Играем в Cybercrime-детективов или компьютерная экспертиза для чайников

в 14:07, , рубрики: Без рубрики

В наше время каждый человек имеет право использовать то программное обеспечение, которое ему приятнее и удобнее остальных. Частному и корпоративному (бизнес) пользователю доступен достаточно широкий ассортимент платных, а также свободно распространяемых операционных систем и прикладного программного обеспечения.
При таком количестве предложений нетрудно подобрать систему и комплект программ для решения любых задач. Но если пользователь должен решать специализированные задачи в сфере компьютерной экспертизы возможности выбора операционных систем и прикладного программного обеспечения для решения таких задач очень малы и преимущественно ограничиваются дорогостоящими программами.

Заметим что это достаточно качественные продукты и зачастую цена адекватна их функционалу, но как насчет бесплатной альтернативы, например для использования частным детективом, адвокатом, специалистом информационной безопасности, сотрудником правоохранительного органа (не эксперта)? Таким пользователям вряд ли нужен потенциал громадных программных средств компьютерной экспертизы.

Для решения подобных задач и был создан специализированный дистрибутив операционной системы для первичного снятия информации Ubuntu CyberPack (ALF)
Стоит заметить что приставка «ALF» в названии продукта не указывает его принадлежность к одноименному комедийному телесериалу «Альф» (англ. ALF от англ. Alien Life Form — внеземная форма жизни), а является сокращением от указания его функционального назначения — Анализ (Analysis), протоколирование действий (Logging operations) и криминалистические инструменты (Forensics tools).

Ubuntu CyberPack (ALF) содержит инструменты первичного компьютерно-технического осмотра в частности для:

— сбора фактических данных об использовании ПК для совершения правонарушений;
— создания компьютерно-технических образов объектов исследования (как носителей, так и содержимого компьютерной сети) для дальнейшего анализа экспертом;

— анализа и фиксирования правонарушений (протоколирования произведенных действий в рамках осмотра с созданием контрольной суммы полученной информации для дальнейшей верификации переданных данных анализа или исследования);
— поиска, фиксации скрытых и удаленных данных на носителях.
Объектами этих действий могут быть: носители данных (и их содержимое, как например файлы или разделы), веб-ресурсы, сетевой трафик и др.

В отличие от других альтернативных дистрибутивов в Ubuntu CyberPack (ALF) включены только те программы, которые отвечают задачам первичного компьютерно-технического осмотра.

Итак, хватит теории и приступим к практике.

Загрузка:
Скачать дистрибутив (ubuntu-cyberpack-alf-1.0-i386.iso) можно с официального сайта.
Загруженный ISO-образ можно как записать на DVD-носитель (образ диска составляет 782Мб) любой удобной для вас программой, так и создать LiveUSB. Для этого необходимо воспользоваться специальными программами, например: UnetBootIn, рабочая версия которой есть как для пратформы Linux так и для Windows.

Запуск:
Ubuntu CyberPack (ALF) предназначен для работы только в Live-режиме без возможности установки на жёсткий диск.
Для запуска достаточно установить в BIOS'е компьютера загрузку с оптического диска или флеш-накопителя (в зависимости от того, что Вы создали ранее) или выбрать носитель с которого загружать при запуске компьютера(большинство современных компьютеров это позволяет).

Знакомство с возможностями Ubuntu CyberPack (ALF) предлагается на примере изучения контента веб-сайта youtube.com.

Приступим.
Сразу после запуска дистрибутива перед вами отобразиться следующее окно.

image

Если ничего не делать, то через пару секунд загрузка продолжиться и язык системы по умолчанию будет «английский».

Если вы хотите что бы система использовала другой язык по умолчанию то необходимо нажать клавишу «ESC» и на экране появиться следующее окно:

image

Здесь вам необходимо нажать кнопку «F2» и выбрать язык. (языков будет много, но полная поддержка есть только английского, русского и украинского.

После загрузки дистрибутива пользователю доступна привычная строка консоли Linux из которой уже можно запустить большинство программ в терминальном режиме:

image

Загрузка именно в терминале, а не сразу в графическом режиме обусловлена тем, что некоторые сервера имеют настолько простой графический чип (расчитаный что сервер будет работать только в терминальном режиме, что при запуске графической среды, железо просто зависает.
Но, терминальные команды оставим для любителей консоли и перейдем сразу в графический режим работы

Чтобы запустить графический режим вам необходимо ввести в консоли команду:
#startx (запуск графического интерфейса Х.Оrg);

Перед вами предстанет простая графическая среда, основанная на LXDE:

image

Графическая среда запущена, теперь приступим к фиксации нарушения )

Для фиксации действий пользователя запустим программу для записи видео с экрана Vokoscreen (кнопка UA — sound&video — vokoscreen)

image

При нажатии на кнопку Start видео с экрана начнет записывается в файл screencast-1.mkv папки /home/ubuntu/Videos (папку для сохранения можно изменить в четвертой вкладке (настройки) пункт Videopath), также можно минимизировать окно Vokoscreen.

