθυνση IP και
port ή μέσω μιας σύνδεσης TCP.
Στην αρχική οθόνη βλέπουμε όλες τις συνδέσεις με τις διευθύνσεις IP τους και πιθανόν
το όνομα τους δίπλα. Αυτές τις συνδέσεις μπορούμε να τις φιλτράρουμε βάση των διευθύνσεων
IP, των διευθύνσεων MAC (δηλαδή των συσκευών που κάνανε την περιήγηση), ονομάτων των
δεκτών (hostnames), πακέτα που έχουν σταλεί ή παραλειφθεί και bytes, ανοιχτά ports που έχουν
επικοινωνήσει οι πομποί με τους δέκτες (όχι όλα όσα υπάρχουν ανοιχτά και ακούνε, αυτό το
κάνει το Nmap), λειτουργικά συστήματα και την απόσταση από δρομολογητή σε δρομολογητή
(hops).

Στα δεξιά στο “Case Panel” μπορούμε να δούμε το αρχείο pcap που έχουμε προς
ανάλυση. Αν πατήσουμε δεξί κλικ μπορούμε να δούμε μεταδεδομένα για αυτό. Για παράδειγμα
μπορούμε να δούμε το όνομα του, πότε ξεκίνησε να μαζεύει στοιχεία και συνδέσεις
(δημιουργήθηκε) και πότε σταμάτησε σε ημερομηνίες και ώρες, πόσα πλάνα/καρέ (frames) έχει
συνολικά, το MD5 hash του και άλλα. Τα συνολικά frames είναι 80106 σε αυτή την περίπτωση.

Αν επιλέξουμε μια διεύθυνση IP θα δούμε στις λεπτομέρειες όλες τις διευθύνσεις MAC
που χρησιμοποιούνται. Μερικές IP (συνήθως οι υπολογιστές χρηστών) έχουν μόνο μια
διεύθυνση MAC, οι IP των server όμως όπως η google έχει πολλές MAC καθώς συνδέονται
πολλές IP σε αυτόν τον δέκτη. Επίσης για κάθε IP μπορούμε να δούμε πόσα πακέτα έστειλε και
τι μέγεθος είχαν συνολικά, αλλά και πόσα έλαβε.

Κάτω από τα host details μπορούμε να δούμε λεπτομέρειες για τους δέκτες. Αν είναι
server μπορούμε να βρούμε το όνομα του πανό τους (banner). Για την IP 74.125.232.115 για
παράδειγμα το banner είναι GSE με πρωτόκολλο TCP στην πύλη 80.

Στην καρτέλα “Files” μπορούμε να βρούμε αρχεία που μεταφέρθηκαν μέσω του δικτύου.
Αν ψάχνουμε για κάτι συγκεκριμένο μπορούμε να φιλτράρουμε για παράδειγμα με
επέκταση .jpg και να μελετήσουμε την λίστα με τα αρχεία αυτά. Πατώντας πάνω τους μπορούμε
να δούμε λεπτομέρειες όπως το μέγεθος τους, την τελευταία φορά που τροποποιήθηκαν, από που
και προς που στάλθηκαν και τις πύλες, τα hashes τους και τις διαδρομές (path). Στην καρτέλα
“Images” μπορούμε να δούμε σε μορφή εφαρμογές όλες τις εικόνες που στάλθηκαν.
Στην καρτέλα “Messages” μπορούμε να δούμε μηνύματα που έχουν σταλθεί μέσω του
δικτύου. Στην προκειμένη περίπτωση έχει σταλθεί ένα mail από το facebook και συγκεκριμένα
update+zrdzhehcvfe1@facebookmail.com στη διεύθυνση ned.pwned.se@gmx.com και
ημερομηνία 2015-04-13 04:38:53 UTC. Υπάρχουν και άλλες πληροφορίες όπως το πρωτόκολλο
POP3, ποιος αριθμός frame είναι, αν έχει ελεγχθεί για κακόβουλο λογισμικό ή ιούς κτλ, αν

θεωρήθηκε ανεπιθύμητη αλληλογραφία (spam) ή όχι, αλλά φυσικά και το περιεχόμενο του
μηνύματος.
Στην καρτέλα “Credentials” υπάρχουν ονόματα χρήστη και κωδικοί χρηστών σε
κάποιους server. Στο παράδειγμα μας μπορούμε να βρούμε τρεις τέτοιες περιπτώσεις. Ένας
χρήστης έχει το ίδιο όνομα (homer.pwned.se@gmx.com) και κωδικό (spring2015) στο email του
αλλά έχει πιθανός δύο συσκευές (μια με Windows και μια με Linux) αλλά με την ίδια διεύθυνση
IP και ένας άλλος χρήστης με όνομα (ned.pwned.se@gmx.com) και κωδικό
(MyP#asswordIsPretty123Good!) διαφορετικά. Μπορούμε να δούμε και την τελευταία φορά που
έγινε σύνδεση στον λογαριασμό.

