Компьютерная криминалистика что это
Небольшая подборка ключевых фундаментальных ресурсов по теме цифровой форензики (digital forensic) - искусству расследования кибер-преступлений. Книги, учебные курсы, библиотеки сэмплов и площадки для тренировки и полезные ссылки
Исторически термин «форензика» — это калька с английского слова forensics , которое, в свою очередь, является сокращенной формой от forensic science , «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.
Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:
- понять, как была реализована атака;
- построить сценарий взлома;
- восстановить хронологию (таймлайн) атаки;
- собрать артефакты (в смысле, не меч Армагеддона и не святой Грааль, а оставшиеся после атаки следы);
- предложить превентивные защитные меры, чтобы такого впредь не повторилось.
Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента ИБ. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.
Так вышло, что русскоязычной литературы по нашей теме практически нет. Да оно и неудивительно, форензика как прикладная деятельность стала популярна относительно недавно.
Н. Н. Федотов. Форензика — компьютерная криминалистика , официальный сайт с материалами книги и PDF, доступная для загрузки. Это единственный на русском языке и наиболее полный труд, системно рассказывающий о форензике. Из минусов — многие вещи, описанные в книге, на сегодня устарели. Однако это все-таки must read как для начинающих, так и для тех, кто уже занимается криминалистикой в сфере высоких технологий.
Network Forensics 1st Edition — этот труд посвящен особенностям экспертизы систем на сетевом уровне. Хорошее пособие, с основ и по шагам рассказывающее о сетевом стеке и методах его анализа.
File System Forensic Analysis 1st Edition — труд, аналогичный предыдущему, но посвященный исключительно анализу файлов и файловой системы взломанных машин.
The Basics of Digital Forensics:The Primer for Getting Started in Digital Forensics — еще одна книга, которую можно порекомендовать новичкам для уверенного старта.
Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8 — само название книги говорит о продвинутых техниках экспертизы и особенностей применения именно в Windows 8.
Practical Windows Forensics Paperback — неплохое пособие по форензике ОС, файловой системы, реестра, сети и съемных носителей.
Digital Forensics with Kali Linux — можно сказать, это гайд по встроенным утилитам из раздела форензики дистрибутива Kali Linux.
Windows Registry Forensics: Advanced Digital Forensic Analysis — книга концентрируется на особенностях парсинга системного реестра Windows, извлечении данных и особенностях, появившихся с Windows 8.
Computer Forensics: Investigating File and Operating Systems, Wireless Networks, and Storage (CHFI) by EC-Council — официальный мануал по курсу обучения CHFI с уклоном на исследование артефактов Wi-Fi-сетей и носителей данных.
Malware Forensics Field Guide for Windows Systems — хоть эта книга и не имеет прямого отношения к «классической» форензике, но все же стоит ее почитать, особенно если ты расследуешь инциденты с уклоном в сторону малвари.
CHFI Computer Hacking Forensic Investigator Certification All-in-One Exam Guide 1st Edition — официальное издание по курсу обучения CHFI. Рассмотрены все основные темы и вопросы с экзамена.
Practical Forensic Imaging: Securing Digital Evidence with Linux Tools — книга, целиком посвященная правильному подходу к созданию корректного образа взломанной системы для ее дальнейшего ресерча в лабораторных условиях. Считаю, что это must read для тех, кто начинает заниматься ремеслом криминалистической хай-тек-экспертизы.
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Под катом утилиты для разбора содержимого оперативной памяти, исследования Docker-образов, анализа журналов, извлечения информации из кеша браузеров и многое другое.
Имейте в виду, что это неполный перечень ПО из арсенала криминалистов. Например, в подборке почти нет специализированных утилит для анализа зловредов. Безопасная работа с ними — отдельная тема.
Деление на группы в статье не претендует на звание классификации, оно сделано для удобства чтения и во многом условно. Отдельные инструменты могли попасть сразу в несколько групп и оказались в конкретных разделах благодаря грубому авторскому произволу.
IOC — cканеры
Loki — простой сканер индикаторов компрометации для проверки конечных точек.
Fenrir — универсальный bash-скрипт для сканирования Linux, OSX и Unix систем. Работает с более широким набором индикаторов компрометации.
Fastfinder — кроссплатформенная утилита для поиска подозрительных файлов. Поддерживает контрольные суммы md5/sha1/sha256, регулярные выражения и правила YARA.
Фреймворки
Одним из самых популярных фреймворков является Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).
Извлекаемые данные:
- дата и время;
- список запущенных процессов;
- список открытых сетевых сокетов;
- список открытых сетевых соединений;
- список загруженных библиотек для каждого процесса;
- имена открытых файлов для каждого процесса;
- адреса памяти;
- модули ядра ОС;
- маппинг физических смещений на виртуальные адреса.