Теперь запустим браузер (кнопка Web Browser панели быстрого запуска или кнопка UA — Internet — Firefox Web Browser).

Mozilla Firefox содержит плагин HttpFox для анализа http. Его необходимо включить (отметить пункт HttpFox вкладки View в панели управления Mozilla Firefox или нажать SHIFT+F2):

image

При нажатии на кнопку Start указанный плагин будет отображать в отдельном окне точное время запроса вэб-обозревателя, потраченное на обработку запроса время, количество переданной-полученной информации, метод запроса, результат запроса, тип полученной информации, URL отправки информации):

image

Если нажать правой кнопкой мыши на интересующем поле (например ячейке c URL) вызывается контекстное меню c командами копирования содержания ячейки, строки, всех строк в буфер обмена (Copy, Copy Row, Copy All Row).
Итак, узнав с какого URL идет трансляция видео мы продолжаем фиксацию.

Используя программу GNOME Network Tools (UA — Other — GNOME Network Tool) вам предоставляется возможность получить информацию о домене из службы Whois (последняя вкладка) или отследить узлы, через которые проходят пакеты на пути к серверу (вкладка Traceroute), отсканировать порты сервера (Port Scan) или узнать IP адреса сервера из службы DNS (Lookup).

image

После фиксации всей необходимой информации необходимо остановить запись (кнопка Stop в окне программы Vokoscreen).

Правилом хорошего тона (а также для подтверждения что видео и другая полученная информация не поддельны) будет посчитать контрольную сумму файла с получившейся видеозаписью (screencast-1.mkv) используя программу GTKHash (UA — other — gtkhash).
Выбрать файл для подсчета можно нажав кнопку с пиктограммой папки в строчке File, затем нажать Hash. В результате будут произведены расчеты контрольных сумм выбранного файла по алгоритмам MD5, SHA1, SHA256.
Ну а теперь полученные цифровые доказательства в процессе проведенных действий (файлы, видеозаписи, скриншоты, контрольные суммы и д.р.) можно записать на оптический диск с помощью программы Xfburn (UA — sound&video — xfburn).

На этом простой пример применения закончен.

В качестве завершения еще кратко о системе:
✔Поддерживает большинство файловых систем: ext2/3/4, NTFS, FAT/32, VFAT, exFAT, XFS, BtrFS, UFS, ReiserFS/4, HFS/+, ZFS и д.р.
✔Распознает и позволяет работать с разделами: RAID, LVM и д.р.
✔Исследуемые устройства по умолчанию монтируются в режиме «только для чтения», возможность переключения в режим «записи» — оставлена;
✔Позволяет просмотреть и прослушать содержимое (документы, мультимедиа файлы);
✔Включает инструмент для анализа диска на предмет уничтоженных файлов.