Στην καρτέλα “Sessions” μπορούμε να δούμε τις επισκέψεις που έκανε κάθε IP σε ποια
άλλη, στις πύλες, ποιο πρωτόκολλο χρησιμοποιήθηκε, τον αριθμό του frame και την ημερομηνία
και ώρα. Για ποιο συγκεκριμένα αποτελέσματα μπορούμε να ψάξουμε βάση πύλης ή
πρωτοκόλλου.

Στην καρτέλα “DNS” (Σύστημα Ονοματοδοσίας Διαδικτύου) βλέπουμε όλες τις αιτήσεις
που έγιναν και ποια ήταν η απάντηση (μπορεί να είναι μια IP για ανακατεύθυνση ή σε
περίπτωση σφάλματος να δοθεί κάποιο flag). Μπορούμε ακόμα να δούμε το TTL (Time To
Live) για κάθε αίτηση και απάντηση.

Στην καρτέλα “Parameters” βλέπουμε τις παραμέτρους των αιτήσεων. Μπορούμε να
ψάξουμε για συγκεκριμένες παραμέτρους όπως η “GET” και να δούμε από που έγινε, προς τα
που και πότε.

Φυσικά, στην καρτέλα “Keywords” μπορούμε να ψάξουμε συγκεκριμένες λέξεις κλειδιά
οι οποίες μας ενδιαφέρουν και να δούμε όλα τα αποτελέσματα στα οποία αναφέρονται.
Το ιδιαίτερο χαρακτηριστικό του Nmap είναι ότι μπορεί να χαρτογραφήσει δίκτυα και να
εμφανίσει πύλες ενεργές σε έναν server και τι πρωτόκολλα χρησιμοποιούν αν απλά δώσουμε την
IP που θέλουμε. Το χρησιμοποιούν οι hackers για να ανακαλύψουν αδυναμίες σε ένα δίκτυο και
να βρουν τρόπους να επιτεθούν ή να ανακαλύψουν στοιχεία που είναι απόρρητα. Είναι όμως
χρήσιμο και για ηθική χρήση όπως έλεγχος ενός δικτύου για την βελτίωση του.
Για να δοκιμάσουμε το εργαλείο θα χρειαστούμε να πειραματιστούμε σε έναν server. Το
Nmap Security Scanner Project προσφέρει μια ιστοσελίδα/server για αυτό τον σκοπό
http://scanme.nmap.org/. Για να χρησιμοποιήσουμε το Nmap χρειαζόμαστε διεύθυνση IP.

Γνωρίζοντας μια ιστοσελίδα μπορούμε να βρούμε τις διευθύνσεις IP της είτε με απλό ping, είτε
με τη βοήθεια του εργαλείου “DNS lookup tool” στο διαδίκτυο, είτε με την εντολή nslookup στη
γραμμή εντολών (cmd). Γράφουμε λοιπόν “nslookup scanme.nmap.org”.
Μας παρουσιάζονται δύο διευθύνσεις, μια μεγάλη (2600:3c01::f03c:91ff:fe18:bb2f) που
είναι IPv6 και μια μικρότερη και πιο συνηθισμένη (45.33.32.156) που είναι IPv4. Και οι δύο
διευθύνσεις είναι σωστές. Οι IPv6 διευθύνσεις φτιάχτηκαν για να λύσουν το πρόβλημα του
περιορισμού των IPv4. Οι IPv4 ίσως χρησιμοποιούνται περισσότερο, σιγά σιγά όμως θα γίνει η
μετάβαση στις IPv6.
Αφού ξέρουμε την διεύθυνση IP, τώρα μπορούμε να κάνουμε ping για να δούμε αν είναι
ανοιχτός ο server. Αφού παίρνουμε απάντηση ο server είναι διαθέσιμος, αν θέλουμε να κάνουμε
ping ένα ολόκληρο δίκτυο αρχικά υπολογίζουμε ποια θα ήταν η διεύθυνση αυτού. Το δίκτυο
αυτό θα μπορούσε να έχει μέχρι 254 δέκτες. Οπότε η διεύθυνση θα ήταν 45.33.32.0/24. Ο
αριθμός μετά το slash (/) είναι η μάσκα δικτύου (subnet mask). Αφού έχουμε 0 στους δέκτες
(hosts) βάση του πίνακα θα έχουμε 24 στη μάσκα. Η εντολή λοιπόν θα είναι “nmap -sP
45.33.32.0/24”. Η χρήση του nmap εδώ αντί του ping βοηθά στο να μην είναι εμφανές οι
ενέργειες που γίνονται. Στο τέλος, μπορούμε να δούμε ότι είναι ενεργοί 162 δέκτες από τους 254
πιθανούς.



Το nmap όμως μπορεί να κάνει πολλά παραπάνω. Από τα σημαντικότερα πράγματα είναι
να ελέγχουμε για ανοιχτά ports. Αν θέλουμε να ψάξουμε για παράδειγμα αν ένας server έχει
ανοιχτές πύλες τις 80 και 443 γράφουμε την εντολή “nmap -sT -p 80,443 45.33.32.0/24”. Η
επιλογή -sT είναι για TCP έλεγχος σύνδεσης σε πύλες και η επιλογή -p είναι για να δηλώσουμε
τις πύλες που θέλουμε να ψάξουμε δίπλα. Στη γραμμή εντολών αυτό δεν θα τρέξει, οπότε
χρησιμοποιούμε το Windows PowerShell. Στα Linux απλώς θα γράφαμε sudo μπροστά στην
εντολή. Για κάθε δέκτη βλέπουμε αν κάθε πύλη που ζητήσαμε είναι ανοικτή. Υπάρχουν τρεις
βασικές καταστάσεις. Η κλειστή πύλη, η ανοικτή και η φιλτραρισμένη. Η φιλτραρισμένη
σημαίνει ότι ένα τοίχος προστασίας (firewall) ή κάποιο άλλο δικτυακό εμπόδιο προστατεύει
αυτή την πύλη έτσι ώστε να μην φαίνεται από ένα scan για παράδειγμα να είναι ανοιχτή ή
κλειστή. Μπορεί το nmap να μην καταλαβαίνει αν μια πύλη είναι ανοικτή ή κλειστή αλλά να
μην είναι μπλοκαρισμένη ή προστατευμένη. Τότε την χαρακτηρίζει “unfiltered”. Υπάρχει τέλος
περίπτωση το nmap να μην γνωρίζει αν μια πύλη είναι ανοιχτή ή φιλτραρισμένη και κλειστή ή
φιλτραρισμένη οπότε εμφανίζει “open|filtered” και “closed|filtered” αντίστοιχα. Ο τρόπος που
λειτουργεί το “TCP Connect Scan” είναι η τριμερής χειραψία ή αλλιως “Three-way handshake”.



Αν θέλουμε όμως να μην μας ανιχνεύει κάποιο firewall ή IDS όταν το κάνουμε αυτό
μπορούμε να τρέξουμε την εντολή “nmap -sS -p 80,443 45.33.32.0/24”. Βέβαια, μερικά τύχη
προστασίας έχουν πιο εξελιγμένες τεχνικές ανίχνευσης και μπορούν ακόμα και έτσι να μας
καταλάβουν και να μας αποτρέψουν. Ο τρόπος που δουλεύει η παραπάνω εντολή είναι ο ίδιος
μόνο που δεν ολοκληρώνει ποτέ την τριμερή χειραψία. Ο πομπός δεν στέλνει ποτέ το τελευταίο
ACK για να γίνει η σύνδεση.
Η διαφορά μπορεί να φανεί με την χρήση του εργαλείου wireshark. Το wireshark μπορεί
να συλλέγει πακέτα που λαμβάνουμε και στέλνουμε. Ας το δοκιμάσουμε και με τις δύο εντολές.
Πρώτη η ολοκληρωμένη σύνδεση. Ξεκινάμε τη συλλογή πακέτων και τρέχουμε την εντολή αλλά
για ποιο μεγάλη ευκολία θα την τρέξουμε για ένα συγκεκριμένο δέκτη και δεν θα δώσουμε
συγκεκριμένες πύλες. Το nmap θα εμφανίσει τις χίλιες πιο “διάσημες” από αυτές. Μόλις βγάλει
αποτελέσματα η εντολή σταματάμε την συλλογή πακέτων του Wireshark και φιλτράρουμε τα
αποτελέσματα για την συγκεκριμένη διεύθυνση που ψάξαμε. Παρατηρούμε ότι στην πρώτη
περίπτωση ο πομπός (εμείς) στείλαμε το ACK πίσω, ενώ στην δεύτερη αυτό δεν υπάρχει και
ακολουθεί κατευθείαν το RST. Το RST είναι ένα reset της σύνδεσης και ουσιαστικά την κλείνει.