- 32-bit Windows XP Service Pack 2 and 3
- 32-bit Windows 2003 Server Service Pack 0, 1, 2
- 32-bit Windows Vista Service Pack 0, 1, 2
- 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
- 32-bit Windows 7 Service Pack 0, 1
- 32-bit Windows 8, 8.1, and 8.1 Update 1
- 32-bit Windows 10 (initial support)
- 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
- 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
- 64-bit Windows Vista Service Pack 0, 1, 2
- 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
- 64-bit Windows 2008 R2 Server Service Pack 0 and 1
- 64-bit Windows 7 Service Pack 0 and 1
- 64-bit Windows 8, 8.1, and 8.1 Update 1
- 64-bit Windows Server 2012 and 2012 R2
- 64-bit Windows 10 (including at least 10.0.14393)
- 64-bit Windows Server 2016 (including at least 10.0.14393.0)
- 32-bit Linux kernels 2.6.11 to 4.2.3
- 64-bit Linux kernels 2.6.11 to 4.2.3
- 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
- 32-bit 10.6.x Snow Leopard
- 64-bit 10.6.x Snow Leopard
- 32-bit 10.7.x Lion
- 64-bit 10.7.x Lion
- 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
- 64-bit 10.9.x Mavericks (there is no 32-bit version)
- 64-bit 10.10.x Yosemite (there is no 32-bit version)
- 64-bit 10.11.x El Capitan (there is no 32-bit version)
- 64-bit 10.12.x Sierra (there is no 32-bit version)
DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.
PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.
Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.
MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.
bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».
PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.
Анализ сетевого взаимодействия
SiLK (System for Internet-Level Knowledge) — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.
Wireshark — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).
Digital Evidence & Forensics Toolkit: DEFT Linuix
Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.
Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.
Инструменты для смартфонов
MobSF — автоматизированная система для анализа вредоносных программ и оценки безопасности мобильных приложений (Android/iOS/Windows), способная выполнять статический и динамический анализ. Поддерживает бинарные файлы мобильных приложений (APK, XAPK, IPA и APPX) вместе с заархивированным исходным кодом и предоставляет REST API для бесшовной интеграции с конвейером CI/CD или DevSecOps.
Andriller — утилита для сбора данных с Android-устройств. Может быть использована для снятия блокировки со смартфона.
ALEAPP — парсер журналов событий и Protobuf для Android.
iLEAPP — парсер журналов событий для iOS.
Анализ временных интервалов
-
— извлечение и агрегация таймстапов. — анализ таймстапов.
Заключение
Форензика отставала от пентестинга по числу удобных общедоступных инструментов, но этот разрыв сокращается. Расследование киберпреступлений становится доступнее для энтузиастов и начинающих специалистов. Вряд ли в ближайшие годы начнется бум компьютерных true crime-подкастов, но, надеюсь, на Хабре станут чаще появляться посты, посвященные цифровой криминалистике.
Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.
Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.
Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).
Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.
Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.
Исследование OS X
Обработка образов дисков
-
— утилита командной строки для быстрого монтирования образов дисков — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01. — конвертирования образов дисков.
Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. В следующей статье я приведу примеры практического использования утилит для анализа образов памяти.
Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.
Инструменты для Mac
macOS Artifact Parsing Tool — комплект для обработки образов дисков Mac и извлечения данных, полезных для расследования. Представляет собой фреймворк на основе Python, и плагины для обработки отдельных артефактов, например, истории Safari.
ESF Playground — инструмент для просмотра событий в Apple Endpoint Security Framework (ESF) в режиме реального времени.
Knockknock — выводит полный список элементов (программ, скриптов, команд, двоичных файлов), которые автоматически выполняются в macOS.
Заключение
Форензика, как ответвление информационной безопасности, развита гораздо в меньшем объеме нежели тестирование на проникновение или организация защитных средств. Грамотный подход при проведении мероприятий по сбору цифровых доказательств не только даст восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
Прочитал хорошую книгу, которую мне подарили коллеги из InfoWatch на 23 февраля, "Форензика. Компьютерная криминалистика" (Н.Федотов).
В книге детально рассмотрена компьютерная криминалистика (как наука и процесс), проанализированы и описаны разные виды компьютерных правонарушений с точки зрения их совершения и расследования, даются ссылки на специализированное ПО и сервисы, дополнительную литературу, приводится полезный (и понятный) словарь основных терминов.
