Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок


     
    Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.

    Дистрибутивы


    Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.

    Digital Evidence & Forensics Toolkit: DEFT Linuix


    Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.

    Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.
     
    www.deftlinux.net
     
    image
     

    Фреймворки


    Одним из самых популярных фреймворков является Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).
    Извлекаемые данные:

    • дата и время;
    • список запущенных процессов;
    • список открытых сетевых сокетов;
    • список открытых сетевых соединений;
    • список загруженных библиотек для каждого процесса;
    • имена открытых файлов для каждого процесса;
    • адреса памяти;
    • модули ядра ОС;
    • маппинг физических смещений на виртуальные адреса.

    Список поддерживаемых образов RAM для следующих операционных систем:

    • 32-bit Windows XP Service Pack 2 and 3
    • 32-bit Windows 2003 Server Service Pack 0, 1, 2
    • 32-bit Windows Vista Service Pack 0, 1, 2
    • 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
    • 32-bit Windows 7 Service Pack 0, 1
    • 32-bit Windows 8, 8.1, and 8.1 Update 1
    • 32-bit Windows 10 (initial support)
    • 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
    • 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
    • 64-bit Windows Vista Service Pack 0, 1, 2
    • 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
    • 64-bit Windows 2008 R2 Server Service Pack 0 and 1
    • 64-bit Windows 7 Service Pack 0 and 1
    • 64-bit Windows 8, 8.1, and 8.1 Update 1
    • 64-bit Windows Server 2012 and 2012 R2
    • 64-bit Windows 10 (including at least 10.0.14393)
    • 64-bit Windows Server 2016 (including at least 10.0.14393.0)
    • 32-bit Linux kernels 2.6.11 to 4.2.3
    • 64-bit Linux kernels 2.6.11 to 4.2.3
    • 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
    • 32-bit 10.6.x Snow Leopard
    • 64-bit 10.6.x Snow Leopard
    • 32-bit 10.7.x Lion
    • 64-bit 10.7.x Lion
    • 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
    • 64-bit 10.9.x Mavericks (there is no 32-bit version)
    • 64-bit 10.10.x Yosemite (there is no 32-bit version)
    • 64-bit 10.11.x El Capitan (there is no 32-bit version)
    • 64-bit 10.12.x Sierra (there is no 32-bit version)

    Для тестирования фреймворка рекомендую воспользоваться готовыми образами RAM.

    DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.

    PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.

    Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.

    MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.

    bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».

    PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.

    Анализ сетевого взаимодействия


    SiLK (System for Internet-Level Knowledge) — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.

    Wireshark — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).

    Материал для изучения


    Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого я рекомендую ознакомиться со следующими изданиями:

    • Н.Н.Федотов: Форензика – компьютерная криминалистика
    • Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
    • Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
    • Brian Carrier: File System Forensic Analysis
    • Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
    • Philip Polstra: Linux Forensics
    • Jonathan Levin: Mac OS X and iOS Internals: To the Apple's Core
    • Ric Messier: Operating System Forensics
    • Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
    • Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
    • Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
    • Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide

    Практические площадки


    Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа, представленными на визуализированой mindmap. В качестве первых образцов для тренировки рекомендую:


    Заключение


    Форензика, как ответвление информационной безопасности, развита гораздо в меньшем объеме нежели тестирование на проникновение или организация защитных средств. Грамотный подход при проведении мероприятий по сбору цифровых доказательств не только даст восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
    Pentestit 244,43
    Информационная безопасность
    Поделиться публикацией
    Комментарии 14
    • +2
      chaosreader полезная штука для изучения дампов трафика. сбрасывает все файлы/картинки и прочее в папку, создает удобный каталог в виде хтмл файла.
      • –2

        Залапаный пальцами блин с кусочком скотча не очень хорошая картинка к статье о компьютерной экспертизе.

        • +2

          Есть ещё Autopsy, gui обёртка для SleuthKit.


          Из осей есть paladin или тот же kali.

