- PVSM.RU - https://www.pvsm.ru -
Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.
Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.
Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).
Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.
Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.
Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. В следующей статье я приведу примеры практического использования утилит для анализа образов памяти.
Автор: Лука Сафонов
Источник [51]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/264509
Ссылки в тексте:
[1] dff: https://github.com/arxsys/dff
[2] PowerForensics: https://github.com/Invoke-IR/PowerForensics
[3] The Sleuth Kit: https://github.com/sleuthkit/sleuthkit
[4] grr: https://github.com/google/grr
[5] mig: https://github.com/mozilla/mig
[6] dc3dd: https://sourceforge.net/projects/dc3dd/
[7] adulau/dcfldd: https://github.com/adulau/dcfldd
[8] FTK Imager: http://accessdata.com/product-download/ftk-imager-version-3.4.3
[9] Guymager: http://guymager.sourceforge.net/
[10] bstrings: https://github.com/EricZimmerman/bstrings
[11] bulk_extractor: https://github.com/simsong/bulk_extractor
[12] floss: https://github.com/fireeye/flare-floss
[13] photorec: http://www.cgsecurity.org/wiki/PhotoRec
[14] inVtero.net: https://github.com/ShaneK2/inVtero.net
[15] KeeFarce: https://github.com/denandz/KeeFarce
[16] Rekall: https://github.com/google/rekall
[17] volatility: https://github.com/volatilityfoundation/volatility
[18] VolUtility: https://github.com/kevthehermit/VolUtility
[19] SiLK Tools: https://tools.netsa.cert.org/silk/
[20] Wireshark: https://www.wireshark.org/
[21] FastIR Collector: https://github.com/SekoiaLab/Fastir_Collector
[22] FRED: https://www.pinguin.lu/fred
[23] MFT-Parsers: http://az4n6.blogspot.de/2015/09/whos-your-master-mft-parsers-reviewed.html
[24] MFTExtractor: https://github.com/aarsakian/MFTExtractor
[25] NTFS journal parser: http://strozfriedberg.github.io/ntfs-linker/
[26] NTFS USN Journal parser: https://github.com/PoorBillionaire/USN-Journal-Parser
[27] RecuperaBit: https://github.com/Lazza/RecuperaBit
[28] python-ntfs: https://github.com/williballenthin/python-ntfs
[29] OSXAuditor: https://github.com/jipegit/OSXAuditor
[30] chrome-url-dumper: https://github.com/eLoopWoo/chrome-url-dumper
[31] hindsight: https://github.com/obsidianforensics/hindsight
[32] plaso: https://github.com/log2timeline/plaso
[33] timesketch: https://github.com/google/timesketch
[34] 0xED: http://www.suavetech.com/0xed/
[35] Hexinator: https://hexinator.com/
[36] HxD: https://mh-nexus.de/de/hxd/
[37] iBored: http://apps.tempel.org/iBored/
[38] Synalyze It!: http://www.synalysis.net/
[39] wxHex Editor: http://www.wxhexeditor.org/
[40] CyberChef: https://github.com/gchq/CyberChef
[41] DateDecode: http://sandersonforensics.com/forum/content.php?245-DateDecode-a-forensic-tool-to-decode-a-number-as-various-date-formats
[42] 010 Editor Templates: http://www.sweetscape.com/010editor/templates/
[43] Contruct formats: https://github.com/construct/construct/tree/master/construct/examples/formats
[44] HFSPlus Grammars: https://github.com/mac4n6/HFSPlus_Resources/tree/master/HFSPlus_Grammars
[45] Sleuth Kit file system grammars: https://github.com/sleuthkit/sleuthkit/tree/develop/tsk/fs
[46] Synalyse It! Grammars: https://www.synalysis.net/formats.xml
[47] WinHex Templates: https://www.x-ways.net/winhex/templates/
[48] imagemounter: https://github.com/ralphje/imagemounter
[49] libewf: https://github.com/libyal/libewf
[50] xmount: https://www.pinguin.lu/xmount
[51] Источник: https://habrahabr.ru/post/338378/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.