- PVSM.RU - https://www.pvsm.ru -
Форензика (компьютерная криминалистика, расследование киберпреступлений [1]) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.
Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.
Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.
Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.
www.deftlinux.net [2]
Одним из самых популярных фреймворков является Volatility Framework [3] — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергонезависимой памяти (RAM).
Извлекаемые данные:
Список поддерживаемых образов RAM для следующих операционных систем:
Для тестирования фреймворка рекомендую воспользоваться готовыми образами RAM [4].
DFF [5] (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.
PowerForensics [6] предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.
Sleuth Kit (TSK) [7] — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.
MIG: Mozilla InvestiGator [8] — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.
bulk_extractor [9] — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».
PhotoRec [10] — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.
SiLK (System for Internet-Level Knowledge) [11] — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.
Wireshark [12] — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).
Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого я рекомендую ознакомиться со следующими изданиями:
Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа, представленными на визуализированой mindmap [13]. В качестве первых образцов для тренировки рекомендую:
Форензика, как ответвление информационной безопасности, развита гораздо в меньшем объеме нежели тестирование на проникновение или организация защитных средств. Грамотный подход при проведении мероприятий по сбору цифровых доказательств не только даст восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
Автор: LukaSafonov
Источник [16]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/254229
Ссылки в тексте:
[1] расследование киберпреступлений: https://www.pentestit.ru/audit/forensic/
[2] www.deftlinux.net: http://www.deftlinux.net
[3] Volatility Framework: https://github.com/volatilityfoundation/volatility
[4] образами RAM: https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
[5] DFF: https://github.com/arxsys/dff
[6] PowerForensics: https://github.com/Invoke-IR/PowerForensics
[7] Sleuth Kit (TSK): https://github.com/sleuthkit/sleuthkit
[8] MIG: Mozilla InvestiGator: http://mig.mozilla.org/
[9] bulk_extractor: http://downloads.digitalcorpora.org/downloads/bulk_extractor/
[10] PhotoRec: http://www.cgsecurity.org/wiki/PhotoRec
[11] SiLK (System for Internet-Level Knowledge): https://tools.netsa.cert.org/silk/
[12] Wireshark: https://www.wireshark.org/
[13] mindmap: http://www.amanhardikar.com/mindmaps/ForensicChallenges.html
[14] Wireshark Sample Captures: https://wiki.wireshark.org/SampleCaptures
[15] p0wnlabs Sample Challenges: http://www.p0wnlabs.com/free/forensics
[16] Источник: https://habrahabr.ru/post/327740/
Нажмите здесь для печати.