Программы для компьютерной экспертизы
Экспертное исследование компьютерных систем – это интересная и полезная область, но она ограничена социальными и правовыми рамками, которые могут оказывать прямое воздействие на путь, которым должно проводиться исследование. Кроме того, подготовка к исследованию может повлиять на шансы удачи в последующем исследовании.
Введение
Экспертное (Forensic) исследование компьютерных систем обычно выполняется обученными специалистами с использованием специализированного оборудования и программного обеспечения. Популярность операционных систем Windows как на рабочих станциях, так и на серверах, является главным фактором необходимости таких исследований. В результате, диапазон инструментов, которые можно использовать для анализа платформ Windows, непрерывно растет. Однако, истинное экспертное исследование компьютера (то, в котором может потребоваться собрать доказательства для суда) ограничивается не только рамками технологий, но и рамками законодательства, а иногда и находится под всевидящим оком прессы.
Опытный исследователь знает, что успех в компьютерной экспертизе зависит не только от возможности сбора доказательств с компьютерной системы, но также от возможности придерживаться правильной методологии в процессе сбора доказательств и их обработки так, чтобы эти доказательства могли быть использованы в суде. Такой подход может быть малоинтересен тем, цель кого – просто восстановление данных или сбор информации, но экспертам, занятым поиском преступлений, или дурного поведения, он жизненно важен.
Первая стадия любого исследования – подготовка, которая может начаться еще до того, как было совершено преступление или обнаружен инцидент нарушения безопасности. Важно помнить о том, что не только исследователи ответственны за эту подготовку: она также может выполняться администраторами рассматриваемых систем. Эта статья, первая из двух частей о компьютерной экспертизе на платформах Windows, исследует предварительные шаги, которые могут быть предприняты как исследователями, так и системными администраторами. Хотя эта статья относится к Windows-специфичным исследованиям, в первой части также будут исследованы некоторые основные, нетехнические концепции, применимые ко всем компьютерным исследованиям. Вторая часть будет по большей части посвящена платформам Microsoft Windows.
Юридические вопросы
Юридические аспекты компьютерной экспертизы концентрируются преимущественно на двух главных проблемах:
- Требования, которые нужно учесть для того, чтобы доказательство могло быть успешно использовано в суде, и, конечно, считалось юридически допустимым.
- Необходимость для исследователя избежать возможности предъявления судебного иска против него, или организации, для которой он проводит исследование.
Часто две эти проблемы взаимосвязаны, по причине права подозреваемого на секретность. Полное обсуждение этого права могло бы стать отдельной серией статей, но вкратце, кто-либо, кто хочет исследовать данные, связанные с другой личностью, перед тем, как предпринимать что-либо, должны убедиться, что они имеют право делать это. Решение обычно достигается уравновешиванием прав подозреваемого против прав и ответственности агенства-исследователя. Хотя это решение звучит просто, оно не всегда легко достигается на практике. Устарелое законодательство и новое законодательство без соответствующей юриспруденции могут объединиться, и произвести элемент неуверенности в том, что допустимо, и что не допустимо в глазах закона. В сложных и рискованных исследованиях рекомендуется советоваться с юристами.
Политики и процедуры
Часто политика секретности организации (если таковая существует) играет решающую роль в равновесии прав подозреваемого и исследователя. Хорошо написанная политика безопасности должна явно отображать, как нужно работать с персональными данными внутри организации и при каких обстоятельствах эти данные могут быть открыты для исследования. Такая политика помогает служащим и работодателям определять разумную ожидаемую секретность. Однако, для организации часто бывает недостаточно просто распространить политику секретности, независимо от того, как хорошо она написана. Чтобы быть более эффективной (не забываем о том, что хорошая политика секретности должна помогать и сотруднику, и работодателю), политика должна быть прочтена и подписана служащим.
Аналогично, так же, как политика секретности разъясняет, как работать с персональными данными, хорошо написанный, распространенный и подписанный служащими «Кодекс поведения» или «Принятые правила пользования» могут помочь определить, какие действия пользователей являются приемлемыми, а какие нет. Это может стать полезным в исследованиях, в которых подозреваемые могли бы попытаться уйти от ответственности, утверждая, что они не имели понятия, что их действия были недопустимы. Подпись служащего может доказать его знание и согласие с политикой.
Правильная реализация вышеперечисленных политик и процедур должна быть всеохватывающей, подписанной всеми причастными лицами и регулярно пересматриваемой. Время и силы, требуемые для проведения этого, потрачены будут не зря, так как могут оказать значительное воздействие на количество инцидентов, которые могут потребовать исследования, количество сообщенных инцидентов и широкие возможности для исследования, когда потребуется компьютерная экспертиза.
Если потеряно, то уже навсегда!
Хотя компьютерная экспертиза может иногда походить на современную черную магию, способную оживить данные, считающиеся погибшими и уничтоженными, в реальности компьютерные эксперты могут восстановить только данные, которые все еще физически присутствуют в системе (даже если они могут быть недоступны обычными методами). Данные, которые никогда не были записаны на диск, или были полностью перезаписаны, вряд ли смогут участвовать в последующем исследовании. К счастью, многие операционные системы предлагают инструменты для записи деталей пользовательской и системной активности с помощью логов. К сожалению для исследователей, многие организации не используют возможности ведения логов на своих компьютерных системах в достаточной мере для того, чтобы можно было использовать эти данные в процессе исследования.
Решение относительно того, какие события и действия регистрировать, может быть сделано путем поиска баланса между пользой от логов и возникающими неудобствами, такими как замедленная работа системы и увеличенное использование дискового пространства. Необходимость ведения логов меняется в соответствии с угрозой для системы или сети; ведение всех логов практикуется редко. Возможным решением является разработка простой системы уровней ведения логов, от базового уровня, который сохраняет основную сетевую активность (например, logon и logoff пользователей), к более высоким уровням, которые хранят больше деталей о пользовательской и системной активности и могут быть ограничены определенными частями сети. Нужно также заметить, что ведение логов доступно не только на рабочих станциях и серверах, а также зачастую и на маршрутизаторах, свитчах, файрволах и даже факсовых аппаратах.
