Якщо вам коли-небудь доводилося розбиратися в чужому комп’ютері, а не просто форматувати його, – значить, ви вже займалися комп’ютерною криміналістикою, тобто форензикою! З однією тільки різницею, що у фахівців у цій галузі завдань набагато більше. Вони аналізують трафік, системні збої, помилки користувачів і різні інциденти інформаційної безпеки, ведуть їхній облік і шукають приховані дані та інші можливі сліди злому. До завдань фахівців комп’ютерної криміналістики так само входить виявлення неконтрольованих змін систем і збоїв програмного забезпечення, порушення правил доступу та недотримання політики або рекомендацій з “Інформаційної безпеки”. У цій статті ми розглянемо утиліти і посилання на корисні ресурси, які допоможуть вам глибше розібратися в мистецтві форензики.
Слово “Форензіка” з’явилося в російській мові від англійського слова Forensics, що означає наука про дослідження доказів або просто кажучи комп’ютерна криміналістика. Фахівці в галузі форензики незамінні за необхідності швидко виявити і проаналізувати інциденти ІБ, наприклад, злом веб-сервера або причини витоку конфіденційної інформації, шифрування конфіденційних даних і т. д. Окрема тема – розслідування цілеспрямованих атак, або APT. Їхня суть зводиться до злому цільових систем із використанням різноманітних векторів атак, інструментів, витончених технік і методів, невідомих до теперішнього моменту. Чи варто говорити, що задачки на форензику традиційно присутні і в CTF? Тому без знання хоча б базових технік розслідувань не обійтися. А деякі часто використовувані інструменти, що йдуть у хід на CTF, ми розглянемо трохи нижче.
Arsenal Image Mounter утиліта для роботи з образами дисків у Windows, доступ до розділів і томів тощо.
DumpIt утиліта для створення дампа фізичної пам’яті комп’ютерів Windows, 32/64 біт. Може працювати з USB-накопичувача.
EnCase Forensic Imager утиліта для створення доказових файлів EnCase.
Encrypted Disk Detector утиліта для виявлення зашифрованих томів TrueCrypt, PGP або Bitlocker.
EWF MetaEditor утиліта для редагування метаданих EWF (E01).
FAT32 Format утиліта для форматування дисків великої ємності в FAT32.
Forensics Acquisition of Websites браузер, призначений для захоплення веб-сторінок для проведення розслідувань.
FTK Imager перегляд і клонування носіїв даних у середовищі Windows.Guymager багатопотокова утиліта з GUI для створення образів дисків під керуванням Linux.
Live RAM Capturer утиліта для вилучення дампа RAM, зокрема захищений анти-налагоджувальною або антидампінговою системою.
NetworkMiner інструмент мережевого аналізу для виявлення ОС, імені хоста і відкриті портів мережевих вузлів за допомогою перехоплення пакетів / аналізу PCAP.
Magnet RAM Capture Утиліта для захоплення оперативної пам’яті з Windows XP до Windows 10, Win Server 2003, 2008, 2012.
OSFClone утиліта live CD/DVD/USB для створення dd або AFF образів.
OSFMount утиліта для монітування образів дисків, також дає змогу створювати RAM-диски.
EDB Viewer утиліта для перегляду файлів EDB Outlook без сервера Exchange.
Mail Viewer утиліта для перегляду файлів Outlook Express, Windows Mail/Windows Live Mail, бази даних повідомлень Mozilla Thunderbird і окремих файлів EML.
MBOX Viewer утиліта для перегляду електронних листів і вкладень MBOX.OST Viewer утиліта для перегляду файлів OST Outlook без сервера Exchange.
PST Viewer утиліта для перегляду файлів PST Outlook без сервера Exchange.
analyzeMFT утиліта парсингу MFT з файлової системи NTFS, даючи змогу аналізувати результати за допомогою інших інструментів.
bstrings утиліта пошуку в двійкових даних, включно з пошуком регулярних виразів.
CapAnalysis утиліта просморта PCAP.
Crowd Response консольний застосунок Windows для допомоги в зборі системної інформації для реагування на інциденти та забезпечення безпеки.
Crowd Inspect утиліта для отримання інформації про мережеві процеси, перерахування двійкових файлів, пов’язаних із кожним процесом. Створює запити до VirusTotal та інших онлайн-засобів аналізу шкідливих програм і служб репутації.
DCode утиліта перетворює різні типи даних у значення дати / часу.
Defraser утиліта для виявлення повних і часткових даних про мультимедійні файли в нерозподіленому просторі.
eCryptfs Parser утиліта рекурсивно аналізує заголовки кожного файлу eCryptfs в обраному каталозі.
Encryption Analyzer утиліта для аналізу захищених паролем і зашифрованих файлів, аналізує складність шифрування звітів і варіанти дешифрування для кожного файлу.
ExifTool утиліта для читання і редагування даних Exif у великій кількості типів файлів.
File Identifier онлайн аналіз типу файлів (понад 2000).
Forensic Image Viewer утиліта для вилучення даних із зображень.
Link Parser утиліта для рекурсивного аналізу папок, що витягує понад 30 атрибутів із файлів Windows .lnk (shortcut).
Memoryze аналіз образів RAM, включно з аналізом “page” файлів.
MetaExtractor утиліта для вилучення мета-інформації з офісних документів і pdf.
Shadow Explorer утиліта для перегляду та вилучення файлів із тіньових копій.
Audit утиліта для виведення аудиту та журналів OS X.
Disk Arbitrator блокує монтування файлових систем, доповнюючи блокіратор запису під час вимкнення арбітражу диска.
FTK Imager CLI for Mac OS консольна версія для Mac OS утиліти FTK Imager.
IORegInfo утиліта для відображення інформації щодо під’єднаних до комп’ютера пристроїв (SATA, USB і FireWire, програмні RAID-масиви). Може визначати інформацію розділу, включно з розмірами, типами та шиною, до якої під’єднано пристрій.
mac_apt утиліта для роботи з образами E01, DD, DMG.
Volafox утиліта для аналізу пам’яті в Mac OS X.
iPBA2 утиліта аналізу резервних копій iOS.
iPhone Analyzer утиліта аналізу файлової структури Pad, iPod і iPhone.
ivMeta утиліта для вилучення моделі телефону та версії програмного забезпечення, а також тимчасові дані та дані GPS з відео iPhone.
Rubus утиліта для деконструювання резервних файлів Blackberry .ipd.
SAFT вилучення SMS, журналів дзвінків і контактів з Android пристроїв.