а также включает программы:
1. ClamTk — графическая оболочка для пакета антивирусного ПО свободного программного обеспечения ClamAV, разработанного для интеграции с серверами электронной почты для проверки файлов, прикреплённых к сообщениям. В пакет входит масштабируемый многопоточный демон clamd, управляемый из командной строки сканер clamscan, а также модуль обновления сигнатур по Интернету freshclam.
2. Disk Utility — управление жёсткими дисками, форматирование, стирание, исправление ошибок, разбиение диска на разделы, восстановление прав доступа, получение информации о размерах и типах всех дисков, исправление дисков, которые не монтируются или ведут себя некорректно, полное стирание информации с дисков, включая CD и DVD с возможностью перезаписи (CD-RW и DVD-RW), создание RAID-массива (группы отдельных дисков, функционирующих как единый том).
3. GParted — редактор дисковых разделов, который предназначен для различных операций с разделами (и файловыми системами, находящимися на них), таких как: создание, уничтожение, изменение размера, перемещение, проверка и копирование.
4. GTKHash — подсчет контрольных сумм файлов
5. TrueCrypt — программа для шифрования «на лету», позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла, также можно полностью шифровать раздел жёсткого диска или иного носителя информации, все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов, смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.
6. Etherape — графический сетевой монитор, наглядно показывающий не только соединения, но и «поток» по каждому соединению, вид протокола по номеру порта, сетевую активность различных хостов.
7. Wireshark (также известная как Ethereal) является анализатором сетевых протоколов, который позволяет фиксировать и исследовать данные сети или записывать их на диск. Цель проекта состоит в том, чтобы создать качественный анализатор пакетов для Unix систем.Читает файлы данных tcpdump, Sniffer Pro, NetXray, MS Network Monitor, Novell's LanAlyzer и т.п. Поддерживает DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т.д.
8. Zenmap — официальный графический интерфейс для мощного сканера сетевой безопасности Nmap, предназначенный в первую очередь обеспечить новичкам лёгкое использование всех продвинутых возможностей, доступных профессионалам в консольной версии Nmap.
9. GHex — это программа для просмотра и редактирования файлов как в шестнадцатеричном представлении, так и в ASCII. Хорошо подходит для правки файлов сохранения игр.
10. Vokoscreen – программа для записи видео с экрана, основанное на ffmpeg
11. Guymager это бесплатная программа для снятия образов с диска с легким пользовательским интерфейсом на разных языках, полной поддержкой многопроцессорных машин, клонирования дисков.
12. linux Volume Manager (LVM) — это очень мощная система управления томами с данными для Linux, позволяет создавать поверх физических разделов (или даже неразбитых винчестеров) логические тома, которые в самой системе будут видны как обычные блочные устройства с данными (т.е. как обычные разделы). Основные преимущества LVM в том, что во-первых одну группу логических томов можно создавать поверх любого количества физических разделов, а во-вторых размер логических томов можно легко менять прямо во время работы. Кроме того, LVM поддерживает механизм снапшотов, копирование разделов «на лету» и зеркалирование, подобное RAID-1.
13. R-Studio — набор утилит для восстановления данных и файлов с жестких дисков, устройств флеш-памяти и других устройств таких, как CD, DVD, дискет, USB дисков, ZIP дисков. Позволяет востановить файлы удаленные вне Корзины или когда Корзина была очищена, в результате вирусной атакой или сбоя питания компьютера. Работает как на локальных, так и на удаленных компьютерах по сети.
14. Network Tool — ping, netstat, traceroute, portscan lookup, finger, whois
15. Ping — утилита для проверки соединений в сетях на основе TCP/IP, а также обиходное наименование самого запроса.
16. netstat показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций.
17. Traceroute — это служебная компьютерная программа, предназначенная для определения маршрутов следования данных в сетях TCP/IP. Traceroute может использовать разные протоколы передачи данных в зависимости от операционной системы устройства. Такими протоколами могут быть UDP, TCP, ICMP или GRE. Компьютеры с установленной операционной системой Windows используют ICMP-протокол, при этом операционные системы Linux и маршрутизаторы Cisco — протокол UDP.
18. Finger — предоставления информации о пользователях удалённого компьютера.
19. WHOIS — получение регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем.
20. Gufw — файрвол, использующий под капотом UFW (Uncomplicated Firewall), который в свою очередь использует старый, добрый, сложный iptables
21. Kismet — сетевой сниффер и дешифратор пакетов. Программа использует PRISM 2 или Linux-kernel беспроводные карты, автоматическое обнаружение IP блоков через UDP, ARP, и DHCP пакеты
22. Lshw-gtk — графический интерфейс к утилите lshw. Он может отображать очень детализированную информацию о конфигурации оборудования вашего компьютера: процессор, память, видеокарта, устройства, подключенные по USB-портам, и так далее.
23. NetworkManager — программа для управления сетевыми соединениями в linux. Графический интерфейс представлен в виде индикатора на панели Unity.
24. Galculator — научный калькулятор. Он поддерживает различные системы счисления (DEC/HEX/OCT/BIN) и единицы измерения углов (DEG/RAD/GRAD), на данный момент также содержит широкий диапазон математических (базовые арифметические операции, тригонометрические функции и т.д.) и других полезных функций (память и т.д.). galculator может быть использован как в алгебраическом режиме, так и в режиме обратной польской записи.
25. gedit — текстовый редактор, который поддерживает большинство стандартных функций редактора, совмещающий основной функционал с другими возможностями, которые редко можно найти в простых текстовых редакторах.
26. GPicView — очень быстрая, маленькая и простая программа для просмотра изображений, нацеленная на замену прoгрaмм просмотра изображений по умолчанию в настольных системах. GPicView является стандартным просмотрщиком для графического окружения LXDE, которое по словам разработчиков является самым легковесным.
27. Xfburn — приложение для записи дисков, устанавливаемое по умолчанию в графической среде Xfce. Программа не требовательна к системным ресурсам, но имеет все функции, необходимые для работы.
28. LibreOffice — свободный независимый офисный пакет с открытым исходным кодом, созданный как ответвление от пакета OpenOffice.org.
29. Mozilla Firefox — один из самых популярных в мире веб-браузеров, а также первый, которому удалось ослабить мертвую хватку, которой программа Internet Explorer (IE) компании Microsoft держала за горло весь рынок веб-браузеров.
30. Remmina — продвинутый клиент удаленного доступа, который обладает широким функционалом и поддержкой большого количества сетевых протоколов удаленного доступа. Системный администратор по своей должности обязан контролировать работу сразу нескольких компьютеров и серверов. Быть непосредственно за каждым ПК не всегда представляется возможным физически, поэтому такие программы могут здорово облегчить жизнь и потратить время с большей пользой.
31. Evince -очень простая программа для просмотра электронных книг и документов в форматах PDF, DjVu, PostScript, TIFF, DVI, XPS и Comics Books (cbr, cbz, cb7 и cbt). Программа популярна у пользователей GNOME Linux, но доступна и для прочих операционных систем, в том числе и Windows.
32. MPlayer — свободный медиаплеер. Программа работает на большинстве современных операционных систем, в частности MPlayer можно запустить на Linux, FreeBSD, NetBSD, OpenBSD, Apple Darwin, Mac OS X, BeOS, Syllable, QNX, OpenSolaris/Solaris, Irix, HP-UX, AIX и других разновидностях UNIX; Microsoft Windows и Windows NT (откомпилирован при помощи MinGW или Cygwin); также портирован на AmigaOS, AROS, DOS и MorphOS.
33. PeaZip — свободный (GNU Lesser General Public License) и бесплатный кроссплатформенный портативный архиватор и графическая оболочка для других архиваторов.
34. tcpdump — утилита UNIX, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.
35. Netstat — показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций.
36. iftop — полезная утилита подсчета трафика в реальном времени. Также она показывает, насколько «забит» ваш канал на сервере
37. Nload — представляет собой консольное приложение, которое отслеживает сетевой трафик и использование полосы пропускания в реальном времени.
38. Nmap (“Network Mapper”) — утилита с открытым исходным кодом для исследования сети и проверки безопасности
39. Netdiscover является активным / пассивным инструментом для разведки, в основном разработана для беспроводных сетей без DHCP-сервера.
40. Wget — утилита для загрузки файлов из интернет. Она поддерживает протоколы HTTP, HTTPS, и FTP, загрузку с серверов прокси по протоколу HTTP
41. TestDisk — мощная бесплатная программа для восстановления данных, разработана в первую очередь, что бы помочь восстановить утраченные разделы и/или восстановить загрузочную способность дисков если эта проблема вызвана програмно, вирусами или ошибками человека (таких как случайное удаление Таблицы Разделов)
42. PhotoRec — программа для восстановления утерянных (удаленных) файлов (видеофайлов, документов и архивов с жестких дисков, компакт-дисков и других носителей), а также для восстановления изображений (поэтому называется Photo Recovery) из памяти цифровых фотокамер. PhotoRec игнорирует файловые системы и «идет по следу данных», поэтому он будет работать, даже если файловая система носителя была серьезно повреждена или отформатирована.
43. dd_rescue — инструмент для помощи в извлечении и сохранения данных, расположенных на повреждённом разделе. Как и dd, dd_rescue копирует данные из одного файла или блочного устройства на другое.
44. Midnight Commander — один из файловых менеджеров с текстовым интерфейсом типа Norton Commander.
45. Chntpw — небольшая программа предоставляет возможность просматривать информацию и изменения паролей пользователей в файле базы данных пользователь Windows NT/2000. Старые пароли могут быть неизвестны, так как они будут перезаписаны. Кроме того, он также содержит простой редактор реестра и шестеричный редактор, который позволит вам возиться с битами и байтами в файле, как вы хотите.
46. OPHcrack — ОС, созданная для взлома паролей Windows.
47. lshw — утилита командной строки, которая предоставляет подробную информацию аппаратных средств, таких как версии прошивки, BIOS информация, материнской плате, конфигурации памяти, информации процессора и так далее.
48. Galleta является инструментом, который проверяет содержимое cookies файлов, созданных в Microsofts Internet Explorer.
49. GrokEVT представляет собой набор скриптов, предназначенных для чтения файлов журнала событий Microsoft Windows NT/2000/XP/2003.

Многие захотят сказать что в мире уже проведена подобная работа и в свободном доступе есть более именитые дистрибутивы, например DEFT, CAIN. В противовес заметим что цели упомянутых сборок и Ubuntu CyberPack (ALF) разные:
у первых — проведение полного, детального анализа в лабораторных условиях,
у последнего — проведение первичного осмотра и фиксации данных в «полевых» условиях.
Для этого неискушенному широкими знаниями (не ведущему компьютерно-техническому эксперту) обычному пользователю достаточен будет простой и легкий инструмент — Ubuntu CyberPack (ALF)

Всем спасибо.

Автор: linuxuser

Источник

Поделиться

* - обязательные к заполнению поля