Эти различные уровни ведения логов рекомендуется описать в политике, которую можно распространить всем сетевым администраторам. Несомненно, логи полезны при компьютерной экспертизе, поскольку содержат подробности последней активности, но они также могут быть полезны при обнаружении инцидентов, которые могут потребовать дальнейшего изучения. Многие системы регистрации предлагают средства генерации предупреждений при происхождении определенных событий, но иногда может быть необходимо просмотреть содержимое лог-файлов. Это может быть выполнено вручную (хотя на это может уйти много времени) или автоматически, с использованием программного обеспечения анализа логов. Если имеющееся программное обеспечение не подходит для определенной задачи, рекомендуется использование Perl скриптов, как альтернативное решение для анализа лог-файлов, которые доступны, или могут быть сконвертированы в текстовый вид. Другие важные вопросы, относящиеся к ведению логов, это синхронизация времени между устройствами, время жизни логов, место их хранения и разрешения на доступ к лог-файлам.
В корпоративный сектор исследователей часто вызывают после ухода сотрудника из компании, когда необходимо выявить его деятельность в последнее время. Ведение логов может оказаться очень полезным в такой ситуации, если сотрудник пользовался лэптопами, рабочими станциями, карманными компьютерами, и др. Большинство организаций не обладают большим избытком таких устройств, и часто подготавливают их для использования другим пользователем, который вскоре может появиться. Эта подготовка, обычно заключающаяся в установке стандартной конфигурации на устройство, может уничтожить потенциальные улики, так что некоторые организации делают копии информации с компьютерных устройств бывших сотрудников вскоре после их ухода. Эти копии могут храниться некоторое время и предоставляться исследователям. Они могут принести реальную помощь исследователям, но организации, реализующие такую процедуру, должны быть уверены, что они полностью изучили все аспекты, кающиеся права сотрудников на секретность.
Создание набора инструментов для компьютерной экспертизы
Инструменты для компьютерной экспертизы бывают самых разных форм и размеров, от больших, дорогих многофункциональных коммерческих пакетов до однозадачных утилит. Ключ к удачному использованию такого программного обеспечения состоит в том, чтобы определять, по возможности, наиболее подходящие инструменты к вашей среде, и обучаться работе с ними до того, как появится необходимость в исследовании.
Профессиональные исследователи всегда используют оборудование и программное обеспечение для компьютерной экспертизы, стоящее много тысяч долларов, но существуют и более дешевые решения. Одно из наиболее интересных - TASK, которое может быть использовано совместно с Autopsy Forensic Browser. TASK предоставляет исследователю возможность исследовать образы дисков, сделанные с помощью утилиты «dd», в поисках информации, представляющей определенный интерес в процессе исследования (например, удаленные файлы), а Autopsy предоставляет HTML интерфейс, через который TASK может использоваться для просмотра результатов. TASK и Autopsy работают на различных Linux и UNIX системах, а также на Mac OS X, кроме того могут использоваться для исследования файловых систем Windows.
Многие из однозадачных утилит, упомянутых выше, могут оказать неоценимую помощь при исследовании Windows-компьютера. Их мы рассмотрим позже.
Знайте, что делать, и чего не делать
В идеале, компьютерное экспертное исследование проводится обученным, опытным персоналом. Однако, это не всегда возможно, и системным администраторам с небольшим или вообще отсутствующим опытом в компьютерной экспертизе, может прийтись провести начальные стадии исследования, часто с целью определить, требуется ли более детальное и тщательное исследование. В этом случае, необходимо, чтобы неопытный исследователь понимал, что первые шаги в исследовании часто наиболее важны, и смог определить, будут ли вскрытые улики допустимы в суде.
Мы охватим шаги, необходимые для раскрытия улик на платформах Windows в следующей статье, но главная мысль, которая должна постоянно присутствовать у вас в голове во время исследования: что бы вы ни делали, не меняйте оригинальные улики!
Многие исследования дискредитируются людьми, использующими саму подозреваемую систему для поиска улик. Хорошим примером этого является исследователь, использующий встроенные Windows инструменты на исследуемой машине для поиска и открытия файлов. Эти действия могут уничтожить данные, имеющие доказательное значение, одновременно делая так, что вскрытые улики не смогут быть использованы в суде. Прежде всего, подозреваемая машина должна быть выключена, затем с нее нужно снять образ; после этого только образ должен быть предметом дальнейшего исследования, гарантируя таким образом целостность оригинального диска. Подробнее обо всем – в следующей части.
Заключение
Экспертное исследование компьютерных систем – это интересная и полезная область, но она ограничена социальными и правовыми рамками, которые могут оказывать прямое воздействие на путь, которым должно проводиться исследование. Кроме того, подготовка к исследованию может повлиять на шансы удачи в последующем исследовании.
В следующей статье мы посмотрим, как снять образ Windows компьютера и где искать доказательства пользовательской активности.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.
Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB.
Чемоданчик киберкриминалиста
Компьютерная экспертиза исследует большое количество разнообразных цифровых устройств и источников данных. В ходе исследований могут использоваться как программные, так и аппаратные средства — многие из них стоят недешево. Не каждая компания, а тем более отдельный специалист, могут позволить себе подобные расходы. Мы, в Group-IB, не экономим на инструментах, что позволяет проводить исследования качественно и оперативно.
Естественно, список программ, находящихся в моем рейтинге, отличается от общемирового. Это обусловлено как региональными особенностями — например, часть зарубежных программ не умеют извлекать данные из российских мессенджеров, да и вообще с русским языком не дружат (в поисковых задачах) — так и экспортными ограничениями, из-за которых российские специалисты не имеют возможности использовать весь мировой арсенал подобных средств.
Мобильная криминалистика, аппаратные средства
Cellebrite UFED Touch 2 — продукт, изначально разрабатывавшийся для работы в полевых условиях. Концептуально разделен на две части:
· фирменный планшет Cellebrite UFED Touch 2 (или UFED 4PC — программный аналог Cellebrite UFED Touch 2, устанавливаемый на компьютер или ноутбук специалиста): используются только для извлечения данных
· UFED Physical Analyzer — программная часть, предназначенная для анализа данных, извлеченных из мобильных устройств.
Концепция использования оборудования предполагает, что с помощью Cellebrite UFED Touch 2 специалист извлекает данные в полевых условиях, а потом в лаборатории производит их анализ с помощью UFED Physical Analyzer. Соответственно, лабораторный вариант представляет собой два самостоятельных программных продукта — UFED 4PC и UFED Physical Analyzer — установленных на компьютере исследователя. На сегодняшний день этот комплекс обеспечивает извлечение данных из максимально возможного количества мобильных устройств. При проведении анализа часть данных может быть упущена программой UFED Physical Analyzer. Это происходит потому, что в новых версиях программы периодически всплывают старые баги, которые вроде бы как пофиксили, но потом они почему-то проявляются вновь. Поэтому рекомендуется проводить контроль полноты анализа данных, осуществленный программой UFED Physical Analyzer.
MSAB XRY / MSAB XRY Field — аналог продуктов Cellebrite, разрабатываемый шведской компанией Micro Systemation. В отличие от парадигмы Cellebrite, компания Micro Systemation предполагает, что в большинстве случаев их продукты будут использоваться на стационарных компьютерах или ноутбуках. К продаваемому продукту прилагается фирменный USB-хаб, называемый на сленге «шайба», и комплект переходников и дата-кабелей для подключения различных мобильных устройств. Компания также предлагает версии MSAB XRY Field и MSAB XRY Kiosk — аппаратные продукты, предназначенные для извлечения данных из мобильных устройств, реализованные в виде планшета и киоска. Данный продукт менее распространен на территории России, чем продукция Cellebrite. MSAB XRY хорошо зарекомендовал себя при извлечении данных из устаревших мобильных устройств.
С определенного момента стали пользоваться популярностью аппаратные решения для проведения chip-off (метод извлечения данных напрямую из чипов памяти мобильных устройств), разработанные польской компанией Rusolut. С помощью этого оборудования можно извлекать данные из поврежденных мобильных устройств или из устройств, заблокированных PIN-кодом или графическим паролем. Rusolut предлагает несколько наборов адаптеров для извлечения данных из определенных моделей мобильных устройств. Например, комплект адаптеров для извлечения данных из чипов памяти, преимущественно используемых в «китайских телефонах». Однако повсеместное использование производителями мобильных устройств шифрования пользовательских данных в топовых моделях привело к тому, что это оборудование постепенно теряет актуальность. Извлечь данные из чипа памяти с его помощью можно, но они будут в зашифрованном виде, а их расшифровка является нетривиальной задачей.
Мобильная криминалистика, программные средства
Наблюдая за развитием мобильной криминалистики, можно легко увидеть, что по мере развития функционала мобильных устройств происходило и развитие программ для их анализа. Если раньше лицо, производящее следствие, или иной заказчик довольствовались данными из телефонной книги, СМС, ММС, вызовами, графическими и видео-файлами, то сейчас специалиста просят извлечь большее количество данных. Кроме перечисленных, как правило, требуется извлечь:
«Мобильный Криминалист»: сегодня это одна из лучших программ для анализа данных, извлеченных из мобильных устройств. Если вы хотите извлечь максимальное количество данных из мобильного устройства, используйте эту программу. Интегрированные просмотрщики баз данных SQLite и plist-файлов позволят более досконально исследовать определенные SQLite-базы данных и plist-файлы вручную.
Изначально программа разрабатывалась для использования на компьютерах, поэтому использовать ее на нетбуке или планшете (устройствах с размером экрана 13 дюймов и менее) будет некомфортно.
Особенностью программы является жесткая привязка путей, по которым расположены файлы — базы данных приложений. То есть если структура базы данных какого-либо приложения осталась прежней, но изменился путь, по которому база данных находится в мобильном устройстве, «Мобильный Криминалист» просто пропустит такую базу данных в ходе анализа. Поэтому исследование подобных баз данных придется производить вручную, используя файловый браузер «Мобильного Криминалиста» и вспомогательные утилиты.
Результаты исследования мобильного устройства в программе Мобильный Криминалист:
Тенденцией последних лет является «смешение» функционала программ. Так, производители, традиционно занимавшиеся разработкой программ для мобильной криминалистики, внедряют в свои продукты функционал, позволяющий исследовать жесткие диски. Производители криминалистических программ, ориентированных на исследование жестких дисков, добавляют в них функционал, необходимый для исследования мобильных устройств. И те, и другие добавляют функционал по извлечению данных из облачных хранилищ и так далее. В итоге получаются универсальные «программы-комбайны», с помощью которых можно производить и анализ мобильных устройств, и анализ жестких дисков, и извлечение данных из облачных хранилищ, и аналитику данных, извлеченных из всех этих источников.
В нашем рейтинге программ для мобильной криминалистики именно такие программы занимают следующие два места: Magnet AXIOM — программа канадской компании Magnet Forensics, и Belkasoft Evidence Center — разработка питерской компании Belkasoft. Эти программы по своим функциональным возможностям в извлечении данных из мобильных устройств, конечно же, уступают программным и аппаратным средствам, описанным выше. Но они хорошо производят их анализ и могут использоваться для контроля полноты извлечения различных типов артефактов. Обе программы активно развиваются и стремительно наращивают свой функционал в части исследования мобильных устройств.
Окно выбора источника мобильных данных программы AXIOM:
Результаты исследования мобильного устройства программой Belkasoft Evidence Center:
Компьютерная криминалистика, аппаратные блокираторы записи
Tableau T35U — аппаратный блокиратор компании Tableau, позволяющий безопасно подключать исследуемые жесткие диски к компьютеру исследователя по шине USB3. Данный блокиратор имеет разъемы, позволяющие подключать к нему жесткие диски по интерфейсам IDE и SATA (а при наличии переходников и жесткие диски с другими типами интерфейсов). Особенностью этого блокиратора является возможность эмуляции операций «чтение—запись». Это бывает полезным при исследовании накопителей, зараженных вредоносным программным обеспечением.
Оба блокиратора записи в качестве основного подключения используют подключение к компьютеру исследователя по шине USB3, что обеспечивает комфортные условия работы исследователя при клонировании и анализе носителей информации.
Компьютерная криминалистика, программные средства
Старички для нестандартных ситуаций
15 лет назад бесспорными лидерами компьютерной экспертизы являлись программы Encase Forensics и AccessData FTK. Их функционал естественным образом дополнял друг друга и позволял извлекать максимальное количество различных типов артефактов из исследуемых устройств. В наши дни эти проекты являются аутсайдерами рынка. Текущая функциональность Encase Forensics значительно отстает от предъявляемых сегодня требований к программному обеспечению для исследования компьютеров и серверов под управлением Windows. Использование Encase Forensics остается актуальным в «нестандартных» случаях: когда надо исследовать компьютеры под управлением OC MacOS или сервера под управлением ОС Linux, извлекать данные из файлов редких форматов. Встроенный в Encase Forensics макроязык Ensripts содержит огромную библиотеку готовых скриптов, реализованных производителем и энтузиастами: с помощью них возможен анализ большого числа различных операционных и файловых систем.
AccessData FTK пытается поддерживать функционал продукта на необходимом уровне, но время обработки накопителей им значительно превышает разумное количество времени, которое может позволить себе потратить среднестатистический специалист на подобное исследование.
