Oskolok
Пассажир
- Сообщения
- 57
- Реакции
- 68
Утилиты используемые криминалистами для извлечения данных с вашего компьютера
Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.
Давайте посмотрим, какие инструменты по умолчанию должны быть в инструментарии эксперта Форензики. Начнем с самого главного — снятия образа диска для последующего анализа в лабораторных условиях.
Всегда ясно и четко осознавайте, какое именно действие и для чего вы совершаете. Неправильное использование приведенных в тексте статьи программ может привести к потере информации или искажению полученных данных (доказательств). Ни автор статьи, ни редакция сайта не несут ответственности за любой ущерб, причинный из-за неправильного использования материалов данной статьи.
Форензика — компьютерная криминалистика
Классификация компьютерной криминалистики
Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давайте прикинем карту классификации компьютерной криминалистики.- Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
- Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннелей и тому подобного.
- Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
- Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.
- Hardware forensic — экспертиза аппаратного обеспечения и технических устройств. Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.
Методы и техники компьютерной криминалистики
Как и в случае с анализом вредоносных программ, есть два основных подхода к экспертизе взломанной машины:- статический
- динамический анализ
Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.
Основные инструменты форензики
Первое, что нужно сделать в начале компьютерной криминалистической экспертизы, — это собрать и сохранить информацию, чтобы затем можно было восстанавливать хронологию и поведенческую картину инцидента.Давайте посмотрим, какие инструменты по умолчанию должны быть в инструментарии эксперта Форензики. Начнем с самого главного — снятия образа диска для последующего анализа в лабораторных условиях.
Всегда ясно и четко осознавайте, какое именно действие и для чего вы совершаете. Неправильное использование приведенных в тексте статьи программ может привести к потере информации или искажению полученных данных (доказательств). Ни автор статьи, ни редакция сайта не несут ответственности за любой ущерб, причинный из-за неправильного использования материалов данной статьи.
Создание образа диска, раздела или отдельного сектора
- FTK Imager — неплохой инструмент для клонирования носителей данных в Windows.
- dc3dd (а также adulau/dcfldd) — улучшенные версии стандартной консольной утилиты dd в Linux.
- Guymager — специализированное приложение для создания точных копий носителей (написано на C++, на базе Qt).
- Paragon или Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.
- Смонтировать его с атрибутами o -ro
- Подключить через blockdev —setro
- Смонтировать как -o ro,loop
Обработка сформированных образов дисков
- Imagemounter — утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков.
- Libewf — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format).
- Xmount — крохотная CLI-утилитка для конвертирования образов дисков в удобный формат с сохранением всей информации и метаданных.
Сбор данных с жестких дисков
- DumpIt — утилита для создания дампа оперативной памяти машины. Проста и удобна.
- Encase Forensic Imager — софтинка для создания базы доказательных файлов.
- Encrypted Disk Detector — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, PGP и Bitlocker.
- Forensics Acquisition of Websites — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования.
- Live RAM Capturer — годная утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой.
- Magnet RAM Capture — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от ретро Windows XP до Windows 10 (включая и релизы Windows Server).
Анализ файлов найденных на жестких дисках
- Crowd Inspect помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом. Помимо этого, линкуется к VirusTotal и другим онлайновым сервисам анализа вредоносных программ и службам репутации.
- dCode преобразует разные типы данных в значения даты и времени.
- Bstrings — программа для поиска в двоичных данных, есть поддержка регулярных выражений.
- eCryptfs Parser рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов.
- Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки.
- File Identifier — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч.
- Memoryze — утилита для анализа образов оперативной памяти, включая анализ файлов подкачки и извлечения оттуда данных.
- ShadowExplorer — утилита для просмотра и дальнейшего извлечения файлов из теневых копий в системе Windows.
- HxD — маленький и быстрый HEX-редактор.
- Synalyze It! — HEX-редактор с поддержкой шаблонов, при этом быстр и в нем нет ничего лишнего.
- wxHex Editor — кросс-платформенный HEX-редактор с возможностью сравнивать файлы и кучей других фич.
Извлечение данных из файлов
- Bulk_Extractor — утилита для вылавливания email, IP-адресов и телефонов из файлов.
- PhotoRec — утилита для извлечения данных и файлов изображений.
Обработка данных в оперативной памяти (RAM)
- Forensics, Memory Integrity & Assurance Tool by invtero — крутой и навороченный фреймворк, который при этом быстро работает.
- volatility — опенсорсный набор утилит для разностороннего анализа образов физической памяти.
- Rekall — скрипт для анализа дампов RAM, написанный на Python.
- KeeFarce — программа для извлечения паролей KeePass из памяти.
Анализ сетевого стека и браузеров
- SiLK — прога для сбора, хранения и анализа данных сетевого потока. Идеально подходит для анализа трафика на магистрали или границе крупного распределенного предприятия или провайдера среднего размера.
- Wireshark — всемирно известный сетевой анализатор пакетов (сниффер). Имеет графический пользовательский интерфейс и широкий набор возможностей сортировки и фильтрации информации.
- NetworkMiner — инструмент сетевого анализа для обнаружения ОС, имени хоста и открытых портов сетевых узлов с помощью перехвата пакетов в формате PCAP.
- chrome-url-dumper — крошечная программа для извлечения информации из браузера Google Chrome.
- hindsight — еще одна утилитка для анализа истории Chrome.
Анализ email-сообщений
- EDB Viewer — мощная утилита для просмотра файлов Outlook (EDB) без подключения сервера Exchange.
- Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail / Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
- OST Viewer — утилита для просмотра файлов OST Outlook, опять же без привязки к серверу Exchange.
- PST Viewer — вариант предыдущей утилиты, служит для просмотра файлов PST Outlook.
Поиск артефактов на HDD и периферии
- FastIR Collector — мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее).
- FRED — кросс-платформенный быстрый анализатор реестра для ОС Windows.
- NTFS USN Journal parser — парсер журналов USN для томов NTFS.
- RecuperaBit — утилита для восстановления данных NTFS.
Специализированные паки и фреймворки
- Digital Forensics Framework — платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI.
- The Sleuth Kit и Autopsy — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков.
- Oxygen Forensic Detective — универсальный криминалистический инструмент для исследования данных мобильных устройств. Пак входящих в него утилит позволяет выполнять полное извлечение данных, проводить исчерпывающий анализ данных, хранящихся на телефонах и в облачных хранилищах. В наличии есть Forensic Cloud Extractor — встроенная служебная программа, собирающая данные из облачных служб хранения данных; средство Forensic Maps — программа, работающая с данными геоинформационных систем (GPS); Forensic Call Data Expert — программа для импорта записей данных о вызовах (так называемые CDR-файлы) любого поставщика услуг беспроводной связи и визуального анализа соединений абонентов.