Произведение написано живым языком, приводятся интересные примеры и практические рекомендации. Специальные термины приводятся к месту, и их наличие не затрудняет понимание текста.
Итоговая оценка книги "4" (снизил за не очень удобное структурирование информации), рекомендую прочитать специалистам в области ИБ и ИТ. Да и просто "продвинутым пользователям" ПК и сети Интернет, на мой взгляд, многие главы будут интересны.
Ну, а если чуть подробнее?
Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств - именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic). Так же внутри форензики уже наметился один обособленный раздел - исследование программ для ЭВМ.
Основная сфера применения форензики - анализ и расследование событий (в т.ч.уголовных преступлений), в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.
- Введение
- Компьютерные преступления
- Оперативно-розыскные мероприятия (ОРМ)
- Следственные действия
- Заверение контента
- Компьютерно-техническая экспертиза (КТЭ)
- Участие в судебно заседании
- Тенденции и перспективы
Особо интересными для меня были главы про компьютерные преступления, ОРМ и следственные действия. В первой из них автор рассматривает различные виды преступлений, очень детально останавливаясь на способах их совершения, описании преступника и его мотивов, описании потерпевшего и остающиеся следы. Говоря про ОРМ, автор говорит про то, что "при раскрытии компьютерных преступлений на вероятность успеха сильно влияет взаимодействие с двумя видами субъектов: специалистами и операторами связи" и описывает основные направления ОРМ с хорошими примерами. В главе по следственные действия довольно хорошо написано про логи и их использование, даются рассматриваются принципы и правила изъятия компьютерной техники при обыске.
Чуть более подробно можете посмотреть в майндкарте ( в pdf тут ):
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Фреймворки
-
— Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных. — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков. — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.
Работа с RAM
-
— фреймворк, отличающийся высокой скоростью работы. — извлечение паролей KeePass из памяти. — анализ дампов RAM, написанный на python. — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти. — веб-интерфейс для Volatility framework.
Анализ файлов
-
— тимплейты для редактора 010. — парсер различных видов файлов на python. — HFS+ составляющие для Synalysis — составляющие для различных файловых систем. — файловые составляющие для Synalyze It! — файловые составляющие для WinHex и X-Ways
Hex редакторы
-
— HEX редактор OS X. — Windows версия Synalyze It. — маленький и быстрый HEX редактор. — кросс-платформенный HEX редактор. — HEX редактор в тимплейтами. — кросс-платформенный HEX редактор со сравнением файлов.
Работа с образами (создание, клонирование)
-
— улучшенная версия консольной утилиты dd. — еще одна улучшенная версия dd. — FTK Imager- просмотр и клонирования носителей данных в среде Windows. — просмотр и клонирования носителей данных в среде Linux.
Работа с метаданными
Exif Tool — чтение, запись и редактирование метаданных в файлах различных графических форматов.
Exiv2 — библиотека для работы с метаданными Exif, IPTC, XMP и ICC.
PdfParser — служит для извлечения данных из файла PDF-файлов.
FOCA — это инструмент для поиска метаданных и скрытой информации в документах, загруженных в веб. Работает с Microsoft Office, Open Office, PDF, Adobe InDesign и SVG.
Реал-тайм утилиты
-
— GRR Rapid Response: инструмент для расследования и анализа инцидентов. — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.
Извлечение данных
-
— улучшенная версия популярной утилиты strings. — выявления email, IP-адресов, телефонов из файлов. эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ. — утилита для извления данных и файлов изображений.
Мониторинг хостов
POFR — клиент-серверный «черный ящик», который регистрирует данные о выполнении процессов, доступе к файлам и сетевых соединениях в Linux-системах, а затем передает отчеты на сервер по протоколу SSH.
IntelMQ — система автоматизированной обработки инцидентов, которую можно использовать для сбора данных для дальнейшего анализа. Имеет модульную структуру, состоящую из ботов для извлечения, обогащения и записи данных.
Velociraptor — инструмент для сбора информации о состоянии хостов при помощи гибкого языка запросов VQL. Позволяет в значительной степени автоматизировать сбор разнообразных криминалистических артефактов.
Meerkat — набор модулей PowerShell, предназначенных для сбора артефактов из систем на базе Windows без предварительной установки агента. Сценарии использования включают реагирование на угрозы, поиск угроз, базовый мониторинг, сравнение снапшотов.
Работа с реестром
RegRipper — инструмент с открытым исходным кодом для извлечения информации (ключи, значения, другие данные) из реестра. Написан на языке Perl.
RegRippy и Regipy еще пара библиотек для чтения и извлечения полезных криминалистических данных из ветвей реестра Windows. На этот раз на Python.
