Компьютерная криминалистика (форензика): подборка полезных ссылок

 
Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.

Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).

Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.

Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.

Фреймворки

• dff ^[1] — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
• PowerForensics ^[2] — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
• The Sleuth Kit ^[3] — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.

Реал-тайм утилиты

• grr ^[4] — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
• mig ^[5] — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.

Работа с образами (создание, клонирование)

• dc3dd ^[6] — улучшенная версия консольной утилиты dd.
• adulau/dcfldd ^[7] — еще одна улучшенная версия dd.
• FTK Imager ^[8] — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
• Guymager ^[9] — просмотр и клонирования носителей данных в среде Linux.

Извлечение данных

• bstrings ^[10] — улучшенная версия популярной утилиты strings.
• bulk_extractor ^[11] — выявления email, IP-адресов, телефонов из файлов.
• floss ^[12] эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
• photorec ^[13] — утилита для извления данных и файлов изображений.

Работа с RAM

• inVtero.net ^[14] — фреймворк, отличающийся высокой скоростью работы.
• KeeFarce ^[15] — извлечение паролей KeePass из памяти.
• Rekall ^[16] — анализ дампов RAM, написанный на python.
• volatility ^[17] — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
• VolUtility ^[18] — веб-интерфейс для Volatility framework.

Сетевой анализ

• SiLK Tools ^[19] — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
• Wireshark ^[20] — известнейший сетевой сниффер.

Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

• FastIR Collector ^[21] — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
• FRED ^[22] — кросплатформенный анализатор реестра Windows.
• MFT-Parsers ^[23] — лист сравнения MFT-парсеров (MFT — Master File Table).
• MFTExtractor ^[24] — MFT-парсер.
• NTFS journal parser ^[25] — парсер журналов NTFS.
• NTFS USN Journal parser ^[26] — — парсер журналов USN.
• RecuperaBit ^[27] — восстановление NTFS данных.
• python-ntfs ^[28] — анализ NTFS данных.

Исследование OS X

• OSXAuditor ^[29] — OS X аудитор.

Internet Artifacts

• chrome-url-dumper ^[30] — извлечение информации из Google Chrome.
• hindsight ^[31] — анализ истории Google Chrome/Chromium.

Анализ временных интервалов

• plaso ^[32] — извлечение и агрегация таймстапов.
• timesketch ^[33] — анализ таймстапов.

Hex редакторы

• 0xED ^[34] — HEX редактор OS X.
• Hexinator ^[35] — Windows версия Synalyze It.
• HxD ^[36] — маленький и быстрый HEX редактор.
• iBored ^[37] — кросс-платформенный HEX редактор.
• Synalyze It! ^[38] — HEX редактор в тимплейтами.
• wxHex Editor ^[39] — кросс-платформенный HEX редактор со сравнением файлов.

Конверторы

• CyberChef ^[40] — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
• DateDecode ^[41] — конвретирование бинарных данных.

Анализ файлов

• 010 Editor Templates ^[42] — тимплейты для редактора 010.
• Contruct formats ^[43] — парсер различных видов файлов на python.
• HFSPlus Grammars ^[44] — HFS+ составляющие для Synalysis
• Sleuth Kit file system grammars ^[45] — составляющие для различных файловых систем.
• Synalyse It! Grammars ^[46] — файловые составляющие для Synalyze It!
• WinHex Templates ^[47] — файловые составляющие для WinHex и X-Ways

Обработка образов дисков

• imagemounter ^[48] — утилита командной строки для быстрого монтирования образов дисков
• libewf ^[49] — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
• xmount ^[50] — конвертирования образов дисков.

Итог

Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. В следующей статье я приведу примеры практического использования утилит для анализа образов памяти.

Автор: Лука Сафонов

Источник ^[51]