Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств. Речь об азах и общедоступном софте.
Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).
Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.
Фреймворки
Реал-тайм утилиты
Работа с образами (создание, клонирование)
Извлечение данных
Работа с RAM
Сетевой анализ
Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
Исследование OS X
Internet Artifacts
Анализ временных интервалов
Hex редакторы
Конверторы
Анализ файлов
Обработка образов дисков
Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).
Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.
Фреймворки
- dff — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
- PowerForensics — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
- The Sleuth Kit — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.
Реал-тайм утилиты
- grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
- mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.
Работа с образами (создание, клонирование)
- dc3dd — улучшенная версия консольной утилиты dd.
- adulau/dcfldd — еще одна улучшенная версия dd.
- FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
- Guymager — просмотр и клонирования носителей данных в среде Linux.
Извлечение данных
- bstrings — улучшенная версия популярной утилиты strings.
- bulk_extractor — выявления email, IP-адресов, телефонов из файлов.
- floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
- photorec — утилита для извления данных и файлов изображений.
Работа с RAM
- inVtero.net — фреймворк, отличающийся высокой скоростью работы.
- KeeFarce — извлечение паролей KeePass из памяти.
- Rekall — анализ дампов RAM, написанный на python.
- volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
- VolUtility — веб-интерфейс для Volatility framework.
Сетевой анализ
- SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
- Wireshark — известнейший сетевой сниффер.
Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
- FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
- FRED — кросплатформенный анализатор реестра Windows.
- MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table).
- MFTExtractor — MFT-парсер.
- NTFS journal parser — парсер журналов NTFS.
- NTFS USN Journal parser — — парсер журналов USN.
- RecuperaBit — восстановление NTFS данных.
- python-ntfs — анализ NTFS данных.
Исследование OS X
- OSXAuditor — OS X аудитор.
Internet Artifacts
- chrome-url-dumper — извлечение информации из Google Chrome.
- hindsight — анализ истории Google Chrome/Chromium.
Анализ временных интервалов
- plaso — извлечение и агрегация таймстапов.
- timesketch — анализ таймстапов.
Hex редакторы
- 0xED — HEX редактор OS X.
- Hexinator — Windows версия Synalyze It.
- HxD — маленький и быстрый HEX редактор.
- iBored — кросс-платформенный HEX редактор.
- Synalyze It! — HEX редактор в тимплейтами.
- wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов.
Конверторы
- CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
- DateDecode — конвертирование бинарных данных.
Анализ файлов
- 010 Editor Templates — тимплейты для редактора 010.
- Contruct formats — парсер различных видов файлов на python.
- HFSPlus Grammars — HFS+ составляющие для Synalysis
- Sleuth Kit file system grammars — составляющие для различных файловых систем.
- Synalyse It! Grammars — файловые составляющие для Synalyze It!
- WinHex Templates — файловые составляющие для WinHex и X-Ways
Обработка образов дисков
- imagemounter — утилита командной строки для быстрого монтирования образов дисков
- libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
- xmount — конвертирования образов дисков.
