Компьютерная криминалистика (форензика): подборка полезных ссылок

 
Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

 

Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.

 

Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).

 

Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.

 

Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.

 

Фреймворки

 

• dff — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
• PowerForensics — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
• The Sleuth Kit — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.

 

Реал-тайм утилиты

 

• grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
• mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.

 

Работа с образами (создание, клонирование)

 

• dc3dd — улучшенная версия консольной утилиты dd.
• adulau/dcfldd — еще одна улучшенная версия dd.
• FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
• Guymager — просмотр и клонирования носителей данных в среде Linux.

 

Извлечение данных

 

• bstrings — улучшенная версия популярной утилиты strings.
• bulk_extractor — выявления email, IP-адресов, телефонов из файлов.
• floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
• photorec — утилита для извления данных и файлов изображений.

 

Работа с RAM

 

• inVtero.net — фреймворк, отличающийся высокой скоростью работы.
• KeeFarce — извлечение паролей KeePass из памяти.
• Rekall — анализ дампов RAM, написанный на python.
• volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
• VolUtility — веб-интерфейс для Volatility framework.

 

Сетевой анализ

 

• SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
• Wireshark — известнейший сетевой сниффер.

 

Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

 

• FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
• FRED — кросплатформенный анализатор реестра Windows.
• MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table).
• MFTExtractor — MFT-парсер.
• NTFS journal parser — парсер журналов NTFS.
• NTFS USN Journal parser — — парсер журналов USN.
• RecuperaBit — восстановление NTFS данных.
• python-ntfs — анализ NTFS данных.

 

Исследование OS X

 

• OSXAuditor — OS X аудитор.

 

Internet Artifacts

 

• chrome-url-dumper — извлечение информации из Google Chrome.
• hindsight — анализ истории Google Chrome/Chromium.

 

Анализ временных интервалов

 

• plaso — извлечение и агрегация таймстапов.
• timesketch — анализ таймстапов.

 

Hex редакторы

 

• 0xED — HEX редактор OS X.
• Hexinator — Windows версия Synalyze It.
• HxD — маленький и быстрый HEX редактор.
• iBored — кросс-платформенный HEX редактор.
• Synalyze It! — HEX редактор в тимплейтами.
• wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов.

 

Конверторы

 

• CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
• DateDecode — конвертирование бинарных данных.

 

Анализ файлов

 

• 010 Editor Templates — тимплейты для редактора 010.
• Contruct formats — парсер различных видов файлов на python.
• HFSPlus Grammars — HFS+ составляющие для Synalysis
• Sleuth Kit file system grammars — составляющие для различных файловых систем.
• Synalyse It! Grammars — файловые составляющие для Synalyze It!
• WinHex Templates — файловые составляющие для WinHex и X-Ways

 

Обработка образов дисков

 

• imagemounter — утилита командной строки для быстрого монтирования образов дисков
• libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
• xmount — конвертирования образов дисков.

 

Итог

 

Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. В следующей статье я приведу примеры практического использования утилит для анализа образов памяти.