Особенности AccessData FTK:
- поиск по ключевым словам, реализованный на очень высоком уровне
- аналитика различных кейсов, позволяющая выявлять взаимосвязи в устройствах, изъятых по разным делам
- возможность настройки интерфейса программы под себя
- поддержка файлов редких форматов (например, баз данных Lotus Notes)
Молодые и растущие
Бесспорным лидером программных средств для компьютерной криминалистики является Magnet Axiom. Программа не просто постепенно развивается, а покрывает добавляющимся функционалом целые сегменты: исследование мобильных устройств, извлечение из облачных хранилищ, исследование устройств под управлением операционной системы MacOS и так далее. Программа имеет удобный и функциональный интерфейс, в котором все под рукой, и может применяться для расследования инцидентов информационной безопасности, связанных с заражением компьютеров или мобильных устройств вредоносным программным обеспечением или с утечками данных.
Российским аналогом Magnet AXIOM является Belkasoft Evidence Center. Belkasoft Evidence Center позволяет извлекать и анализировать данные из мобильных устройств, облачных хранилищ и жестких дисков. При анализе жестких дисков доступно извлечение данных из веб-браузеров, чатов, информации об облачных сервисах, детектирование зашифрованных файлов и разделов, извлечение файлов по заданному расширению, данных о геолокации, электронной почты, данных из платежных систем и социальных сетей, миниатюр, системных файлов, системных журналов и так далее. Имеет гибкий настраиваемый функционал по извлечению удаленных данных.
- широкий спектр артефактов, извлекаемых из различных носителей информации
- хороший встроенный просмотрщик баз данных SQLite
- сбор данных с удаленных компьютеров и серверов
- интегрированный функционал по проверке обнаруженных файлов на Virustotal
Недостатками программы являются неудобный интерфейс и неочевидность выполнения отдельных действий в программе. Для эффективного использования программы необходимо пройти соответствующее обучение.
Основное окно программы Belkasoft Evidence Center, отображающее статистику найденных криминалистических артефактов при исследовании конкретного устройства:
Постепенно российский рынок завоевывает X-Ways Forensics. Эта программа — швейцарский нож компьютерной криминалистики. Универсальная, точная, надежная и компактная. Особенностью программы является большая скорость обработки данных (по сравнению с другими программами этой категории) и оптимальный функционал, покрывающий основные потребности специалиста по компьютерной криминалистике. Программа имеет встроенный механизм, позволяющий минимизировать ложноположительные результаты. То есть исследователь, проводя восстановление файлов с жесткого диска объемом 100 Гб, видит не 1 Тб восстановленных файлов (большая часть из которых является ложноположительным результатами, как это обычно происходит при использовании программ восстановления), а именно те файлы, которые реально были восстановлены.
С помощью X-Ways Forensics можно:
- находить и анализировать данные электронной почты
- анализировать историю веб-браузеров, журналы ОС Windows и прочие системные артефакты
- отфильтровать результаты, избавиться от ненужного, оставить только ценное и актуальное
- построить временную шкалу и посмотреть активности в интересующий период
- реконструировать рэйды (RAID)
- монтировать виртуальные диски
- осуществлять проверку на наличие вредоносного программного обеспечения
Недостатки X-Ways Forensics:
- аскетичный интерфейс
- отсутствие полноценного встроенного просмотрщика баз данных SQLite
- необходимость глубокого изучения программы: выполнение некоторых действий, необходимых для получения нужного специалисту результата, не всегда очевидно
Восстановление данных, аппаратные средства
В настоящее время на российском рынке доминирует только один производитель подобного оборудования — компания ACELab, которая производит аппаратные средства для анализа, диагностики и восстановления жестких дисков (комплексы PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS), SSD накопителей (комплекс PC-3000 SSD), флеш-накопителей (комплекс PC-3000 Flash), RAID (комплексы PC-3000 Express RAID, PC-3000 UDMA RAID, PC-3000 SAS RAID). Доминирование ACELab на рынке аппаратных решений по восстановлению данных обусловлено высоким качеством вышеперечисленных продуктов и ценовой политикой ACELab, которая не позволяет конкурентам войти на этот рынок.
Восстановление данных, программные средства
Несмотря на большое количество различных программ восстановления, как платных, так и бесплатных, очень трудно найти программу, которая бы корректно и полно производила восстановление различных типов файлов в разнообразных файловых системах. На сегодняшний день существуют только две программы, обладающие примерно одинаковым функционалом, которые позволяют это делать: R-Studio и UFS Explorer. Тысячи программ восстановления иных производителей либо не дотягивают по своим функциональным возможностям до указанных программ, либо существенно уступают им.
Открытое программное обеспечение
Autopsy — удобный инструмент для анализа компьютеров под управлением операционной системы Windows и мобильных устройств под управлением операционной системы Android. Имеет графический интерфейс. Может быть использован при расследовании компьютерных инцидентов.
Photorec — одна из лучших бесплатных программ для восстановления данных. Хорошая бесплатная альтернатива платным аналогам.
Eric Zimmerman Tools – комплект бесплатных утилит, каждая из которых позволяет исследовать какой-то отдельный артефакт Windows. Как показала практика, использование Eric Zimmerman Tools повышает эффективность работы специалиста при реагировании на инцидент в «полевых условиях». В настоящее время, эти утилиты доступны в виде пакета программ — Kroll Artifact Parser and Extractor (KAPE).
Дистрибутивы на основе Linux
SIFT — Linux-дистрибутив, разработанный и поддерживаемый коммерческой организацией SANS Institute, которая специализирующаяся на обучении специалистов в области кибербезопасности и расследовании инцидентов. SIFT содержит большое количество актуальных версий бесплатных программ, которые могут быть использованы как для извлечения данных из различных источников, так и для их анализа. SIFT используется в рамках проводимых компанией обучений, и его содержимое постоянно актуализируется. Удобство работы определяется конкретным инструментом, находящемся в данном дистрибутиве, с которым приходится работать исследователю.
Kali Linux – уникальный Linux-дистрибутив, который используется специалистами как для проведения аудита безопасности, так и для проведения расследований. В 2017 году издательство «Packt Publishing» опубликовало книгу Шива В.Н. Парасрама (Shiva V. N Parasram) «Digital Forensics with Kali Linux». В данной книге приводятся советы о том, как проводить копирование, исследование и анализ компьютеров, отдельных накопителей, копий данных из оперативной памяти и сетевого траффика с помощью утилит, входящих в этот комплект.
Подведем итог
Это исследование является результатом моего эмпирического опыта работы с описанным аппаратным и программным обеспечением, применяемых в ходе криминалистического исследования компьютерной техники и мобильных устройств. Надеюсь, что изложенные сведения будут полезны специалистам, планирующим приобретать программы и аппаратные средства для проведения компьютерной криминалистики и расследования инцидентов.
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Под катом утилиты для разбора содержимого оперативной памяти, исследования Docker-образов, анализа журналов, извлечения информации из кеша браузеров и многое другое.
Имейте в виду, что это неполный перечень ПО из арсенала криминалистов. Например, в подборке почти нет специализированных утилит для анализа зловредов. Безопасная работа с ними — отдельная тема.
Деление на группы в статье не претендует на звание классификации, оно сделано для удобства чтения и во многом условно. Отдельные инструменты могли попасть сразу в несколько групп и оказались в конкретных разделах благодаря грубому авторскому произволу.
Многофункциональные «комбайны»
SIFT Workstation — набор бесплатных инструментов для форензики и реагирования на инциденты с открытым исходным кодом от SANS Institute. Универсальный и подробно документированный тулкит на основе Ubuntu LTS 20.04.
Skadi — еще один набор утилит с открытым исходным кодом, который позволяет собирать, обрабатывать и проводить расширенный анализ криминалистических артефактов и изображений. Работает на MacOS, Windows и Linux, легко масштабируется.
Autopsy достаточно функциональна, чтобы занимать отдельное место в этом списке. Это платформа для цифровой криминалистики и графический интерфейс для анализатора образов дисков The Sleuth Kit, PhotoRec, STIX и других программ для цифровой криминалистики. Поддерживает сторонние модули на Java и Python, расширяющие возможности платформы.
Инструменты для совместного расследования
IRIS — веб-приложение для совместной работы над сложными и запутанными расследованиями. Упрощает обмен файлами, например, журналами Windows. Может быть развернута на сервере или локальном компьютере из Docker-образа.
Kuiper — платформа сфокусированная на сборе и анализе доказательств. Предоставляет удобный графический интерфейс, централизованное управление парсерами, поддерживает массовую загрузку артефактов из любых каналов и позволяет целой группе аналитиков совместно маркировать и сортировать файлы.
TheHive — платформа реагирования на инциденты безопасности с открытым исходным кодом, предназначенная для SOC, CSIRT, CERT и любых других специалистов по информационной безопасности. Легко интегрируется с MISP и выделяется проработанной ролевой моделью, которая позволяет аналитикам из разных компаний без проблем работать над одним случаем.
GRR Rapid Response позволяет группе аналитиков сортировать атаки и выполнять их анализ удаленно в режиме реального времени. Состоит из клиентского python-агента, который устанавливается на целевые системы, и управляющего python-сервера. Поддерживает низкоуровневый доступ и автоматическое планирование повторяющихся задач.
DFIRTrack — платформа для форензики, ориентированная на разбор одного или нескольких крупных инцидентов затронувших сразу много различных систем. Представляет собой веб-приложение для развертывания в Ubuntu, в основанное на Django и использующее PostgreSQL.
Orochi — это платформа для группового анализа дампов памяти. Де-факто представляет собой графический интерфейс для Volatility 3 . Сохраняет результаты работы этой утилиты в ElasticSearch.
Timesketch — утилита для совместного timeline analysis. Позволяет восстановить и наглядно представить последовательность событий во время инцидента.
Мониторинг хостов
POFR — клиент-серверный «черный ящик», который регистрирует данные о выполнении процессов, доступе к файлам и сетевых соединениях в Linux-системах, а затем передает отчеты на сервер по протоколу SSH.
IntelMQ — система автоматизированной обработки инцидентов, которую можно использовать для сбора данных для дальнейшего анализа. Имеет модульную структуру, состоящую из ботов для извлечения, обогащения и записи данных.
Velociraptor — инструмент для сбора информации о состоянии хостов при помощи гибкого языка запросов VQL. Позволяет в значительной степени автоматизировать сбор разнообразных криминалистических артефактов.
Meerkat — набор модулей PowerShell, предназначенных для сбора артефактов из систем на базе Windows без предварительной установки агента. Сценарии использования включают реагирование на угрозы, поиск угроз, базовый мониторинг, сравнение снапшотов.
IOC — cканеры
Loki — простой сканер индикаторов компрометации для проверки конечных точек.
Fenrir — универсальный bash-скрипт для сканирования Linux, OSX и Unix систем. Работает с более широким набором индикаторов компрометации.
Fastfinder — кроссплатформенная утилита для поиска подозрительных файлов. Поддерживает контрольные суммы md5/sha1/sha256, регулярные выражения и правила YARA.
Сбор артефактов
artifactcollector — настраиваемый агент для сбора артефактов из Windows, macOS и Linux. Умеет извлекать файлы, каталоги, записи реестра, команды WMI. Интегрируется с Digital Forensics Artifact Repository.
osquery — аналитика операционной системы для знатоков баз данных. Утилита представляет операционную систему как высокопроизводительную реляционную базу данных. Это позволяет использовать SQL для работы со всем содержимым компьютера. Доступна для Linux, macOS, Windows и FreeBSD.
ir-rescue — пара сценариев для Windows и Unix, которые собирают большой объем криминалистических данных, отвечающий потребностям большинства расследований. Запускают множество команд и инструментов, поэтому оставляют заметные следы в системе.
UAC — (Unix-like Artifacts Collector) — использует встроенные инструменты Unix-подобных систем для автоматизации сбора артефактов. Работает вне зависимости от архитектуры, в том числе на macOS и Android.
DFTimewolf — фреймворк для организации сбора, обработки и экспорта данных, ценных для криминалистов.
AChoir — сценарий для сбора артефактов Windows в режиме реального времени.
CyLR — инструмент для сбора криминалистических артефактов из систем с файловой системой NTFS.
DFIR ORC — тулкит для деликатного сбора артефактов: файловых таблиц, ветвей реестра и журналов событий из машин под управлением Windows. Разработан так, чтобы свести к минимуму влияние на систему, в которой он работает. Не устанавливает никаких программ, создает минимум файлов, ключей реестра и служб и записывает минимально необходимый объем данных.
Работа с реестром
RegRipper — инструмент с открытым исходным кодом для извлечения информации (ключи, значения, другие данные) из реестра. Написан на языке Perl.
RegRippy и Regipy еще пара библиотек для чтения и извлечения полезных криминалистических данных из ветвей реестра Windows. На этот раз на Python.
Работа с журналами
Logdissect — CLI-утилита и Python API для анализа, фильтрации и экспорта данных в файлы журнала Windows или JSON.
APT Hunter — разработан для поиска подозрительной активности в журналах Windows. Автоматизирует сбор журналов Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортирует события по серьезности и ведет статистику, которая помогает обнаруживать аномалии.
LogonTracer — анализирует Windows Active Directory, связывает имя хоста (или IP-адрес) и имя учетной записи, найденные в событиях, связанных с входом в систему, а затем отображает их в виде схемы. Позволяет реконструировать историю авторизаций.
StreamAlert — безсерверная система анализа журналов в реальном времени, написанная на Python. Принимает данные из любых источников, имеет встроенную систему оповещений на основе настраиваемой пользовательской логики. Выполняется с минимальными привилегиями, хранит данные в зашифрованном виде.
USBRip — простая консольная утилита для восстановления истории подключения USB-носителей к компьютерам под управлением Linux. Может экспортировать собранные данные JSON-файл.
Работа с памятью и образами системы
Volatility 3 — один из самых популярных фреймворков для исследования дампов оперативной памяти. Поддерживает 18 различных версий операционных систем, умеет работать с дампами ядра Virtualbox и снапшотами VMware.
AVML — портативный инструмент для сбора данных из энергонезависимой памяти Linux-систем. Написан на Rust и предназначен для развертывания в виде статического бинарного файла. Его можно использовать для получения данных «вслепую», не зная версию дистрибутив целевой ОС.
LiME — загружаемый модуль ядра (LKM) для захвата данных из памяти устройств под управлением Linux, в том числе и Android-смартфонов. Развивается и совершенствуется с 2012 года.
Bmap-tools — инструмент для копирования файлов с использованием создания карты блоков (bmap).
INDXParse — тулкит для извлечения артефактов NTFS.
nTimetools — инструментарий для работы с временными метками в Windows. Позволяет экспертам-криминалистам проверять метки в файловой системе NTFS с точностью до 100 наносекунд.
RecuperaBit — утилита для криминалистической реконструкции файловой системы и восстановления файлов. Поддерживает только NTFS.
Sleuth Kit — библиотека для низкоуровневого исследования образов дисков, файловых систем и поиска улик.
MemProcFS — утилита для простого доступа к физической памяти, как к файлам виртуальной файловой системы.
dof (Docker Forensics Toolkit) — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и так далее.
Извлечение веб-артефактов
hindsight — простой и функциональный инструмент для анализа веб-артефактов с поддержкой браузеров на базе Chromium. Позволяет анализировать историю посещений и загрузок, содержимое кэша, cookie, закладки, автозаполнение, сохраненные настройки, расширения и пароли. Все извлеченные данные помещаются на временную шкалу.
Dumpzilla — аналогичная программа для сбора интересной информации из браузеров Firefox, Iceweasel и Seamonkey.
Работа с метаданными
Exif Tool — чтение, запись и редактирование метаданных в файлах различных графических форматов.
Exiv2 — библиотека для работы с метаданными Exif, IPTC, XMP и ICC.
PdfParser — служит для извлечения данных из файла PDF-файлов.
FOCA — это инструмент для поиска метаданных и скрытой информации в документах, загруженных в веб. Работает с Microsoft Office, Open Office, PDF, Adobe InDesign и SVG.
Инструменты для Mac
macOS Artifact Parsing Tool — комплект для обработки образов дисков Mac и извлечения данных, полезных для расследования. Представляет собой фреймворк на основе Python, и плагины для обработки отдельных артефактов, например, истории Safari.
ESF Playground — инструмент для просмотра событий в Apple Endpoint Security Framework (ESF) в режиме реального времени.
Knockknock — выводит полный список элементов (программ, скриптов, команд, двоичных файлов), которые автоматически выполняются в macOS.
Инструменты для смартфонов
MobSF — автоматизированная система для анализа вредоносных программ и оценки безопасности мобильных приложений (Android/iOS/Windows), способная выполнять статический и динамический анализ. Поддерживает бинарные файлы мобильных приложений (APK, XAPK, IPA и APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с конвейером CI/CD или DevSecOps.
Andriller — утилита для сбора данных с Android-устройств. Может быть использована для снятия блокировки со смартфона.
ALEAPP — парсер журналов событий и Protobuf для Android.
iLEAPP — парсер журналов событий для iOS.
Различные инструменты
Bitscout — инструмент для создания LiveCD/LiveUSB приспособленных для цифровой криминалистики и не только.
Digital Forensics Artifact Repository — машиночитаемая база знаний по цифровой криминалистике.
sherloq — набор инструментов для судебной экспертизы цифровых фотографий.
swap_digger — bash-скрипт, автоматизирующий извлечение файла подкачки Linux и поиск учетных данных пользователей, адресов электронной почты, содержимого веб-форм, WiFi SSID ключей и других чувствительных данных.
bulk extractor — сканирует образы дисков, каталоги или отдельные файлы и извлекает из них полезную информацию, например, адреса электронной почты, JPEG или JSON snippets.
LaZagne — приложение с открытым исходным кодом для извлечения паролей, хранящихся на компьютере.
Fibratus — инструмент для исследования и трассировки ядра Windows.
fflib — расширяемый открытый формат для хранения образов дисков и криминалистической информации.
Sigma — открытый формат подписи для SIEM-систем.
Заключение
Форензика отставала от пентестинга по числу удобных общедоступных инструментов, но этот разрыв сокращается. Расследование киберпреступлений становится доступнее для энтузиастов и начинающих специалистов. Вряд ли в ближайшие годы начнется бум компьютерных true crime-подкастов, но, надеюсь, на Хабре станут чаще появляться посты, посвященные цифровой криминалистике.
Здесь представлена подборка бесплатных утилит компьютерной криминалистики, которые абсолютно необходимы при проведении судебной экспертизы для проведения расследования инцидентов информационной безопасности.
Дисковые инструменты и сбор данных
- Arsenal Image Mounter — утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
- DumpIt — утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
- EnCase Forensic Imager — утилита для создания доказательных файлов EnCase.
- Encrypted Disk Detector — утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
- EWF MetaEditor — утилита для редактирования метаданных EWF (E01).
- FAT32 Format — утилита для форматирования дисков большой емкости в FAT32.
- Forensics Acquisition of Websites — браузер, предназначенный для захвата веб-страниц для проведения расследований.
- FTK Imager — просмотр и клонирование носителей данных в среде Windows.
- Guymager — многопоточный утилита с GUI для создания образов дисков под управлением Linux.