          • 0
            Мне нравится CAINE
            Live-дистрибутив, предназначенный для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем.
            • –1
              А находить следы экстремизма дистрибутив умеет?
              • 0

                А вы почему интересуетесть?)

                • 0
                  товарищ Мизулина, разлогинтесь
                • 0
                  Крайне интересная область затронута. Спасибо за статью!
                  А в отечественной практике какие продукты используются?
                  По моему мнению, инструмент анализа должен признаваться судом. А значит программный продукт должен пройти какую-то сертификацию или что-то в этом роде, верно?
                  • –1
                    Ректальный криптоанализ прекрасно работает. Эффективнее и в разы быстрее.
                    • 0

                      Вот только далеко не всегда его можно применить.
                      Например, в случае, если у подозреваемого есть адвокат (которого он сам выбрал).

                    • 0
                      Суду по большому счету наплевать на то, какими средствами/методами пользовался эксперт. Для типичного судьи основное значение имеет наличие у эксперта сертификатов и лицензий (которых сейчас нет только у самого ленивого). Само же заключение эксперта может представлять собой откровенную чушь, лишь бы она была оформлена более-менее наукообразно. Оспорить экспертизу реально лишь с помощью экспертов с большим количеством регалий, при этом содержание может быть еще большей чушью.

                      Главная проблема здесь в том, что судей, способных хотя бы более-менее вникнуть в технические (не обязательно компьютерные) вопросы, катастрофически мало.
                      • 0

                        Вы пишете совершенно верно.
                        И было бы отлично, создать некую сертификацию судей, на предмет понимания ими технических нюансов, способных отличить откровенную чушь от реальности.
                        И чтобы дела, связанные с IT, вели именно такие судьи.

                        • 0
                          Такое возможно только в ситуации избытка судей, и не каких-нибудь, а в целом адекватных. Сейчас же у нас избыток, увы, как раз неадекватных судей — или глупых и ограниченных, или не желающих нарушать установленные правила игры. А в целом в судьях недостаток.
                    • 0

                      Все эти инструменты — это круто.
                      Вот только те, кто занимается чем-то плохим, для этого используют отдельный ноутбук, зашифрованный TrueCrypt 7.1a, с LTE модемом, в котором левая симка.


                      Следовательно, зацепок, позволяющих соотнести конкретный компьютер, с которого осуществляется преступление с конкретным человеком — совершенно невозможно.


                      Далее, если даже каким-то способом получится выйти на подозреваемого и изъять это оборудование, то при наличии у него хорошего адвоката, невозможно доказать, что именно он проделывал какие-то махинации на этом оборудовании, а так же, практически невозможно извлечь из этого оборудования какие-то улики (естественно, при условии, что человек прочитал того же Федотова и имеет понимание, как подходить к вопросу паролей и шифрования).


                      Поэтому и ловят по большому счёту три категории людей:


                      1. Школоту, которая только начинает свой путь, у которых пока ещё нет отдельного оборудования и они начинают со своего личного компьютера, веря в то, что их спасут специальные дистрибутивы, прокси и все такое, не понимая, что преступления, например, связанные с кардингом — за ними особый контроль и в расследовании участвуют хорошие спецы.
                      2. Те, у кого уже получилось некоторое количество махинаций, они заработали денег и верят в то, что им хватит их на то, чтобы откупиться. Они расслабляются и начинают очень сильно косячить.
                      3. Ну и те, кто совершает какие-нибудь не сильно серьезные нарушения закона и думают, что никто не будет их ловить.

                      Но как я вижу ситуацию с IT в России и мире целиком, сейчас активно работают в направлении деанонимизации интернета, однако, вряд ли оно даст результаты в стране, в которой любой желающий может легко купить левую СИМ-карту, банковскую карту, фирму с расчетным счетом в банке и т.д. — то есть все необходимое, позволяющее совершать преступления, с применением чужих персональных данных, покупаемых фактически за копейки.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое