Комп’ютерна криміналістика (форензика) – огляд інструментарію та тренувальних майданчиків

8 травня 2023 2 хвилин Автор: Cyber Witcher

Історія цифрової криміналістики та її завдання

 

Цифрова криміналістика (digital forensics) з’явилася в середині 1970-х років як один із напрямів комп’ютерної криміналістики та тривалий час була сфокусована переважно на кібератаках, витоках даних та інших подібних випадках. Протягом наступних 50 років цифрова криміналістика активно розвивалася, зазнавала змін, і на даний момент існує як окрема сфера діяльності (з 2005 року у неї навіть є свій стандарт ISO). Фахівці, зайняті в digital forensics, відновлюють будь-які видалені з різноманітних ґаджетів дані, надають для судових процесів необхідні цифрові докази, допомагають спецслужбам встановити особу злочинця та визначити можливий мотив злочину. Крім відповідних підрозділів усередині спецслужб, з’явилося багато приватних фірм по всьому світу, що надають послуги від проведення дослідження до збору цифрових доказів: наприклад, Business Intelligence Associates, FireEye, AccessData за кордоном, і Лабораторія Group-IB на російському ринку. Але, як і інші індустрії, цифрова криміналістика стикається зі своїми складнощами.

Основна з них – це труднощі, пов’язані з долученням судом цифрових даних до матеріалів справи. Іноді надавати “електронні” докази може бути складно з огляду на свою специфіку і суд не завжди готовий їх прийняти; іноді розходяться думки щодо інтерпретації вже долучених до справи цифрових даних. Один із найяскравіших прикладів подібного неоднозначного трактування зібраних цифрових доказів – справа Кейсі Ентоні, яка і сьогодні залишається одним із найзагадковіших судових процесів в історії правосуддя США.

Digital Evidence & Forensics Toolkit: DEFT Linuix

Цей дистрибутив розроблено на платформі Lubuntu і оснащено зручним графічним інтерфейсом. Крім того, до продукту додано набір профільних утиліт, починаючи від антивірусів, систем пошуку інформації в кеші браузера, мережевих сканерів та утиліт для виявлення руткітів, закінчуючи інструментами, необхідними під час проведення пошуку прихованих на диску даних.

Основне призначення – проведення заходів з форензики – аналізу наслідків злому комп’ютерних систем, визначення втрачених і скомпрометованих даних, а також для збору т. зв. цифрових доказів вчинення кіберзлочинів.

Фреймворки

Одним із найпопулярніших фреймворків є один із найпопулярніших фреймворків Volatility Framework — фреймворк для дослідження образів вмісту оперативної пам’яті та вилучення цифрових артефактів з енергозалежної пам’яті (RAM).

Дані, що витягуються:

  • Дата і час;

  • Список запущених процесів;

  • Список відкритих мережевих сокетів;

  • Список відкритих мережевих з’єднань;

  • Список завантажених бібліотек для кожного процесу;

  • Імена відкритих файлів для кожного процесу;адреси пам’яті;

  • Модулі ядра ОС;

  • Маппінг фізичних зміщень на віртуальні адреси.

Список підтримуваних образів RAM для таких операційних систем:

  • 32-bit Windows XP Service Pack 2 and 3

  • 32-bit Windows 2003 Server Service Pack 0, 1, 2

  • 32-bit Windows Vista Service Pack 0, 1, 2

  • 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)

  • 32-bit Windows 7 Service Pack 0, 1

  • 32-bit Windows 8, 8.1, and 8.1 Update 1

  • 32-bit Windows 10 (initial support)

  • 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)

  • 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)

  • 64-bit Windows Vista Service Pack 0, 1, 2

  • 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)

  • 64-bit Windows 2008 R2 Server Service Pack 0 and 1

  • 64-bit Windows 7 Service Pack 0 and 1

  • 64-bit Windows 8, 8.1, and 8.1 Update 1

  • 64-bit Windows Server 2012 and 2012 R2

  • 64-bit Windows 10 (including at least 10.0.14393)