Материал для изучения
Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого я рекомендую ознакомиться со следующими изданиями:
- Н.Н.Федотов: Форензика – компьютерная криминалистика
- Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
- Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
- Brian Carrier: File System Forensic Analysis
- Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
- Philip Polstra: Linux Forensics
- Jonathan Levin: Mac OS X and iOS Internals: To the Apple's Core
- Ric Messier: Operating System Forensics
- Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
- Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
- Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
- Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide
Различные инструменты
Bitscout — инструмент для создания LiveCD/LiveUSB приспособленных для цифровой криминалистики и не только.
Digital Forensics Artifact Repository — машиночитаемая база знаний по цифровой криминалистике.
sherloq — набор инструментов для судебной экспертизы цифровых фотографий.
swap_digger — bash-скрипт, автоматизирующий извлечение файла подкачки Linux и поиск учетных данных пользователей, адресов электронной почты, содержимого веб-форм, WiFi SSID ключей и других чувствительных данных.
bulk extractor — сканирует образы дисков, каталоги или отдельные файлы и извлекает из них полезную информацию, например, адреса электронной почты, JPEG или JSON snippets.
LaZagne — приложение с открытым исходным кодом для извлечения паролей, хранящихся на компьютере.
Fibratus — инструмент для исследования и трассировки ядра Windows.
fflib — расширяемый открытый формат для хранения образов дисков и криминалистической информации.
Sigma — открытый формат подписи для SIEM-систем.
Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
-
— обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.) — кросплатформенный анализатор реестра Windows. — лист сравнения MFT-парсеров (MFT — Master File Table). — MFT-парсер. — парсер журналов NTFS. — — парсер журналов USN. — восстановление NTFS данных. — анализ NTFS данных.
Работа с журналами
Logdissect — CLI-утилита и Python API для анализа, фильтрации и экспорта данных в файлы журнала Windows или JSON.
APT Hunter — разработан для поиска подозрительной активности в журналах Windows. Автоматизирует сбор журналов Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортирует события по серьезности и ведет статистику, которая помогает обнаруживать аномалии.
LogonTracer — анализирует Windows Active Directory, связывает имя хоста (или IP-адрес) и имя учетной записи, найденные в событиях, связанных с входом в систему, а затем отображает их в виде схемы. Позволяет реконструировать историю авторизаций.
StreamAlert — безсерверная система анализа журналов в реальном времени, написанная на Python. Принимает данные из любых источников, имеет встроенную систему оповещений на основе настраиваемой пользовательской логики. Выполняется с минимальными привилегиями, хранит данные в зашифрованном виде.
USBRip — простая консольная утилита для восстановления истории подключения USB-носителей к компьютерам под управлением Linux. Может экспортировать собранные данные JSON-файл.
Практические площадки
Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа, представленными на визуализированой mindmap. В качестве первых образцов для тренировки рекомендую:
Многофункциональные «комбайны»
SIFT Workstation — набор бесплатных инструментов для форензики и реагирования на инциденты с открытым исходным кодом от SANS Institute. Универсальный и подробно документированный тулкит на основе Ubuntu LTS 20.04.
Skadi — еще один набор утилит с открытым исходным кодом, который позволяет собирать, обрабатывать и проводить расширенный анализ криминалистических артефактов и изображений. Работает на MacOS, Windows и Linux, легко масштабируется.
Autopsy достаточно функциональна, чтобы занимать отдельное место в этом списке. Это платформа для цифровой криминалистики и графический интерфейс для анализатора образов дисков The Sleuth Kit, PhotoRec, STIX и других программ для цифровой криминалистики. Поддерживает сторонние модули на Java и Python, расширяющие возможности платформы.
Извлечение веб-артефактов
hindsight — простой и функциональный инструмент для анализа веб-артефактов с поддержкой браузеров на базе Chromium. Позволяет анализировать историю посещений и загрузок, содержимое кэша, cookie, закладки, автозаполнение, сохраненные настройки, расширения и пароли. Все извлеченные данные помещаются на временную шкалу.
Dumpzilla — аналогичная программа для сбора интересной информации из браузеров Firefox, Iceweasel и Seamonkey.
Работа с памятью и образами системы
Volatility 3 — один из самых популярных фреймворков для исследования дампов оперативной памяти. Поддерживает 18 различных версий операционных систем, умеет работать с дампами ядра Virtualbox и снапшотами VMware.
AVML — портативный инструмент для сбора данных из энергонезависимой памяти Linux-систем. Написан на Rust и предназначен для развертывания в виде статического бинарного файла. Его можно использовать для получения данных «вслепую», не зная версию дистрибутив целевой ОС.
LiME — загружаемый модуль ядра (LKM) для захвата данных из памяти устройств под управлением Linux, в том числе и Android-смартфонов. Развивается и совершенствуется с 2012 года.
Bmap-tools — инструмент для копирования файлов с использованием создания карты блоков (bmap).
INDXParse — тулкит для извлечения артефактов NTFS.
nTimetools — инструментарий для работы с временными метками в Windows. Позволяет экспертам-криминалистам проверять метки в файловой системе NTFS с точностью до 100 наносекунд.
RecuperaBit — утилита для криминалистической реконструкции файловой системы и восстановления файлов. Поддерживает только NTFS.
Sleuth Kit — библиотека для низкоуровневого исследования образов дисков, файловых систем и поиска улик.
MemProcFS — утилита для простого доступа к физической памяти, как к файлам виртуальной файловой системы.
dof (Docker Forensics Toolkit) — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и так далее.
Сбор артефактов
artifactcollector — настраиваемый агент для сбора артефактов из Windows, macOS и Linux. Умеет извлекать файлы, каталоги, записи реестра, команды WMI. Интегрируется с Digital Forensics Artifact Repository.
osquery — аналитика операционной системы для знатоков баз данных. Утилита представляет операционную систему как высокопроизводительную реляционную базу данных. Это позволяет использовать SQL для работы со всем содержимым компьютера. Доступна для Linux, macOS, Windows и FreeBSD.
ir-rescue — пара сценариев для Windows и Unix, которые собирают большой объем криминалистических данных, отвечающий потребностям большинства расследований. Запускают множество команд и инструментов, поэтому оставляют заметные следы в системе.
UAC — (Unix-like Artifacts Collector) — использует встроенные инструменты Unix-подобных систем для автоматизации сбора артефактов. Работает вне зависимости от архитектуры, в том числе на macOS и Android.
DFTimewolf — фреймворк для организации сбора, обработки и экспорта данных, ценных для криминалистов.
AChoir — сценарий для сбора артефактов Windows в режиме реального времени.
CyLR — инструмент для сбора криминалистических артефактов из систем с файловой системой NTFS.
DFIR ORC — тулкит для деликатного сбора артефактов: файловых таблиц, ветвей реестра и журналов событий из машин под управлением Windows. Разработан так, чтобы свести к минимуму влияние на систему, в которой он работает. Не устанавливает никаких программ, создает минимум файлов, ключей реестра и служб и записывает минимально необходимый объем данных.
Инструменты для совместного расследования
IRIS — веб-приложение для совместной работы над сложными и запутанными расследованиями. Упрощает обмен файлами, например, журналами Windows. Может быть развернута на сервере или локальном компьютере из Docker-образа.
Kuiper — платформа сфокусированная на сборе и анализе доказательств. Предоставляет удобный графический интерфейс, централизованное управление парсерами, поддерживает массовую загрузку артефактов из любых каналов и позволяет целой группе аналитиков совместно маркировать и сортировать файлы.
TheHive — платформа реагирования на инциденты безопасности с открытым исходным кодом, предназначенная для SOC, CSIRT, CERT и любых других специалистов по информационной безопасности. Легко интегрируется с MISP и выделяется проработанной ролевой моделью, которая позволяет аналитикам из разных компаний без проблем работать над одним случаем.
GRR Rapid Response позволяет группе аналитиков сортировать атаки и выполнять их анализ удаленно в режиме реального времени. Состоит из клиентского python-агента, который устанавливается на целевые системы, и управляющего python-сервера. Поддерживает низкоуровневый доступ и автоматическое планирование повторяющихся задач.
DFIRTrack — платформа для форензики, ориентированная на разбор одного или нескольких крупных инцидентов затронувших сразу много различных систем. Представляет собой веб-приложение для развертывания в Ubuntu, в основанное на Django и использующее PostgreSQL.
Orochi — это платформа для группового анализа дампов памяти. Де-факто представляет собой графический интерфейс для Volatility 3 . Сохраняет результаты работы этой утилиты в ElasticSearch.
Timesketch — утилита для совместного timeline analysis. Позволяет восстановить и наглядно представить последовательность событий во время инцидента.
Конверторы
-
— мультиинструмент для кодирования, декодирования, сжатия и анализа данных. — конвертирование бинарных данных.
Internet Artifacts
-
— извлечение информации из Google Chrome. — анализ истории Google Chrome/Chromium.
Сетевой анализ
-
— инструменты для анализа трафика для облегчения анализа безопасности крупных сетей. — известнейший сетевой сниффер.
Дистрибутивы
Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.
Читайте также: