В данной статье мы расскажем о программных и аппаратных средствах, наиболее часто применяемых экспертами RTM Group при проведении компьютерных экспертиз.
В первую очередь нельзя не упомянуть простейший, и, в тоже время, главный инструмент для работы с файлами - Total Commander. Данный файловый менеджер ценится экспертами за его большой пакет интегрированных в одну универсальную практичную оболочку необходимых для исследования программ и плагинов, а также за гибкую и удобную систему настройки.
Обеспечение сохранности представленных объектов исследований в соответствии со статьей 16 Федерального закона от 31.05.2001 №73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» является одной из обязанностей эксперта. Поэтому эксперты применяют аппаратные и программные средства, с помощью которых имеется возможность проводить безопасное исследование представленных объектов, не изменяя целостности цифровых данных.
Аппаратные средства блокировки записи используются для безопасного подключения исследуемых носителей к ПК эксперта с целью недопущения искажения на них важной компьютерной информации. В распоряжении экспертов имеются: Tableau T35U – блокиратор записи фирмы «Tableau», AgeStar 3FBCP – адаптер фирмы «AgeStar», также имеющий в своем функционале защиту от записи. Данные приборы адаптированы для подключения к ним накопителей через интерфейсы IDE/SATA.
USB WriteProtect – утилита, которая позволяет на системном уровне защитить данные, записанные на подключенные через USB-порт устройства, а также предотвратить их изменение или удаление.
Средства виртуализации используются экспертами для создания на операционной системе физического компьютера виртуальных машин с гостевыми операционными системами, таким образом получая виртуальную стендовую среду. Преимущества такого рода стенда заключаются в безопасном исследовании объектов, поступивших на экспертизу. В зависимости от объекта исследования эксперт использует соответствующее средство виртуализации: программный продукт виртуализации корпорации Oracle – VirtualBox, программное обеспечение виртуализации компании VMware - Workstation pro, а также встроенную в Windows систему аппаратной виртуализации компании Microsoft – Hyper-V.
Далее считаем важным отметить программные средства, так называемые швейцарские ножи мобильной и компьютерной криминалистики. Такое ПО обладает широким функционалом, таким как поиск, анализ, извлечение и восстановление данных, за что, собственно, и ценится экспертами.
Мобильный криминалист – многофункциональный инструмент компании «Оксиджен Софтвер», позволяющий извлекать, расшифровывать и анализировать ключевые данные из мобильных устройств, персональных компьютеров, ноутбуков и облачных сервисов. Данный программный продукт обладает возможностями извлечения данных:
MOBILedit Forensic Express – программный продукт компании MOBILedit, использующийся экспертами для извлечения из мобильных устройств данных, таких как история звонков, контакты, текстовые и мультимедийные сообщения, фотографии, видеозаписи, элементы календаря, заметки, удалённые данные, а также пароли и данные из таких приложений как Skype, Dropbox, Evernote, Facebook, WhatsApp, Viber и другие.
Elcomsoft Premium Forensic Bundle – набор программных продуктов компании «Элкомсофт» для восстановления доступа к зашифрованным данным и подбора паролей к защищённым документам (Windows и macOS, macOS Keychain, ZIP/RAR/RAR5, PDF, BitLocker/PGP/TrueCrypt/VeraCrypt). Продукты для мобильной криминалистики позволяют извлекать и расшифровывать данные как из физических устройств (мобильных устройств и персональных компьютеров), так и локальных резервных копий и облачных сервисов (Apple, Google и Microsoft).
Belkasoft Evidence Center X – средство цифровой криминалистики, позволяющее извлекать данные из компьютеров (Windows, macOS, Unix), устройств хранения данных (жёсткие и SSD-диски, съёмные устройства), образов дисков (EnCase, AD1, AFF4, L01/Lx01, DD, SMART, X-Ways, Atola, DAR, DMG, архивы), виртуальных машин (VMware, Virtual PC/Hyper-V, VirtualBox, XenServer), памяти (образы RAM, файлы гибернации и подкачки), файловых систем (APFS, FAT, exFAT, NTFS, HFS, HFS+, ext2, ext3, ext4), мобильных устройств (iOS, Android, Windows Phone 8/8.1, Blackberry), облачных сервисов Google (Google Drive, Google Sync, Google Keep, GMail, Google Timeline, Google MyActivity), а также Apple (iCloud), сервисов мобильной почты (Yahoo, Hotmail, Opera, Yandex, Mac.com и пр.), Instagram, WhatsApp, Carbonite.
X-Ways Forensics – еще один инструмент, позволяющий решать широкий спектр задач компьютерной экспертизы и обладающий рядом таких функций, как съем и восстановление данных, просмотр и анализ данных, поиск и индексирование, хэширование.
Forensic Toolkit или FTK – инструмент компьютерной криминалистики компании «AccessData», имеющая мощную систему поиска данных по ключевым словам на исследуемых ЭВМ, мобильных устройствах и съёмных носителях для их дальнейшей обработки и анализа экспертом.
Autopsy – бесплатное программное обеспечение, которое используется для криминалистических исследований цифровых носителей и мобильных устройств. В состав этого ПО входит, в том числе анализ файлов, поиск по ключевым словам, восстановление удаленной информации и др.
Kali Linux – специализированный дистрибутив Linux, основанный на Debian и применяемый для проведения тестирования на проникновение, аудита безопасности и компьютерной криминалистики.
CAINE Linux – бесплатный дистрибутив Linux, вобравший в себя известные инструменты цифровой криминалистики, в состав которых входят, например, описанный выше Autopsy, NirSoft, а также PhotoRec, поддерживающий восстановление файлов, и др.
Не всегда на практике эксперт использует программы - швейцарские ножи цифровой криминалистики, существуют случаи, когда «нож» и «открывашку» быстрее, удобнее и целесообразнее применять отдельно. При таких случаях эксперт прибегает к помощи набора различного рода утилит, например, NirSoft. Список данных инструментов довольно-таки внушительный, в нём имеются полезные утилиты для отображения информации из журнала событий Windows, извлечения информации из истории браузеров, файлов кэша и cookie, обнаружения и расшифровывания паролей и др.
PC-3000 – система компании «ACELab», которая предназначена для восстановления данных с исследуемых носителей и подразделяется на программно-аппаратные комплексы, применяющиеся в зависимости от типа носителя и поддерживаемого им интерфейса. Так при восстановлении данных с HDD-накопителей, RAID-массивов, flash-накопителей и SSD-накопителей в основном используется универсальный комплекс PC-3000 Portable III для восстановления данных на всех вышеперечисленных носителях.
Архивариус 3000 – программное обеспечение, предназначенное для поиска важных для исследования файлов по содержимому на ЭВМ и позволяющее мгновенно находить текстовые документы во всех популярных форматах после индексирования.
R-Studio – утилита для восстановления данных с исследуемых накопителей с различными файловыми системами. Функционал данного программного обеспечения позволяет анализировать данные на исследуемом носителе с целью нахождения информации о текущей и бывших файловых системах и восстановления файлов на её основе, а также производить поиск файлов по файловым сигнатурам в случаях, когда информация о файловых системах повреждена.
В число экспертных задач, помимо поиска, извлечения и восстановления информации, входит также анализ программного кода. Для её решения экспертами используются:
При проведении экспертиз закупленной в рамках 44-ФЗ оргтехники используется измерительное оборудование, имеющее сертификаты поверки, такое как: «ТКА-ПКМ»(02) - прибор комбинированного типа, применяемый для измерения освещённости и яркости (Люксметр + Яркомер); цифровой мультиметр серии DT890B+.
В рамках радиотехнической экспертизы для определения причин выхода из строя технического устройства (заводской брак или вмешательство пользователя) используются оптические приборы (цифровой микроскоп МСП - 1, увеличительные лупы и т.д.), специализированные инструменты (прецизионные отвертки, пинцеты, паяльная станция с термофеном LUKEY-702, лабораторный источник питания ELEMENT 1502D+, осциллограф цифровой UNI-T UTD2072CEX-II).
Помимо компьютерно-технического направления экспертами проводятся исследования аудиозаписей голоса, звучащей речи и звуковой среды. В связи с этим считаем необходимым упомянуть программно-аппаратные средства, применяющиеся при таком роде экспертиз.
ИКАР Лаб I+ - программно-аппаратный комплекс группы компаний ЦРТ, использующийся для решения широкого спектра задач анализа звуковой информации. В состав данного комплекса входят: устройство ввода-вывода звуковых сигналов STC-H453, комплект для преобразования речи в текст Цезарь-Р, программное обеспечение для визуализации и анализа исследуемых звуковых сигналов SIS II, программное обеспечение для шумоочистки Sound Cleaner II.
Audacity – кроссплатформенное программное обеспечение, ориентированное на редактирование звуковой информации. В экспертной практике используется для анализа спектрограммы и дальнейшей идентификации звуков и речи.
По материалам статьи RTM Group, rtmtech.ru
В первую очередь нельзя не упомянуть простейший, и, в тоже время, главный инструмент для работы с файлами - Total Commander. Данный файловый менеджер ценится экспертами за его большой пакет интегрированных в одну универсальную практичную оболочку необходимых для исследования программ и плагинов, а также за гибкую и удобную систему настройки.
Обеспечение сохранности представленных объектов исследований в соответствии со статьей 16 Федерального закона от 31.05.2001 №73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» является одной из обязанностей эксперта. Поэтому эксперты применяют аппаратные и программные средства, с помощью которых имеется возможность проводить безопасное исследование представленных объектов, не изменяя целостности цифровых данных.
АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА БЛОКИРОВКИ ЗАПИСИ
Аппаратные средства блокировки записи используются для безопасного подключения исследуемых носителей к ПК эксперта с целью недопущения искажения на них важной компьютерной информации. В распоряжении экспертов имеются: Tableau T35U – блокиратор записи фирмы «Tableau», AgeStar 3FBCP – адаптер фирмы «AgeStar», также имеющий в своем функционале защиту от записи. Данные приборы адаптированы для подключения к ним накопителей через интерфейсы IDE/SATA.
USB WriteProtect – утилита, которая позволяет на системном уровне защитить данные, записанные на подключенные через USB-порт устройства, а также предотвратить их изменение или удаление.
ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА ВИРТУАЛИЗАЦИИ
Средства виртуализации используются экспертами для создания на операционной системе физического компьютера виртуальных машин с гостевыми операционными системами, таким образом получая виртуальную стендовую среду. Преимущества такого рода стенда заключаются в безопасном исследовании объектов, поступивших на экспертизу. В зависимости от объекта исследования эксперт использует соответствующее средство виртуализации: программный продукт виртуализации корпорации Oracle – VirtualBox, программное обеспечение виртуализации компании VMware - Workstation pro, а также встроенную в Windows систему аппаратной виртуализации компании Microsoft – Hyper-V.
Далее считаем важным отметить программные средства, так называемые швейцарские ножи мобильной и компьютерной криминалистики. Такое ПО обладает широким функционалом, таким как поиск, анализ, извлечение и восстановление данных, за что, собственно, и ценится экспертами.
ПРОГРАММНЫЕ СРЕДСТВА ПОИСКА, АНАЛИЗА
И ИЗВЛЕЧЕНИЯ ДАННЫХ
И ИЗВЛЕЧЕНИЯ ДАННЫХ
Мобильный криминалист – многофункциональный инструмент компании «Оксиджен Софтвер», позволяющий извлекать, расшифровывать и анализировать ключевые данные из мобильных устройств, персональных компьютеров, ноутбуков и облачных сервисов. Данный программный продукт обладает возможностями извлечения данных:
- из мобильных устройств под управлением операционных систем iOS и Android;
- из социальных сетей (Facebook, Twitter, Instagram, Вконтакте, Одноклассники);
- из мессенджеров (Telegram, Line, Viber, WhatsApp);
- из почтовых сервисов (Google Mail, Mail.ru, Яндекс.Почта);
- о геолокации (AppleMaps, Google Location History, Uber, Яндекс.Такси);
- о истории посещения браузеров (Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer) и др.
MOBILedit Forensic Express – программный продукт компании MOBILedit, использующийся экспертами для извлечения из мобильных устройств данных, таких как история звонков, контакты, текстовые и мультимедийные сообщения, фотографии, видеозаписи, элементы календаря, заметки, удалённые данные, а также пароли и данные из таких приложений как Skype, Dropbox, Evernote, Facebook, WhatsApp, Viber и другие.
Elcomsoft Premium Forensic Bundle – набор программных продуктов компании «Элкомсофт» для восстановления доступа к зашифрованным данным и подбора паролей к защищённым документам (Windows и macOS, macOS Keychain, ZIP/RAR/RAR5, PDF, BitLocker/PGP/TrueCrypt/VeraCrypt). Продукты для мобильной криминалистики позволяют извлекать и расшифровывать данные как из физических устройств (мобильных устройств и персональных компьютеров), так и локальных резервных копий и облачных сервисов (Apple, Google и Microsoft).
Belkasoft Evidence Center X – средство цифровой криминалистики, позволяющее извлекать данные из компьютеров (Windows, macOS, Unix), устройств хранения данных (жёсткие и SSD-диски, съёмные устройства), образов дисков (EnCase, AD1, AFF4, L01/Lx01, DD, SMART, X-Ways, Atola, DAR, DMG, архивы), виртуальных машин (VMware, Virtual PC/Hyper-V, VirtualBox, XenServer), памяти (образы RAM, файлы гибернации и подкачки), файловых систем (APFS, FAT, exFAT, NTFS, HFS, HFS+, ext2, ext3, ext4), мобильных устройств (iOS, Android, Windows Phone 8/8.1, Blackberry), облачных сервисов Google (Google Drive, Google Sync, Google Keep, GMail, Google Timeline, Google MyActivity), а также Apple (iCloud), сервисов мобильной почты (Yahoo, Hotmail, Opera, Yandex, Mac.com и пр.), Instagram, WhatsApp, Carbonite.
X-Ways Forensics – еще один инструмент, позволяющий решать широкий спектр задач компьютерной экспертизы и обладающий рядом таких функций, как съем и восстановление данных, просмотр и анализ данных, поиск и индексирование, хэширование.
Forensic Toolkit или FTK – инструмент компьютерной криминалистики компании «AccessData», имеющая мощную систему поиска данных по ключевым словам на исследуемых ЭВМ, мобильных устройствах и съёмных носителях для их дальнейшей обработки и анализа экспертом.
Autopsy – бесплатное программное обеспечение, которое используется для криминалистических исследований цифровых носителей и мобильных устройств. В состав этого ПО входит, в том числе анализ файлов, поиск по ключевым словам, восстановление удаленной информации и др.
ДИСТРИБУТИВЫ НА ОСНОВЕ LINUX
Kali Linux – специализированный дистрибутив Linux, основанный на Debian и применяемый для проведения тестирования на проникновение, аудита безопасности и компьютерной криминалистики.
CAINE Linux – бесплатный дистрибутив Linux, вобравший в себя известные инструменты цифровой криминалистики, в состав которых входят, например, описанный выше Autopsy, NirSoft, а также PhotoRec, поддерживающий восстановление файлов, и др.
Не всегда на практике эксперт использует программы - швейцарские ножи цифровой криминалистики, существуют случаи, когда «нож» и «открывашку» быстрее, удобнее и целесообразнее применять отдельно. При таких случаях эксперт прибегает к помощи набора различного рода утилит, например, NirSoft. Список данных инструментов довольно-таки внушительный, в нём имеются полезные утилиты для отображения информации из журнала событий Windows, извлечения информации из истории браузеров, файлов кэша и cookie, обнаружения и расшифровывания паролей и др.
ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА
ПОИСКА И ВОССТАНОВЛЕНИЯ ДАННЫХ
ПОИСКА И ВОССТАНОВЛЕНИЯ ДАННЫХ
PC-3000 – система компании «ACELab», которая предназначена для восстановления данных с исследуемых носителей и подразделяется на программно-аппаратные комплексы, применяющиеся в зависимости от типа носителя и поддерживаемого им интерфейса. Так при восстановлении данных с HDD-накопителей, RAID-массивов, flash-накопителей и SSD-накопителей в основном используется универсальный комплекс PC-3000 Portable III для восстановления данных на всех вышеперечисленных носителях.
Архивариус 3000 – программное обеспечение, предназначенное для поиска важных для исследования файлов по содержимому на ЭВМ и позволяющее мгновенно находить текстовые документы во всех популярных форматах после индексирования.
R-Studio – утилита для восстановления данных с исследуемых накопителей с различными файловыми системами. Функционал данного программного обеспечения позволяет анализировать данные на исследуемом носителе с целью нахождения информации о текущей и бывших файловых системах и восстановления файлов на её основе, а также производить поиск файлов по файловым сигнатурам в случаях, когда информация о файловых системах повреждена.
СПЕЦИАЛИЗИРОВАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
ДЛЯ АНАЛИЗА ПРОГРАММНОГО КОДА
ДЛЯ АНАЛИЗА ПРОГРАММНОГО КОДА
В число экспертных задач, помимо поиска, извлечения и восстановления информации, входит также анализ программного кода. Для её решения экспертами используются:
- WinMerge – для сравнительного анализа текстовых файлов, в том числе исходных кодов.
- Microsoft Visual Studio – среда разработки для анализа проектов, построенных по технологии .NET.
- Net Beans IDE – среда разработки для анализа исходных кодов на Java.
- Android SDK для исследования мобильных приложений на соответствующей платформе.
ИСТРУМЕНТЫ И АППАРАТНЫЕ СРЕДСТВА
При проведении экспертиз закупленной в рамках 44-ФЗ оргтехники используется измерительное оборудование, имеющее сертификаты поверки, такое как: «ТКА-ПКМ»(02) - прибор комбинированного типа, применяемый для измерения освещённости и яркости (Люксметр + Яркомер); цифровой мультиметр серии DT890B+.
В рамках радиотехнической экспертизы для определения причин выхода из строя технического устройства (заводской брак или вмешательство пользователя) используются оптические приборы (цифровой микроскоп МСП - 1, увеличительные лупы и т.д.), специализированные инструменты (прецизионные отвертки, пинцеты, паяльная станция с термофеном LUKEY-702, лабораторный источник питания ELEMENT 1502D+, осциллограф цифровой UNI-T UTD2072CEX-II).
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ФОНОСКОПИЧЕСКИХ ИССЛЕДОВАНИЙ
ФОНОСКОПИЧЕСКИХ ИССЛЕДОВАНИЙ
Помимо компьютерно-технического направления экспертами проводятся исследования аудиозаписей голоса, звучащей речи и звуковой среды. В связи с этим считаем необходимым упомянуть программно-аппаратные средства, применяющиеся при таком роде экспертиз.
ИКАР Лаб I+ - программно-аппаратный комплекс группы компаний ЦРТ, использующийся для решения широкого спектра задач анализа звуковой информации. В состав данного комплекса входят: устройство ввода-вывода звуковых сигналов STC-H453, комплект для преобразования речи в текст Цезарь-Р, программное обеспечение для визуализации и анализа исследуемых звуковых сигналов SIS II, программное обеспечение для шумоочистки Sound Cleaner II.
Audacity – кроссплатформенное программное обеспечение, ориентированное на редактирование звуковой информации. В экспертной практике используется для анализа спектрограммы и дальнейшей идентификации звуков и речи.
По материалам статьи RTM Group, rtmtech.ru
