Форензика

Форензика

DEEPSIDE
Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Слово “forensics” пошло от латинского “foren”, что дословно переводится как “речь перед судом”. К нам же данный термин попал из Британии, где означал такое понятие, как “forensic science” - учение об изучении и анализе улик - криминалистика. Данная наука занимается исследованием улик, но в нашей стране термин “форензика” имеет только одно значение - цифровая криминалистика.

Отойдём от этимологии и рассмотрим форензику с точки зрения применения этой науки. На самом деле, это просто сбор компьютерных улик. То есть поиск и исследование цифровых следов киберпреступлений. Они могут быть где угодно: на персональных компьютерах, на телефонах, картах памяти, винчестерах, умных часах. В общем, везде, где может находиться информация. Звучит странно, но форензика может работать даже со стиральными машинами, посудомойками, роботами-пылесосами и иными чудесами современной домашней техники.

Форензику подразделяют на следующие категории:

  • Аппаратно-компьютерная экспертиза
  • Программно-компьютерная экспертиза
  • Компьютерно-сетевая экспертиза
  • Информационно-компьютерная экспертиза.

Обычно форензика изучает следующие вопросы:

  • Присутствие на носителе данных, имеющих отношение к расследованию преступления (к ним также относится информация в косвенном, искажённом, скрытом или закодированном состоянии);
  • Возможность применения анализируемых объектов с конкретной задачей (к примеру, выхода в интернет);
  • Операции, выполненные с применением данных объектов;
  • Функции программ, принадлежность их к вредоносным;
  • Распознавание выявленных данных.

Также зачастую применяется такая штука как экспресс-анализ. Это когда, к примеру, крутой хакер, сидит и взламывает какой-нибудь правительственный форум, слышит звонок в дверь - открывает, заваливаются парни из органов и идут взглянуть на его ПК. Ни к чему хорошему это не приведёт. С помощью экспресс-анализа специалисты в считанные минуты установят всё, что им нужно.

В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.


Дистрибутивы

Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.

  • Digital Evidence & Forensics Toolkit: DEFT Linuix

Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.

Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.

Фреймворки

  • Volatility Framework

Один из самых популярных фреймворков для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM)

Извлекаемые данные:

  • дата и время;
  • список запущенных процессов;
  • список открытых сетевых сокетов;
  • список открытых сетевых соединений;
  • список загруженных библиотек для каждого процесса;
  • имена открытых файлов для каждого процесса;
  • адреса памяти;
  • модули ядра ОС;
  • маппинг физических смещений на виртуальные адреса.

Список поддерживаемых образов RAM для следующих операционных систем:

  • 32-bit Windows XP Service Pack 2 and 3
  • 32-bit Windows 2003 Server Service Pack 0, 1, 2
  • 32-bit Windows Vista Service Pack 0, 1, 2
  • 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
  • 32-bit Windows 7 Service Pack 0, 1
  • 32-bit Windows 8, 8.1, and 8.1 Update 1
  • 32-bit Windows 10 (initial support)
  • 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows Vista Service Pack 0, 1, 2
  • 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows 2008 R2 Server Service Pack 0 and 1
  • 64-bit Windows 7 Service Pack 0 and 1
  • 64-bit Windows 8, 8.1, and 8.1 Update 1
  • 64-bit Windows Server 2012 and 2012 R2
  • 64-bit Windows 10 (including at least 10.0.14393)
  • 64-bit Windows Server 2016 (including at least 10.0.14393.0)
  • 32-bit Linux kernels 2.6.11 to 4.2.3
  • 64-bit Linux kernels 2.6.11 to 4.2.3
  • 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn’t supported)
  • 32-bit 10.6.x Snow Leopard
  • 64-bit 10.6.x Snow Leopard
  • 32-bit 10.7.x Lion
  • 64-bit 10.7.x Lion
  • 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
  • 64-bit 10.9.x Mavericks (there is no 32-bit version)
  • 64-bit 10.10.x Yosemite (there is no 32-bit version)
  • 64-bit 10.11.x El Capitan (there is no 32-bit version)
  • 64-bit 10.12.x Sierra (there is no 32-bit version)

Для тестирования фреймворка рекомендуем воспользоваться готовыми образами RAM.

  • DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.
  • PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.
  • Sleuth Kit (TSK) - это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.
  • MIG: Mozilla InvestiGator - это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.
  • bulk_extractor - извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».
  • PhotoRec - мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.


Анализ сетевого взаимодействия

  • SiLK (System for Internet-Level Knowledge) - предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.
  • Wireshark - этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).


Дисковые инструменты и сбор данных

  • Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
  • DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
  • EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
  • Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
  • EWF MetaEditor утилита для редактирования метаданных EWF (E01).
  • FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
  • Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
  • FTK Imager просмотр и клонирование носителей данных в среде Windows.
  • Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
  • Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
  • NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
  • Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
  • OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
  • OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.


Анализ электронной почты

  • EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
  • Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
  • MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
  • OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
  • PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.


Анализ файлов и данных

  • analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
  • bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
  • CapAnalysis утилита просморта PCAP.
  • Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
  • Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
  • DCode утилита преобразует различные типы данных в значения даты / времени.
  • Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
  • eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
  • Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
  • ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
  • File Identifier онлайн анализ типа файлов (более 2000).
  • Forensic Image Viewer утилита для извлечения данных из изображений.
  • Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
  • Memoryze анализ образов RAM, включая анализ «page» файлов.
  • MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
  • Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.


Инструменты для Mac OS

  • Audit утилита для вывода аудита и журналов OS X.
  • Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
  • FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
  • IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
  • mac_apt утилита для работы с образами E01, DD, DMG.
  • Volafox утилита для анализа памяти в Mac OS X.


Мобильные устройства

  • iPBA2 утилита анализа резервных копий iOS.
  • iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
  • ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
  • Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
  • SAFT извлечение SMS, журналов звонков и контактов из Android устройств.


Материалы и курсы для изучения

Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого рекомендуем ознакомиться со следующими изданиями:

  • Н.Н.Федотов: Форензика – компьютерная криминалистика
  • Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
  • Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
  • Brian Carrier: File System Forensic Analysis
  • Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
  • Philip Polstra: Linux Forensics
  • Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core
  • Ric Messier: Operating System Forensics
  • Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
  • Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
  • Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
  • Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide
  • FOR500: Windows Forensic Analysis — курс обучения основам форензики от авторитетного института SANS.
  • Free Online Computer Forensics Training Class — CHFI — еще один вариант курса по программе CHFI.
  • Android Forensics & Security Testing — материалы к курсу обучения по мобильной форензике.
  • Computer Forensics Fundamentals — базовый курс обучения на площадке Udemy
  • Computer Hacking Forensic Investigator (CHFI) — еще один курс на площадке Udemy для продвинутых
  • Certified Cyber Forensics Professional (CCFP) and Certified Hacking Forensics Investigator (CHFI) exams — курс профессиональной подготовки с дальнейшей сертификацией по программе CHFI.

Для тех, кто хочет проверить свои знания в деле форензики, доступен бесплатный онлайновый тест Computer Forensics Fundamentals .


Практические площадки

Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа:

  • Memory samples — набор дампов памяти от Windows до Linux с зашитыми в них артефактами.
  • p0wnlabs Sample Challenges — набор свободно скачиваемых заданий на темы web sleuthing и deleted file recovery.
  • Wireshark Sample Captures — репозиторий дампов сетевого трафика.
  • Computer Forensic Reference Data Sets (CFReDS) — репозиторий образов для тренировки навыков криминалистической экспертизы.
  • Digital Forensics Tool Testing Images — еще один архив снимков ФС.
  • Digital Corpora — портал организации Digital Corpora, созданный для энтузиастов киберфорензики, с семплами для тестирования своих навыков.
  • BlackLight — коммерческий набор инструментов и демопак для тестирования навыков.


Заключение

Также инструменты для форензики можно найти и в операционных системах, предназначенных для тестирования на безопасность, вроде Kali Linux или BlackArch. Возникает вопрос: как же можно обезопаситься от всего этого множества инструментов, разбирающих информацию на носителях по косточкам? В этих целях были придуманы системы противодействия форензическим методам, например, такая ОС, как Linux Kodachi. Конечно, сейчас очень популярны в кибербезопасности направления вроде тестирования на безопасность. Но несмотря на это форензика является не менее многогранной и интересной наукой. Как ответвление информационной безопасности, форензика развита гораздо в меньшем объеме нежели тестирование на проникновение или организация защитных средств. Грамотный подход при проведении мероприятий по сбору цифровых доказательств не только даст восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.


Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org