Цифрова криміналістика (digital forensics) з’явилася в середині 1970-х років як один із напрямів комп’ютерної криміналістики та тривалий час була сфокусована переважно на кібератаках, витоках даних та інших подібних випадках. Протягом наступних 50 років цифрова криміналістика активно розвивалася, зазнавала змін, і на даний момент існує як окрема сфера діяльності (з 2005 року у неї навіть є свій стандарт ISO). Фахівці, зайняті в digital forensics, відновлюють будь-які видалені з різноманітних ґаджетів дані, надають для судових процесів необхідні цифрові докази, допомагають спецслужбам встановити особу злочинця та визначити можливий мотив злочину. Крім відповідних підрозділів усередині спецслужб, з’явилося багато приватних фірм по всьому світу, що надають послуги від проведення дослідження до збору цифрових доказів: наприклад, Business Intelligence Associates, FireEye, AccessData за кордоном, і Лабораторія Group-IB на російському ринку. Але, як і інші індустрії, цифрова криміналістика стикається зі своїми складнощами.
Основна з них – це труднощі, пов’язані з долученням судом цифрових даних до матеріалів справи. Іноді надавати “електронні” докази може бути складно з огляду на свою специфіку і суд не завжди готовий їх прийняти; іноді розходяться думки щодо інтерпретації вже долучених до справи цифрових даних. Один із найяскравіших прикладів подібного неоднозначного трактування зібраних цифрових доказів – справа Кейсі Ентоні, яка і сьогодні залишається одним із найзагадковіших судових процесів в історії правосуддя США.
Цей дистрибутив розроблено на платформі Lubuntu і оснащено зручним графічним інтерфейсом. Крім того, до продукту додано набір профільних утиліт, починаючи від антивірусів, систем пошуку інформації в кеші браузера, мережевих сканерів та утиліт для виявлення руткітів, закінчуючи інструментами, необхідними під час проведення пошуку прихованих на диску даних.
Основне призначення – проведення заходів з форензики – аналізу наслідків злому комп’ютерних систем, визначення втрачених і скомпрометованих даних, а також для збору т. зв. цифрових доказів вчинення кіберзлочинів.
Одним із найпопулярніших фреймворків є один із найпопулярніших фреймворків Volatility Framework — фреймворк для дослідження образів вмісту оперативної пам’яті та вилучення цифрових артефактів з енергозалежної пам’яті (RAM).
Дата і час;
Список запущених процесів;
Список відкритих мережевих сокетів;
Список відкритих мережевих з’єднань;
Список завантажених бібліотек для кожного процесу;
Імена відкритих файлів для кожного процесу;адреси пам’яті;
Модулі ядра ОС;
Маппінг фізичних зміщень на віртуальні адреси.
32-bit Windows XP Service Pack 2 and 3
32-bit Windows 2003 Server Service Pack 0, 1, 2
32-bit Windows Vista Service Pack 0, 1, 2
32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
32-bit Windows 7 Service Pack 0, 1
32-bit Windows 8, 8.1, and 8.1 Update 1
32-bit Windows 10 (initial support)
64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows Vista Service Pack 0, 1, 2
64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2008 R2 Server Service Pack 0 and 1
64-bit Windows 7 Service Pack 0 and 1
64-bit Windows 8, 8.1, and 8.1 Update 1
64-bit Windows Server 2012 and 2012 R2
64-bit Windows 10 (including at least 10.0.14393)
64-bit Windows Server 2016 (including at least 10.0.14393.0)
32-bit Linux kernels 2.6.11 to 4.2.3
64-bit Linux kernels 2.6.11 to 4.2.3
32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn’t supported)
32-bit 10.6.x Snow Leopard
64-bit 10.6.x Snow Leopard
32-bit 10.7.x Lion
64-bit 10.7.x Lion
64-bit 10.8.x Mountain Lion (there is no 32-bit version)
64-bit 10.9.x Mavericks (there is no 32-bit version)
64-bit 10.10.x Yosemite (there is no 32-bit version)
64-bit 10.11.x El Capitan (there is no 32-bit version)
64-bit 10.12.x Sierra (there is no 32-bit version)
DFF (Digital Forensics Framework) – фреймворк для криміналістичного аналізу, інтерфейси представлені як у вигляді командного рядка, так і GUI. DFF можна використовувати для дослідження жорстких дисків і енергозалежної пам’яті та створення звітів про користувацькі та системні дії.
PowerForensics надає єдину платформу для криміналістичного аналізу жорстких дисків у реальному часі.
Sleuth Kit (TSK) — це набір засобів командного рядка для цифрової судової експертизи, які дають змогу досліджувати дані томів жорстких дисків і файлової системи.
bulk_extractor — дає змогу витягувати інформацію за допомогою спеціальних сканерів (пошта, номер кредитної картки, GPS координати, номери телефонів, EXIF дані в зображеннях). Швидкість роботи досягається завдяки використанню багатопотоковості та роботи з жорстким диском “напряму”.
PhotoRec — мультисистемна платформа для пошуку і вилучення файлів з досліджуваних образів операційних систем, компакт-дисків, карт пам’яті, цифрових фотокамер тощо. Основне призначення – вилучення видалених (або втрачених) файлів.
SiLK (System for Internet-Level Knowledge) — призначений для ефективного збору, зберігання та аналізу даних мережевого потоку. SiLK ідеально підходить для аналізу трафіку на магістралі або кордоні великого, розподіленого підприємства або провайдера середнього розміру.
Wireshark — цей мережевий аналізатор пакетів (або сніффер) може бути ефективно використаний для аналізу трафіку (зокрема і шкідливого). Один із найпопулярніших інструментів. Функціональність, яку надає Wireshark, дуже схожа з можливостями програми tcpdump, однак Wireshark має графічний користувальницький інтерфейс і значно більше можливостей щодо сортування та фільтрації інформації. Програма дає змогу користувачеві переглядати весь трафік, що проходить мережею, у режимі реального часу, переводячи мережеву карту в нерозбірливий режим (promiscuous mode).
Для того щоб проводити ті чи інші дії з аналізу даних необхідно мати базис теоретичного матеріалу з розслідування кіберзлочинів. Для цього я рекомендую ознайомитися з такими виданнями:
Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
Brian Carrier: File System Forensic Analysis
Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
Philip Polstra: Linux Forensics
Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core
Ric Messier: Operating System Forensics
Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide
Для тестування перерахованого вище інструментарію можна скористатися спеціалізованими платформами або образами для аналізу, представленими на візуалізованій mindmap. Як перші зразки для тренування рекомендую:
Готові образы RAM для volatility;