Jump to content
Sign in to follow this  
mr.save

Компьютерная криминалистика (Computer Forensics): подборка полезных ссылок

Recommended Posts

Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

 

Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.

 

Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.

Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).

 

Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.

 

Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.

Фреймворки

 

  • dff — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
  • PowerForensics — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
  • The Sleuth Kit — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.

 

Реал-тайм утилиты

 

  • grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
  • mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.

 

Работа с образами (создание, клонирование)

 

  • dc3dd — улучшенная версия консольной утилиты dd.
  • adulau/dcfldd — еще одна улучшенная версия dd.
  • FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
  • Guymager — просмотр и клонирования носителей данных в среде Linux.

 

Извлечение данных

 

  • bstrings — улучшенная версия популярной утилиты strings.
  • bulk_extractor — выявления email, IP-адресов, телефонов из файлов.
  • floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
  • photorec — утилита для извления данных и файлов изображений.

 

Работа с RAM

 

  • inVtero.net — фреймворк, отличающийся высокой скоростью работы.
  • KeeFarce — извлечение паролей KeePass из памяти.
  • Rekall — анализ дампов RAM, написанный на python.
  • volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
  • VolUtility — веб-интерфейс для Volatility framework.

 

Сетевой анализ

 

  • SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
  • Wireshark — известнейший сетевой сниффер.

 

Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

 

  • FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
  • FRED — кросплатформенный анализатор реестра Windows.
  • MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table).
  • MFTExtractor — MFT-парсер.
  • NTFS journal parser — парсер журналов NTFS.
  • NTFS USN Journal parser — — парсер журналов USN.
  • RecuperaBit — восстановление NTFS данных.
  • python-ntfs — анализ NTFS данных.

 

Исследование OS X

 

 

Internet Artifacts

 

  • chrome-url-dumper — извлечение информации из Google Chrome.
  • hindsight — анализ истории Google Chrome/Chromium.

 

Анализ временных интервалов

 

  • plaso — извлечение и агрегация таймстапов.
  • timesketch — анализ таймстапов.

 

Hex редакторы

 

  • 0xED — HEX редактор OS X.
  • Hexinator — Windows версия Synalyze It.
  • HxD — маленький и быстрый HEX редактор.
  • iBored — кросс-платформенный HEX редактор.
  • Synalyze It! — HEX редактор в тимплейтами.
  • wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов.

 

Конверторы

 

  • CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
  • DateDecode — конвертирование бинарных данных.

 

Анализ файлов

 

 

Обработка образов дисков

 

  • imagemounter — утилита командной строки для быстрого монтирования образов дисков
  • libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
  • xmount — конвертирования образов дисков.

 

Итог

Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. В следующей статье я приведу примеры практического использования утилит для анализа образов памяти.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...