Программы для проведения forensic расследований.
Что такое расследование инцидентов? Собрать доказательную базу некоторой деятельности, подтвердить или опровергнуть некоторые факты. Эти направления называются digital forensic, network forensic и т.д. Эксперты используют целый ряд инструментов, которые позволяют выявить, что пользователь делал на компьютере, какие сайты посещал, какие файлы поспешил удалить, каких творческих успехов добился ну и т.д.
Компьютерная техника очень бурно развивается, развивается и ПО подобного рода приходит на смену более совершенная техника и программные средства.
Эксперт в своем заключении не обязан указывать, какие инструменты он использовал, однако он Обязан указать «примененные методики» (ст. 204 УПК). Здесь я собрал небольшую часть программ и утилит, которыми пользуются специалисты/эксперты при применении тех или иных методик и я в том числе.
Сфера Forensic — в сравнении с другие странами не самая развитая в России. Это можно понять по литературе на эту тему, которая в основном на английском языке, например: Incident Response & Computer Forensics, Jason T. Luttgens Matthew Pepe. и т.д.
Мало кто знает, что в действительности делают с компьютером следователи, когда его изымают в рамках какого-то расследования. Тем не менее, во всем мире Forensic является важным направлением информационной безопасности. Поэтому нет ничего удивительно в том, что утилиты для расследования инцидентов стремительно развиваются, которые, являются точечно-направленными инструментами и зависят только от конкретной поставленной задачи.
Анализ файловой системы Важная часть любого forensic-исследования — создание и анализ образов жестких дисков. И если для создания точной копии (обычно это называется raw disk image, E01 - для Ecase) вполне достаточно стандартной линуксовой утилиты dd (покруче будет многопоточная GUYMAGER), то для анализа необходимы сложные инструменты, такие как Ecase, FTK, The Sleuth Kit, Belkasoft очень мною почитаемая Белорусских разработчиков и т.д.
Надо понимать, что многие решения никак не завязаны на ту операционную систему, которая использовалась в исследуемом компьютере, к системе подключается полный поток данных, в том числе неразмеченное пространство и удаленные данные на HDD, то есть абсолютно все данные со дня появления на диске и даже те на которые были наложены. Входящие в ее состав утилиты анализируют разделы в файловых системах FAT, NTFS, Ext2/3/4, UFS, и т.д. выводят листинги всех каталогов, восстанавливают удаленные файлы, извлекают файлы из скрытых потоков NTFS.
Получив в системе виртуальный жесткий диск (не логические диски, а именно весь жесткий диск), можно использовать любые доступные инструменты. Например утилита Scalpel не зависит от файловой системы. «Скальпель» имеет базы сигнатур начала и конца разных форматов и пытается найти такие файлы на диске. Поэтому восстановление возможно как с FATx, NTFS, ext2/3, так и с «голых» (raw) разделов.
OS на виртуальной машине и на каждой отдельной флешке.
- Windows
- Kali-Linux
- Caine-90
- DEFT Linux
- CentOS
- Ubuntu
- WinFE
Для методов анализа истории и файлов.
- WinHex
- ChromeAnalysis
- FoxAnalysis
- Web Historian
- HstEx
- утилиты The Sleuth Kit (TSK)
Для методов исследования образа дисков и файлов, восстановление.
- Caine 6.0: GUIManager
- Safeback
- The Forensic Toolkit Imager
- P2 eXplorer
- R-Studio
- Recuva
- Scalpel
Для методов поиска данных
- комплекс Encase
- FTK_INT_6.3.0
- Belkasoft
- The Sleuth Kit
Для методов исследования сети.
- netscan
- nmap
- CommView
- network-scanner
- Wireshark
- ...
Для методов forensic телефонов.
- KingoROOT (рутирование)
- Mobiledit Forensic
- The Cellebrite UFED Physical Pro
- Mobile Phone Examiner
- UFED Touch Ultimate
Полезные тулкиты
- SandBoxie
- WinTaylor
- утилиты Марка Руссиновича
- Memoryze
- DrWeb LiveCD
- Orion Live CD
- Vocord - системы биометрии и видеонаблюдения
- ...
Удачи уважаемые читатели! Подписывайтесь, пишите, жмите палец вверх! Для меня важен каждый комментарий.