- Live RAM Capturer — утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
- NetworkMiner — инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
- Magnet RAM Capture — утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
- OSFClone — утилита live CD/DVD/USB для создания dd или AFF образов.
- OSFMount — утилита для монитирования образов дисков, также позволяет создавать RAM-диски.
Электронная почта
Файлы и данные
- analyzeMFT — утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
- bstrings — утилита поиска в двоичных данных, включая поиск регулярных выражений.
- CapAnalysis — утилита просморта PCAP.
- Crowd Response — консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
- Crowd Inspect — утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
- DCode — утилита преобразует различные типы данных в значения даты / времени.
- Defraser — утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
- eCryptfs Parser — утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
- Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
- ExifTool — утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
- File Identifier — онлайн анализ типа файлов (более 2000).
- Forensic Image Viewer — утилита для извлечения данных из изображений.
- Link Parser — утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
- Memoryze — анализ образов RAM, включая анализ «page» файлов.
- MetaExtractor — утилита для извеления мета-информации из офисных документов и pdf.
- Shadow Explorer — утилита для просмотра и извлечения файлов из теневых копий.
Инструменты для Mac OS
- Audit — утилита для вывода аудита и журналов OS X.
- Disk Arbitrator — блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
- FTK Imager CLI for Mac OS — консольная версия для Mac OS утилиты FTK Imager.
- IORegInfo — утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
- mac_apt — утилита для работы с образами E01, DD, DMG.
- Volafox — утилита для анализа памяти в Mac OS X.
Мобильные устройства
- iPBA2 — утилита анализа резервных копий iOS.
- iPhone Analyzer — утилита анализа файловой структуры Pad, iPod и iPhone.
- ivMeta — утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
- Rubus — утилита для деконструирования резервных файлов Blackberry .ipd.
- SAFT — извлечение SMS, журналов звонков и контактов из Android устройств.
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
Ограничение ответственности
Информация на сайте предоставляется «как есть», без всяких гарантий, включая гарантию применимости в определенных целях, коммерческой пригодности и т.п. В текстах могут быть технические неточности и ошибки. Автор не может гарантировать полноты, достоверности и актуальности всей информации, не несет ответственности за последствия использования сайта третьими лицами.
Автор не делает никаких заявлений, не дает никаких гарантий и оценок относительно того, что результаты, размещенные на сайте и описанные в заявлениях относительно будущих результатов, будут достигнуты.
Автор не несет ответственности за убытки, возникшие у пользователей или третьих лиц в результате использования ими сайта, включая упущенную выгоду.
Автор не несет ответственности за убытки, возникшие в результате действий пользователей, явно не соответствующих обычным правилам работы с информацией в сети Интернет.
Пользуясь сайтом, вы принимаете и соглашаетесь со всеми нашими правилами, включая «Ограничение ответственности».
В данной статье мы расскажем о программных и аппаратных средствах, наиболее часто применяемых экспертами RTM Group при проведении компьютерных экспертиз.
Объектами компьютерных экспертиз могут являться различные по своему устройству технические средства и источники информации. При проведении такого рода исследований и разрешении вопросов в отношении цифровых устройств и данных сотрудники RTM Group используют широкий спектр аппаратных и программных средств. Данный инструментарий представляет из себя коммерческие продукты, бесплатные утилиты, программы, написанные самостоятельно для конкретных задач и оборудование, без которого невозможно представить современную форензику. Взаимодействие с дружественными экспертными, научно-исследовательскими и образовательными организациями открывает практически неограниченные возможности использования различных программных и аппаратных продуктов, в качестве обмена опытом и совершенствования методологии компьютерной экспертизы.
В данной статье мы расскажем о наиболее часто применяемых экспертами RTM Group программных и аппаратных средствах.
В первую очередь нельзя не упомянуть простейший, и, в тоже время, главный инструмент для работы с файлами - Total Commander. Данный файловый менеджер ценится экспертами за его большой пакет интегрированных в одну универсальную практичную оболочку необходимых для исследования программ и плагинов, а также за гибкую и удобную систему настройки.
Обеспечение сохранности представленных объектов исследований в соответствии со статьей 16 Федерального закона от 31.05.2001 №73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» является одной из обязанностей эксперта. Поэтому эксперты применяют аппаратные и программные средства, с помощью которых имеется возможность проводить безопасное исследование представленных объектов, не изменяя целостности цифровых данных.
АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА БЛОКИРОВКИ ЗАПИСИ
Аппаратные средства блокировки записи используются для безопасного подключения исследуемых носителей к ПК эксперта с целью недопущения искажения на них важной компьютерной информации. В распоряжении экспертов имеются: Tableau T35U – блокиратор записи фирмы «Tableau», AgeStar 3FBCP – адаптер фирмы «AgeStar», также имеющий в своем функционале защиту от записи. Данные приборы адаптированы для подключения к ним накопителей через интерфейсы IDE/SATA.
USB WriteProtect – утилита, которая позволяет на системном уровне защитить данные, записанные на подключенные через USB-порт устройства, а также предотвратить их изменение или удаление.
ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА ВИРТУАЛИЗАЦИИ
Средства виртуализации используются экспертами для создания на операционной системе физического компьютера виртуальных машин с гостевыми операционными системами, таким образом получая виртуальную стендовую среду. Преимущества такого рода стенда заключаются в безопасном исследовании объектов, поступивших на экспертизу. В зависимости от объекта исследования эксперт использует соответствующее средство виртуализации: программный продукт виртуализации корпорации Oracle – VirtualBox, программное обеспечение виртуализации компании VMware - Workstation pro, а также встроенную в Windows систему аппаратной виртуализации компании Microsoft – Hyper-V.
Далее считаем важным отметить программные средства, так называемые швейцарские ножи мобильной и компьютерной криминалистики. Такое ПО обладает широким функционалом, таким как поиск, анализ, извлечение и восстановление данных, за что, собственно, и ценится экспертами.
ПРОГРАММНЫЕ СРЕДСТВА ПОИСКА, АНАЛИЗА
И ИЗВЛЕЧЕНИЯ ДАННЫХ
Мобильный криминалист – многофункциональный инструмент компании «Оксиджен Софтвер», позволяющий извлекать, расшифровывать и анализировать ключевые данные из мобильных устройств, персональных компьютеров, ноутбуков и облачных сервисов. Данный программный продукт обладает возможностями извлечения данных:
из мобильных устройств под управлением операционных систем iOS и Android;
из социальных сетей (Facebook, Twitter, Instagram, Вконтакте, Одноклассники);
из мессенджеров (Telegram, Line, Viber, WhatsApp);
о геолокации (AppleMaps, Google Location History, Uber, Яндекс.Такси);
о истории посещения браузеров (Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer) и др.
Elcomsoft Premium Forensic Bundle – набор программных продуктов компании «Элкомсофт» для восстановления доступа к зашифрованным данным и подбора паролей к защищённым документам (Windows и macOS, macOS Keychain, ZIP/RAR/RAR5, PDF, BitLocker/PGP/TrueCrypt/VeraCrypt). Продукты для мобильной криминалистики позволяют извлекать и расшифровывать данные как из физических устройств (мобильных устройств и персональных компьютеров), так и локальных резервных копий и облачных сервисов (Apple, Google и Microsoft).
X-Ways Forensics – еще один инструмент, позволяющий решать широкий спектр задач компьютерной экспертизы и обладающий рядом таких функций, как съем и восстановление данных, просмотр и анализ данных, поиск и индексирование, хэширование.
Forensic Toolkit или FTK – инструмент компьютерной криминалистики компании «AccessData», имеющая мощную систему поиска данных по ключевым словам на исследуемых ЭВМ, мобильных устройствах и съёмных носителях для их дальнейшей обработки и анализа экспертом.
Autopsy – бесплатное программное обеспечение, которое используется для криминалистических исследований цифровых носителей и мобильных устройств. В состав этого ПО входит, в том числе анализ файлов, поиск по ключевым словам, восстановление удаленной информации и др.
ДИСТРИБУТИВЫ НА ОСНОВЕ LINUX
Kali Linux – специализированный дистрибутив Linux, основанный на Debian и применяемый для проведения тестирования на проникновение, аудита безопасности и компьютерной криминалистики.
CAINE Linux – бесплатный дистрибутив Linux, вобравший в себя известные инструменты цифровой криминалистики, в состав которых входят, например, описанный выше Autopsy, NirSoft, а также PhotoRec, поддерживающий восстановление файлов, и др.
Не всегда на практике эксперт использует программы - швейцарские ножи цифровой криминалистики, существуют случаи, когда «нож» и «открывашку» быстрее, удобнее и целесообразнее применять отдельно. При таких случаях эксперт прибегает к помощи набора различного рода утилит, например, NirSoft. Список данных инструментов довольно-таки внушительный, в нём имеются полезные утилиты для отображения информации из журнала событий Windows, извлечения информации из истории браузеров, файлов кэша и cookie, обнаружения и расшифровывания паролей и др.
ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА
ПОИСКА И ВОССТАНОВЛЕНИЯ ДАННЫХ
PC-3000 – система компании «ACELab», которая предназначена для восстановления данных с исследуемых носителей и подразделяется на программно-аппаратные комплексы, применяющиеся в зависимости от типа носителя и поддерживаемого им интерфейса. Так при восстановлении данных с HDD-накопителей, RAID-массивов, flash-накопителей и SSD-накопителей в основном используется универсальный комплекс PC-3000 Portable III для восстановления данных на всех вышеперечисленных носителях.
Архивариус 3000 – программное обеспечение, предназначенное для поиска важных для исследования файлов по содержимому на ЭВМ и позволяющее мгновенно находить текстовые документы во всех популярных форматах после индексирования.
R-Studio – утилита для восстановления данных с исследуемых накопителей с различными файловыми системами. Функционал данного программного обеспечения позволяет анализировать данные на исследуемом носителе с целью нахождения информации о текущей и бывших файловых системах и восстановления файлов на её основе, а также производить поиск файлов по файловым сигнатурам в случаях, когда информация о файловых системах повреждена.
СПЕЦИАЛИЗИРОВАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
ДЛЯ АНАЛИЗА ПРОГРАММНОГО КОДА
В число экспертных задач, помимо поиска, извлечения и восстановления информации, входит также анализ программного кода. Для её решения экспертами используются:
WinMerge – для сравнительного анализа текстовых файлов, в том числе исходных кодов.
Net Beans IDE – среда разработки для анализа исходных кодов на Java.
Android SDK для исследования мобильных приложений на соответствующей платформе.
Так, гражданские по своей природе приложения стоят на "вооружении" у судебной экспертизы.
ИСТРУМЕНТЫ И АППАРАТНЫЕ СРЕДСТВА
При проведении экспертиз закупленной в рамках 44-ФЗ оргтехники используется измерительное оборудование, имеющее сертификаты поверки, такое как: «ТКА-ПКМ»(02) - прибор комбинированного типа, применяемый для измерения освещённости и яркости (Люксметр + Яркомер); цифровой мультиметр серии DT890B+.
В рамках радиотехнической экспертизы для определения причин выхода из строя технического устройства (заводской брак или вмешательство пользователя) используются оптические приборы (цифровой микроскоп МСП - 1, увеличительные лупы и т.д.), специализированные инструменты (прецизионные отвертки, пинцеты, паяльная станция с термофеном LUKEY-702, лабораторный источник питания ELEMENT 1502D+, осциллограф цифровой UNI-T UTD2072CEX-II).
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ФОНОСКОПИЧЕСКИХ ИССЛЕДОВАНИЙ
Помимо компьютерно-технического направления экспертами RTM Group проводятся исследования аудиозаписей голоса, звучащей речи и звуковой среды. В связи с этим считаем необходимым упомянуть программно-аппаратные средства, применяющиеся при таком роде экспертиз.
ИКАР Лаб I+ - программно-аппаратный комплекс группы компаний ЦРТ, использующийся для решения широкого спектра задач анализа звуковой информации. В состав данного комплекса входят: устройство ввода-вывода звуковых сигналов STC-H453, комплект для преобразования речи в текст Цезарь-Р, программное обеспечение для визуализации и анализа исследуемых звуковых сигналов SIS II, программное обеспечение для шумоочистки Sound Cleaner II.
Audacity – кроссплатформенное программное обеспечение, ориентированное на редактирование звуковой информации. В экспертной практике используется для анализа спектрограммы и дальнейшей идентификации звуков и речи.
Подводя итог, можно сказать, что в распоряжении экспертов RTM Group находятся как практически универсальные инструменты компьютерной форензики, так и аппаратные и программные средства, применяющиеся в каждом конкретном случае. И в зависимости от стоящей перед экспертом задачи, он, руководствуясь своими специальными знаниями, может самостоятельно выбирать имеющиеся у него в доступе ПО и приборы, помогающие эффективно проводить экспертные исследования.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Читайте также: