Columbo es una útil informática de estudio forense que se puede utilizar para simplificar e identificar ciertos patrones en conjuntos de datos comprometidos. Desglosa los datos en pequeños fragmentos y utiliza modelos de examen de patrones y educación automotriz para identificar el comportamiento de los oponentes y sus posibles posiciones en las plataformas vulnerables de Windows en forma de sugerencias. Columbo está trabajando actualmente en una plataforma Windows.
Dependencias y edificio de suspensión nivel
Columbo depende de volatility 3, autorunsc.exe y sigcheck.exe para extraer datos. Por lo tanto, los usuarios deben descargar estas herramientas dependientes y colocarlas en Columbo bin Carpeta. Asegúrese de observar y comprender la sección de inmoralidad (o el archivo License.txt) ayer de descargar ausencia. Las horizontes (datos) generadas por estas herramientas se envían automáticamente a la máquina principal de Columbo. Lo divide en pequeños trozos, lo preprocesa y aplica modelos de educación automotriz para clasificar la ubicación del sistema comprometida, los ejecutables y otros comportamientos.
Primeros pasos con Columbo
Videos
- Antaño de nacer Columbo Watch
- Estudio forense de almacenamiento con estudio forense de almacenamiento Columbo
Instalacion y configuracion
Ejecutable – binario
- Descargue e instale Python 3.7 o 3.8 (no probado con 3.9). Asegúrese de unir python.exe a la RUTA durante la instalación.
- Descargue la última lectura binaria de Columbo de Releases
- Descargue y coloque debajo los siguientes principios Columbo bin.
- Código fuente de Volatility 3. Columbo no es compatible con Volatility 2. Asegúrese de descargar, descomprimir y juntar todavía paquetes de tablas de símbolos para Windows Columbo bin volatility3-master volatility symbols.
- Descarga tanto autorunsc.exe como sigcheck.exe
NÓTESE BIEN: Para evitar errores, la estructura del directorio debe ser la próximo Columbo bin volatility3-master , Columbo bin autorunsc.exe y Columbo bin sigcheck.exe
Finalmente, haga doble clic «Main.exe» debajo de Columbo.
Código fuente
- Descargue e instale Python 3.7 o 3.8 (no probado con 3.9). Asegúrese de unir python.exe a la RUTA durante la instalación.
- Descargue la última lectura de tiro de Columbo – Source Code.
- Haga doble clic en install-prerequisites.bat para instalar todos los paquetes necesarios.
- Descargue y coloque los siguientes archivos debajo Columbo bin.
- Código fuente de Volatility 3. Columbo no es compatible con Volatility 2. Asegúrese de descargar, descomprimir y juntar todavía paquetes de tablas de símbolos para Windows Columbo bin volatility3-master volatility symbols
- Descargue autorunsc.exe y sigcheck.exe.
NÓTESE BIEN: Para evitar errores, la estructura del directorio debe hallarse así Columbo bin volatility3-master , Columbo bin autorunsc.exe y Columbo bin sigcheck.exe
- Finalmente ve a cmd y escribe python.exe Columbo main.py
Columbo y educación automotriz
Columbo utiliza el preprocesamiento de datos para organizar los datos y los modelos de educación automotriz e identificar comportamientos sospechosos. Los resultados son 1 (sospechoso) o 0 (existente), en forma de sugerencias que solo se utilizan para ayudar a los examinadores forenses digitales en su toma de decisiones. Entrenamos los modelos con diferentes ejemplos para maximizar la precisión y usamos diferentes enfoques para minimizar los falsos positivos. Sin bloqueo, siguen ocurriendo falsos positivos (detección falsa) y estamos comprometidos a refrescar los modelos con regularidad.
Fingido positivo
No es realizable resumir los falsos positivos (detección falsa), especialmente cuando se tráfico de educación automotriz. El resultado producido por los modelos de educación automotriz pueden ser falsos positivos según la calidad de los datos utilizados para entrenar los modelos. Para apoyar a los examinadores forenses en sus investigaciones, Columbo genera calificaciones porcentuales de 1 (sospechoso) y 0 (existente) respectivamente. Este enfoque ayuda a los revisores a decantarse la ruta, el comando o el proceso que Columbo considera sospechoso.
Opciones a nominar
opcion 2
Archivos de estudio en vivo y trazabilidad de procesos. Esta opción analiza los procesos en ejecución de Windows para determinar posibles actividades dañinas. Columbo usa autorunsc.exe para extraer los datos de la máquina. La salida se envía a modelos de educación automotriz y motores de examen de patrones para clasificar la actividad sospechosa. Los resultados se guardan seguidamente en Columbo ML Step-2-Results en forma de archivos de Excel para su posterior estudio. Adicionalmente, los usuarios tienen la oportunidad de examinar los procesos en ejecución. El resultado incluye información como la trazabilidad del proceso, los comandos asociados con cada proceso, si corresponde, y si los procesos son responsables o no de ejecutar nuevos procesos.
Opción 3
Escanee y analice el archivo de imagen del disco duro (.vhdx): Esta opción utiliza rutas de la imagen del disco duro montado en Windows. Utiliza sigcheck.exe para extraer los datos de los sistemas de archivos. Luego, los resultados se introducen en modelos de educación automotriz para clasificar la actividad sospechosa. Los resultados todavía se guardan en Columbo ML Step-3-Results en forma de archivos de Excel.
Opción 4
Estudio forense de la memoria. Con esta opción, Columbo toma la ruta del volcado de memoria y se crean las siguientes opciones para que los usuarios elijan.
- Información de almacenamiento: La volatilidad 3 se utiliza para extraer información sobre la imagen.
- Procesos de escaneo: Volatility 3 se utiliza para extraer información de proceso, DLL y manejo de cada proceso. Columbo luego usa mecanismos de aglomeración y aglomeración para agrupar cada proceso de acuerdo con sus procesos principales. Esta opción será utilizada seguidamente por la trazabilidad del proceso en la opción Detección de anomalías.
- Árbol de proceso: La volatilidad 3 se utiliza para extraer el árbol de procesos de los procesos.
- Detección de anomalías y trazabilidad del proceso: La volatilidad 3 se utiliza para extraer una serie de procesos de detección de anomalías. Sin bloqueo, Columbo proporciona una opción emplazamiento Trazabilidad del proceso para examinar cada proceso por separado y crear la próximo información en conjunto.
- Rutas a archivos ejecutables y comandos relacionados.
- Uso de modelos de educación automotriz para determinar la legalidad de los procesos identificados.
- Realice un seguimiento de cada proceso hasta sus procesos raíz (ruta completa) y sus fechas y horas de ejecución.
- Identifique si el proceso es responsable de ejecutar otros procesos, es sostener, si es o no un proceso padre de nuevos procesos.
- Extrae, procesa y dll información sobre cada proceso y le presenta el resto de la información.
Exención de responsabilidad
EL SOFTWARE SE PROPORCIONA «TAL CUAL» SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUYENDO LAS GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN. EN NINGÚN CASO LOS AUTORES O PROPIETARIOS DE LOS DERECHOS DE AUTOR SERÁN RESPONSABLES DE NINGÚN RECLAMO, DAÑO U OTRAS RESPONSABILIDADES, YA SEA POR CONTRATO, AGRAVIO U OTRAS MEDIDAS, QUE SE HAGAN FUERA DE O EN RELACIÓN CON EL SOFTWARE O EL USO DEL SOFTWARE.
Herramientas de terceros
- Es responsabilidad del favorecido y no responsabilidad de Columbo descargar y utilizar las herramientas de terceros requeridas por Columbo.
- Todavía es responsabilidad del favorecido, y no responsabilidad de Columbo, estar de acuerdo o en desacuerdo con el acuerdo de inmoralidad proporcionado por las herramientas de terceros.
- Respecto a MS SysInternal Tools. Columbo pasa la opción / argumento -accepteula en las líneas de comando para que no sea interactivo. Todavía es responsabilidad del favorecido y no responsabilidad de Columbo estar de acuerdo o en desacuerdo con el acuerdo de inmoralidad proporcionado por MS SysInternal Tools.