Начало статьи
11. Elcomsoft iOS Forensic Toolkit - специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами низкоуровневого и логического анализа. Работает как с джейлбрейком, так и без него.
Кейс использования: ответ на вопрос, что можно «вытащить» с устройства в целом и из конкретного приложения в случае физической кражи устройства.
12. Kroll Artifact Parser and Extractor (KAPE) - инструмент для анализа и извлечения артефактов из систем. Мощный пакет в составе Zimmermann Tools
Кейс использования: расследование инцидента заражения шифровальщиком. Требуется быстро получить «зацепки» о том, как он попал в систему и какой масштаб заражения может быть.
Мобильный криминалист (МК) Скаут - модуль программы «Мобильный Криминалист Детектив». Позволяет находить и извлекать информацию из исследуемого персонального компьютера (учетные записи и токены, закладки, данные форм автозаполнения, историю посещений и файлы куки из интернет-браузеров, учетные данные и токены из мессенджеров, WiFi точки доступа и пароли к ним, резервные копии iTunes, учетные данные и токены из портативных версий программ и программ, установленных по нестандартному пути и пр.). Это коммерческая программа.
Кейс использования: извлечение переписки потенциального инсайдера в telegram из облака с использованием токена, хранящегося на локальном ПК.
Volatility – фреймворк для исследования оперативной памяти устройства. Альтернатив по факту нет, большая часть коммерческих продуктов используют его в своей основе. Коммерческие продукты могут представить результаты в более наглядном виде и систематизировать их, однако всё равно требуется понимание принципов работы и устройства оперативной памяти.
Кейс использования: внедрение вредоносного функционала в ПО с открытым исходным кодом, который выполняется только в оперативной памяти и может быть не обнаружен обычными инструментами.
Timeline/Plaso – инструмент номер 1 для извлечения событий и парсинга событий в timeline. Недостатком может быть очень долгая работа для анализа всего содержимого. Для решения проблемы можно использовать комбинацию методов triage и plaso, сузив первоначальную область анализа.
nirsoft - набор маленьких утилит для извлечения логов из windows-based платформ.
Autopsy – бесплатная платформа для цифровой форензики с широким набором возможностей извлечения и анализа данных.
Кейс использования: Анализ компьютера увольняющегося сотрудника. Позволит понять, чем занимался уволившийся сотрудник последнее время и чего в связи с этим можно ожидать. Особенно актуально в случае топ-менеджмента, когда использование обычных инструментов наблюдения и анализа в процессе работы затруднительно.
Все эти инструменты облегчают сбор и анализ данных, однако их конечная интерпретация всё равно остается задачей специалиста. Без необходимой квалификации и опыта собранные данные таки останутся бесполезными. При этом, как правило, у бесплатных инструментов квалификационный порог вхождения выше.
Где поучиться использованию форензик-инструментов и общим принципам криминалистического анализа?
- На курсах вендоров конкретных инструментов (например, курсы Оксиджен Софтвер по Мобильному Криминалисту, курсы Basis Technology по Autopsy и т.п.);
- Учебный центр «Специалист» – курсы по информационной безопасности и в т.ч. по этичному хакингу;
- Курсы EC Сouncil (следует иметь в виду, что они все «заточены» на иностранную законодательную базу);
Смотрите полную запись эфира ток-шоу Код ИБ Безопасная среда «12 прикладных форензик-инструментов»