Η εντολή στο nmap για το κανονικό TCP scan:
Το αποτέλεσμα που βλέπουμε στο wireshark:
Η εντολή στο nmap για το “κρυφό” TCP που δεν θα το ολοκληρώσουμε ποτέ:

Το αποτέλεσμα που βλέπουμε στο wireshark:
Με το nmap μπορούμε να μάθουμε τι λειτουργικό σύστημα τρέχει ο στόχος μας. Αυτό
γίνεται με την εντολή “nmap -O 45.33.32.241”. Το αποτέλεσμα που παίρνουμε είναι εικασία
αλλά είναι αρκετά εύστοχη. Στην περίπτωση του παραδείγματος, ο στόχος τρέχει Linux με πιο
πιθανή έκδοση την 5.0.
Η εντολή “nmap -A 45.33.32.241” θα μας βγάλει πολλές πληροφορίες για τον στόχο και
το δίκτυο. Παίρνει περισσότερη ώρα. Μας εμφανίζει όπως και πριν το λειτουργικό σύστημα που
χρησιμοποιείται. Αλλά και αναγνώριση εκδόσεων για παράδειγμα απαντήσεις από web servers,
ftp (file-transfer-protocol) servers, ssh (secure shell) servers και άλλα. Μπορεί να εμφανίσει και
ssh host keys. Τα κλειδιά αυτά είναι κρυπτογραφημένα και χρησιμοποιούνται για την
ακεραιότητα του πρωτοκόλλου. Κάνει script-scanning, δηλαδή τρέχει κάποιο έτοιμο μικρό
κώδικα για να εμφανίσει πληροφορίες για τον στόχο. Τέλος κάνει traceroute, δηλαδή μπορεί να
μας πει πόσο μακριά είναι ο στόχος από εμάς, πόση ώρα παίρνει ένα πακέτο να ταξιδέψει από

εμάς στον στόχο, από ποια hops περνάει. Όλα αυτά πλέον ανήκουν στο aggressive mode,
δηλαδή είναι πιο επιθετικοί τρόποι ελέγχου δικτύων και πρέπει να χρησιμοποιούνται με
εξουσιοδότηση.
Το nmap προσφέρει την δυνατότητα της απόκρυψης της IP που το χρησιμοποιεί για να
ελέγξει έναν στόχο, σαν ένα VPN. Η εντολή είναι “nmap -sS -D 192.168.1.80 45.33.32.241”.
Την ρύθμιση -sS την έχουμε δει παραπάνω, είναι TCP connect αλλά όχι ολοκληρωμένο. Το -D
συμβολίζει το decoy (δόλωμα), για αυτό η πρώτη IP δεν σημαίνει κάτι. Θα είναι η IP που θα
φαίνεται ότι κάνει το nmap.
Το nmap λοπως είπαμε μπορεί να τρέξει scripts. Υπάρχουν scripts για την αναζήτηση
αδυναμιών σε ένα δίκτυο. Μπορούμε να βρούμε στην ιστοσελίδα

https://nmap.org/nsedoc/categories/vuln.html. Και μπορούμε να φτιάξουμε και τα δικά μας για
να τα τρέξει το nmap. Το nmap όμως μπορεί να τρέξει όλα τα scripts στην κατηγορία που
θέλουμε (εδώ την vuln) αυτόματα με την εντολή “nmap --script vuln 45.33.32.241”. Αυτές τις
αδυναμίες μπορούμε μετά να της εκμεταλλευτούμε για να αποκτήσουμε μη εξουσιοδοτημένη
πρόσβαση σε δίκτυα, να αντιγράψουμε αρχεία και άλλα πολλά.
Δίπλα από εντολές όπως η -sT, -sS μπορούμε να βάλουμε τους δείκτες -T0, … -T4 όπου
το 0 είναι ο πιο αργός έλεγχος και το 4 ο πιο γρήγορος. Το νόημα στον αργότερο έλεγχο στο
nmap είναι ότι μειώνει τις πιθανότητες ένα σύστημα να το αναγνωρίσει και να το μπλοκάρει
βάση των συχνοτήτων των εντολών που εκτελούνται και των πακέτων που μεταφέρονται.

4.5 MOBILE FORENSICS
Στην ενότητα αυτή θα δείξουμε πως μπορούμε να συνδέσουμε το κινητό μας (είτε android είτε
IOS) στο σύστημα μας και να το ελέγξουμε για κακόβουλο λογισμικό. Για τον σκοπό αυτό θα
χρησιμοποιήσουμε το εργαλείο “MVT-Mobile Verification Toolkit”. Σημειώνεται πως το
εργαλείο αυτό δεν υποστηρίζει windows αλλά linux. Παρόλα αυτά μπορούμε να το τρέξουμε και
από το υποσύστημα των windows για τα linux (WSL). Αρχικά θα χρειαστούμε το pip της python
για να κατεβάσουμε το MVT και το “adb” για να κάνουμε την σύνδεση με το κινητό τηλέφωνο.
Αυτό το κάνουμε γράφοντας στο terminal “sudo apt install python3-pip adb”. Όταν κατεβάζουμε
ένα πρόγραμμα, είναι πάντα χρήσιμο να κοιτάμε την τεκμηρίωση του. Για το MVT μπορούμε να
την βρούμε εδώ: https://docs.mvt.re/en/latest/install/. Μέσω του συνδέσμου αυτού βλέπουμε ότι
πρέπει επίσης να κατεβάσουμε κάποιες εξαρτήσεις για αυτό το εργαλείο με την εντολή “sudo apt
install python3 python3-venv python3-pip sqlite3 libusb-1.0-0” . Το libusb-1.0-0 είναι αναγκαίο
αν θέλουμε να χρησιμοποιήσουμε το MVT για android. Έπειτα ενθαρρύνεται να κατεβάσουμε
και το pipx με τις εντολές “python3 -m pip install --user pipx” και “python3 -m pipx
ensurepath”. Το pipx το θέλουμε για να εγκαταστήσουμε εντολές python και όχι εξαρτήσεις.
Τέλος κατεβάζουμε το MVT με την εντολή “pipx install mvt”. Αν όλα έχουν πάει καλά
τρέχοντας την εντολή “mvt-android” θα μας εμφανιστούν στην οθόνη οδηγίες και επιλογές για
το πως να τρέξουμε την εντολή. Το ίδιο ισχύει και για την εντολή “mvt-ios”.

Για να ξεκινήσουμε πρέπει να ενεργοποιήσουμε το “usb-debugging” στο κινητό από τις
ρυθμίσεις. Στην κατηγορία “σχετικά με το κινητό - about phone” πρέπει να πατήσουμε αρκετές
φορές πάνω στην έκδοση MIUI για να γίνουμε προγραμματιστές.

Έπειτα, αναζητούμε την κατηγορία “επιλογές προγραμματιστών - developer options” και το
ενεργοποιούμε καθώς ενεργοποιούμε την επιλογή “usb debugging - εντοπισμός σφαλμάτων”.
Θα μας εμφανιστεί μια οθόνη προειδοποίησης για κινδύνους και εμείς απλά θα το δεχτούμε.




Τώρα είμαστε έτοιμοι να συνδέσουμε το κινητό στο σύστημα μας μέσω USB για παράδειγμα.
Θα μπορούσαμε να χρησιμοποιήσουμε την εντολή “mvt-android check-adb” για να γίνει η
σύνδεση adb, αλλά θα κάνουμε την σύνδεση μέσω wi-fi καθώς είναι πιο εύκολο. Έτσι γράφουμε
την εντολή “adb tcpip 5555” για να ορίσουμε τον αριθμό της πύλης εμείς και έπειτα την εντολή
“mvt-android check-adb --serial 192.168.1.20:5555 --output /path/to/results” όπου θα αλλάξουμε
την διεύθυνση “192.168.1.20” με την πραγματική διεύθυνση του κινητού μας και το
“/path/to/results” με τον φάκελο που θέλουμε να αποθηκεύσουμε τα αποτελέσματα. Για τον
φάκελο μπορούμε να βάλουμε ότι θέλουμε, εδώ βάλαμε το “/root/apps”.
Η διεύθυνση IP του κινητού μπορεί να βρεθεί πηγαίνοντας στις ρυθμίσεις και ψάχνοντας
“διεύθυνση IP - IP address” και κυλώντας τον δρομέα προς τα κάτω βρίσκουμε την IP
διεύθυνση σε πολλές μορφές όπως IPv4, IPv6. Θα πρέπει να πατήσουμε “allow” από το κινητό
για να ολοκληρωθεί.




Σημείωση: Αν υπάρχουν προβλήματα προτείνεται να γίνει λήψη των εργαλείων adb από τον
σύνδεσμο: https://developer.android.com/tools/releases/platform-tools και μετά από το wsl
μπορούμε να μετακινηθούμε στα αρχεία που έχουμε στον υπολογιστή μας με cd μέσω του mnt
φακέλου και μετά στον φάκελο στον οποίο κατεβάσαμε τα εργαλεία αυτά. Αντιγράφουμε
ολόκληρο τον φάκελο στον φάκελο “~/” του wsl. Από εκεί μπαίνουμε στον φάκελο που μόλις
αντιγράψαμε και τρέχουμε τις εντολές “adb kill-server” και “adb start-server”. Μετά
συνεχίζουμε κανονικά από εκεί.
Μέσω της εντολής “mvt-android check-adb” βλέπουμε τα αποτελέσματα του ελέγχου των
ρυθμίσεων που γίνονται ταυτόχρονα με τη δημιουργία των αντιγράφων (backups). Για
παράδειγμα, μερικές προειδοποιήσεις (warnings) είναι ότι η συγκεκριμένη συσκευή δεν έχει
λάβει ενημερώσεις εδώ και πάνω από 6 μήνες και ότι η εγκατάσταση μη εμπορικών εφαρμογών
είναι ενεργοποιημένη. Επίσης, αφού τελειώσει αυτό το στάδιο, μπορούμε να πάμε στον φάκελο
που επιλέξαμε και να δούμε με λεπτομέρειες τα αντίγραφα. Για παράδειγμα μπορούμε να δούμε
τα εισερχόμενα και εξερχόμενα μηνύματα (sms) στο κινητό αυτό, πότε έχουν σταλθεί από ποιόν
και το περιεχόμενο τους. Καθώς και πολλές άλλες πληροφορίες του συστήματος, των
εφαρμογών και των πληροφοριών του ιδιοκτήτη που είναι αποθηκευμένες στη συσκευή.


5. ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΜΕΛΛΟΝΤΙΚΗ ΜΕΛΕΤΗ

ΒΙΒΛΙΟΓΡΑΦΙΑ
[Παράδειγμα: Αναφορά σε επιστημονική δημοσίευση]
1. Eppinger, S. D., (1991), Model-based Approaches to Managing Concurrent Engineering,
Journal of Engineering Design, 2, pp.283-290
[Παράδειγμα: Αναφορά σε ανακοίνωση συνεδρίου]
2. Moulianitis V.C., Dentsoras A.J., Aspragathos N.A., (1999), A Heuristic Method for
Knowledge-Based Conceptual Design of Robot Grippers based on the Euclidean Space Inner
Product, CACD' 99, Lancaster, UK
[Παράδειγμα: Αναφορά σε βιβλίο]
3. Zimmermann H.J., (1996), Fuzzy Set Theory and its Applications, Kluwer Academic
Publishers, USA
[Παράδειγμα: Αναφορά σε link]
4. Marczyk A., Genetic Algorithms and Evolutionary Computation, (2016, November 8),
retrieved from http://www.talkorigins.org/faqs/genalg/genalg.html
1. A. R. Javed, W. Ahmed, M. Alazab, Z. Jalil, K. Kifayat and T. R. Gadekallu, "A
Comprehensive Survey on Computer Forensics: State-of-the-Art, Tools, Techniques, Challenges,
and Future Directions", in IEEE Access, vol. 10, pp. 11065-11089, 2022, doi:
10.1109/ACCESS.2022.3142508.

2. Αποστολόπουλος Δημήτριος “Ψηφιακή εγκληματολογία: μελέτη πραγματικών σεναρίων” in
Διώνη, uri: https://dione.lib.unipi.gr/xmlui/handle/unipi/8302
3. Δημόπουλος Σταύρος “Digital evidence & forensics” in Διώνη, uri:
https://dione.lib.unipi.gr/xmlui/handle/unipi/14202
4. Παυλίδης Παύλος “Open-source tools for digital forensics” in Διώνη, uri:
https://dione.lib.unipi.gr/xmlui/handle/unipi/15367
5. Ελληνική Αστυνομία Υπουργείο Προστασίας του Πολίτη “Λειτουργία και αρμοδιότητες των
τμημάτων της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος” retrieved from:
https://www.astynomia.gr/elliniki-astynomia/eidikes-ypiresies/diefthynsi-dioxis-ilektronikou-
egklimatos/leitourgia-kai-armodiotites-ton-tmimaton-tis-diefthnsis-dioxis-ilektronikou-
egklimatos
6. William Oettinger, (24th of April 2020), “Learn Computer Forensics: A beginner’s guide to
searching, analyzing, and securing digital evidence”, Packt Publishing, ISBN-10: 1838648178,
ISBN-13: 978-1838648178
7. Darren Hayes, (21st of October 2020), “Practical Guide to Digital Forensics Investigations”,
Pearson IT Certification, ISBN-10: 0789759918, ISBN-13: 978-0789759918
8. Lovanshi, M., Bansal, P. (2019). “Comparative Study of Digital
Forensic Tools”. In: Shukla, R.K., Agrawal, J., Sharma, S., Singh Tomer,
G. (eds) Data, Engineering and Applications. Springer, Singapore.
https://doi.org/10.1007/978-981-13-6351-1_15

9. Karam Muhammed Mahdi Salih, Najla Badi Ibrahim, “Digital Forensic Tools: A Literature
Review”, in Journal of Education and Science, uri:
https://edusj.mosuljournals.com/article_177259.html
10. Vassil Roussev, Irfan Ahmed, Andres Barreto, Shane McCulley, Vivek Shanmughan, “Cloud
forensics–Tool development studies & future outlook”, Volume 18 pages 79-95, 2016,
11.

Γενικές παρατηρήσεις:
Οι σπουδαστικές και διπλωματικές εργασίες πρέπει να περιλαμβάνουν τα παρακάτω:

1. Ανασκόπηση της βιβλιογραφίας σχετικής με το θέμα το οποίο πραγματεύονται με στόχο
την αναφορά αλλά και κριτική συνθετική θεώρηση του τι έχει γίνει μέχρι σήμερα
2. Τοποθέτηση, ανάπτυξη και ανάλυση του προς αντιμετώπιση προβλήματος
3. Περιγραφή της μεθοδολογίας που ακολουθείται για την επίλυση του προβλήματος
4. Παράθεση των χρησιμοποιούμενων πειραματικών και/ή αναλυτικών μεθόδων και
τεχνικών
5. Περιγραφή – εφόσον χρησιμοποιούνται - των πειραματικών και μετρητικών διατάξεων,
συσκευών και οργάνων
6. Περιγραφή – εφόσον χρησιμοποιούνται - των υπολογιστικών, σχεδιαστικών, κλπ.
εργαλείων
7. Τα αποτελέσματα της εργασίας, τον σχολιασμό τους καθώς και τα ειδικά και γενικά
συμπεράσματα που προκύπτουν από αυτά

8. Προτάσεις και κατευθύνσεις για την περαιτέρω ανάπτυξη της εργασίας
Τεχνικές παρατηρήσεις:
1. Το παρόν πρότυπο μπορεί να σχηματίζει αυτόματα τον πίνακα περιεχομένων υπό την
προϋπόθεση ότι: α. χρησιμοποιείτε τους προτεινόμενους τύπους (styles) για τις
επικεφαλίδες κεφαλαίων, ενοτήτων, υποενοτήτων, κλπ, β. κάνετε ενημέρωση του πίνακα
περιεχομένων κάθε φορά που τροποποιείτε τις επικεφαλίδες
2. Χρησιμοποιείστε διάστημα 1.5 ανάμεσα στις γραμμές του κειμένου
3. Η χρήση χρωμάτων και τονικών διαβαθμίσεων στα σχήματα και τις εικόνες βοηθά στην
κατανόησή των περιεχομένων τους
4. Το παρόν πρότυπο χρησιμοποιεί τη γραμματοσειρά Times New Roman με μέγεθος
γραμμάτων 12. Εναλλακτικά μπορούν να χρησιμοποιηθούν οι γραμματοσειρές Arial,
Calibri, Cambria, Garamond και Century Gothic

Διπλωματική 1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Διπλωματική 1

Uploaded by

Copyright:

Available Formats

ΠΑΝΕΠΙΣΤΗΜΙΟ ΔΥΤΙΚΗΣ ΑΤΤΙΚΗΣ

ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΥΠΟΛΟΓΙΣΤΩΝ

Ψηφιακή Δικανική Έρευνα

[Ονοματεπώνυμο και βαθμίδα επιβλέποντος]

Διπλωματική εργασία υποβληθείσα στο Τμήμα

Πανεπιστήμιο Δυτικής Αττικής, Τμήμα Μηχανικών Πληροφορικής και

ΠΑΝΕΠΙΣΤΗΜΙΟ ΔΥΤΙΚΗΣ ΑΤΤΙΚΗΣ

Η παρούσα διπλωματική εργασία παρουσιάστηκε

την [ημέρα, μήνα, έτος]

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] iii

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] iv

Ψηφιακή Δικανική Έρευνα

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] v

Η ψηφιακή δικανική έρευνα είναι η διαδικασία συλλογής, ανάλυσης και διατήρησης

τα πιο διαδεδομένα εργαλεία για κάθε πεδίο της έρευνας.

Κυβερνοασφάλεια, κυβερνοέγκλημα, ψηφιακή δικανική έρευνα, συλλογή, ανάλυση, αποδείξεις,

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] vi

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] vii

Digital Forensics Investigation

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] viii

Digital Forensics Investigation is the process of collecting, analyzing and preserving

Cybersecurity, cybercrime, digital forensic investigation, collection, analysis, evidence, tools

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] ix

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] x

[Παράδειγμα: Πίνακας 1. Διάμετροι νανοτεχνολογικών……………………σελ. 16]

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xi

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xii

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xiii

ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ ΚΑΙ ΕΙΚΟΝΩΝ

[Παράδειγμα: Σχήμα 1. Μεταβολή του συντελεστή ενίσχυσης …………………………43]

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xiv

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xv

[παράδειγμα: k (N/m) - σταθερά ελατηρίου]

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xvi

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xvii

ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ ΚΑΙ ΕΙΚΟΝΩΝ......................................................................XII

1.1 ΗΛΕΚΤΡΟΝΙΚΟ ΕΓΚΛΗΜΑ............................................................................4

1.2 ΔΙΑΔΙΚΑΣΙΑ ΨΗΦΙΑΚΗΣ ΔΙΚΑΝΙΚΗΣ ΕΡΕΥΝΑΣ....................................9

1.2.1 Ο ρόλος της σε άλλα πεδία.............................................................................10

1.3 ΝΟΜΟΘΕΣΙΑ ΚΑΙ ΚΡΑΤΙΚΌΣ ΜΗΧΑΝΙΣΜΟΣ.......................................12

1.3.2 Δίωξη ηλεκτρονικού εγκλήματος..................................................................13

2.1 ΤΟΜΕΙΣ ΕΡΕΥΝΑΣ..........................................................................................18

2.1.1 Λειτουργικά συστήματα................................................................................18

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xviii

2.1.2 Σύστημα αρχείων και δίσκος.........................................................................22

2.1.3 Μνήμη σε ζωντανή λειτουργία......................................................................26

2.1.4 Δίκτυο (Network)............................................................................................27

2.1.5 Διαδίκτυο (Web).............................................................................................29

3.1 AUTOPSY SLEUTHKIT..................................................................................36

3.7 NETWORK MINER..........................................................................................39

3.13 ΣΥΓΚΡΙΣΗ ΕΡΓΑΛΕΊΩΝ................................................................................43

4. ΧΡΗΣΗ ΕΡΓΑΛΕΙΩΝ ΓΙΑ................................................................................................46

4.1 IMAGE CREATION..........................................................................................46

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xix

4.2 DISK ANALYSIS...............................................................................................53

4.3 MEMORY FORENSICS...................................................................................92

4.4 NETWORK ANALYSIS..................................................................................111

4.5 MOBILE FORENSICS....................................................................................134

4.6 IMAGE ANALYSIS.........................................................................................134

5. ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΜΕΛΛΟΝΤΙΚΗ ΜΕΛΕΤΗ.................................................135

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xx

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] xxi

σε τρίτους συνήθως περιλαμβάνονται στον πρόλογο.]

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών – [όνομα τομέα] 1