  • 64-bit Windows Server 2016 (including at least 10.0.14393.0)

  • 32-bit Linux kernels 2.6.11 to 4.2.3

  • 64-bit Linux kernels 2.6.11 to 4.2.3

  • 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn’t supported)

  • 32-bit 10.6.x Snow Leopard

  • 64-bit 10.6.x Snow Leopard

  • 32-bit 10.7.x Lion

  • 64-bit 10.7.x Lion

  • 64-bit 10.8.x Mountain Lion (there is no 32-bit version)

  • 64-bit 10.9.x Mavericks (there is no 32-bit version)

  • 64-bit 10.10.x Yosemite (there is no 32-bit version)

  • 64-bit 10.11.x El Capitan (there is no 32-bit version)

  • 64-bit 10.12.x Sierra (there is no 32-bit version)

Для тестування фреймворку рекомендую скористатися готовими образами RAM

  • DFF (Digital Forensics Framework) – фреймворк для криміналістичного аналізу, інтерфейси представлені як у вигляді командного рядка, так і GUI. DFF можна використовувати для дослідження жорстких дисків і енергозалежної пам’яті та створення звітів про користувацькі та системні дії.

  • PowerForensics надає єдину платформу для криміналістичного аналізу жорстких дисків у реальному часі.

  • Sleuth Kit (TSK) — це набір засобів командного рядка для цифрової судової експертизи, які дають змогу досліджувати дані томів жорстких дисків і файлової системи.

  • bulk_extractor — дає змогу витягувати інформацію за допомогою спеціальних сканерів (пошта, номер кредитної картки, GPS координати, номери телефонів, EXIF дані в зображеннях). Швидкість роботи досягається завдяки використанню багатопотоковості та роботи з жорстким диском “напряму”.

  • PhotoRec — мультисистемна платформа для пошуку і вилучення файлів з досліджуваних образів операційних систем, компакт-дисків, карт пам’яті, цифрових фотокамер тощо. Основне призначення – вилучення видалених (або втрачених) файлів.

Аналіз мережевої взаємодії

SiLK (System for Internet-Level Knowledge) — призначений для ефективного збору, зберігання та аналізу даних мережевого потоку. SiLK ідеально підходить для аналізу трафіку на магістралі або кордоні великого, розподіленого підприємства або провайдера середнього розміру.

Wireshark — цей мережевий аналізатор пакетів (або сніффер) може бути ефективно використаний для аналізу трафіку (зокрема і шкідливого). Один із найпопулярніших інструментів. Функціональність, яку надає Wireshark, дуже схожа з можливостями програми tcpdump, однак Wireshark має графічний користувальницький інтерфейс і значно більше можливостей щодо сортування та фільтрації інформації. Програма дає змогу користувачеві переглядати весь трафік, що проходить мережею, у режимі реального часу, переводячи мережеву карту в нерозбірливий режим (promiscuous mode).

Матеріал для вивчення

Для того щоб проводити ті чи інші дії з аналізу даних необхідно мати базис теоретичного матеріалу з розслідування кіберзлочинів. Для цього я рекомендую ознайомитися з такими виданнями:

  • Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics

  • Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7

  • Brian Carrier: File System Forensic Analysis

  • Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis

  • Philip Polstra: Linux Forensics

  • Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core

  • Ric Messier: Operating System Forensics

  • Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics

  • Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory

  • Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry

  • Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide

Практичні майданчики

Для тестування перерахованого вище інструментарію можна скористатися спеціалізованими платформами або образами для аналізу, представленими на візуалізованій mindmap. Як перші зразки для тренування рекомендую:

Інші статті по темі
КібервійнаШпаргалки для хакера
Читати далі
Повний список інструментів для тестування і злому проникнення для хакерів і фахівців з безпеки
Список із найважливіших хакерських інструментів, які широко використовуються мільйонами спеціалістів з безпеки та тисячами організацій по всьому світу.
1563
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.