Обзор CAINE 13.0 "Warp". Часть 2.

В первой части были рассмотрены стандартные инструменты системы. В этой статье мы рассмотрим утилиты из раздела меню "Forensic tools".

Раздел "Analysis".

• Photorec - программа для восстановления данных, предназначенная для восстановления потерянных файлов в памяти цифровой камеры, на жестких дисках и компакт-дисках.
• NBTempo - скрипт Bash с графическим интерфейсом пользователя для создания временных рамок файлов и представления их в формате CSV.
• NBTempoX - криминалистический инструмент GNU-Linux для создания графиков (в формате CSV) из файлов изображений блочных устройств (raw, ewf, physicaldrive и т.д.).
• TKDiff - графический интерфейс к программе diff. Она предоставляет параллельный просмотр различий между двумя текстовыми файлами наряду с несколькими инновационными функциями, такими как закладки различий, графическая карта различий для быстрой навигации и средство для нарезки областей различий для достижения желаемого результата слияния.
• Fred - кроссплатформенный редактор реестра.Он включает в себя некоторые функции, отсутствующие в обычных "бесплатных" редакторах реестра, такие как просмотрщик шестнадцатеричных файлов с интерпретатором данных и функцию создания отчетов.
• XAll - инструмент извлечения данных и файлов из устройств и образов дисков.
• New scripts - набор скриптов. AutoMacTC: модульная платформа сбора судебной сортировки, предназначенная для доступа к различным судебным артефактам в macOS, их анализа и представления в форматах, пригодных для анализа. AutoTimeliner: автоматическое извлечение временной шкалы судебной экспертизы из дампов энергозависимой памяти. Bitlocker: скрипт находит и извлекает ключ полного шифрования тома (FVEK) из дампов памяти и/или файлов гибернации. Это позволит быстро разблокировать системы, в которых на момент получения были смонтированы тома, зашифрованные BitLocker. Firmwalker: скрипт для поиска извлеченной или смонтированной файловой системы.
• Mixed scripts - еще один набор скриптов. BTCSCAN: скрипт поиска файлов на предмет строк, связанных с биткойнами, закодированных Base58Check. Fklook: скрипт, который ищет ключевое слово в файлах и копирует их в выбранный каталог. Fod: скрипт для разделения содержимого основного каталога в подкаталоги с определенным количеством файлов для каждого формата файла. Fundl: скрипт для восстановления удаленных файлов, использующий TheSleuthKit. HDSantinel: утилита диагностики жёстких дисков для Windows, Linux и DOS. Lnk: необходима информация. Lnk-parse-1.0: парсинг *.lnk файлов, написанный на Perl. LRRP: скрипт предназначен для сбора информации об устройстве (аппаратная конфигурация). Mork: скрипт для извлечения истории посещений веб-страниц браузера Mozilla. Mount_ewf: скрипт, позволяющий монтировать файлы EWF как файловую систему. Netmount: скрипт, позволяющий монтирование удаленное монтирование файловой системы. Offset_brute_force: скрипт для перебора смещения раздела в поисках скрытого раздела и попытках его монтирования. Raw2Fs: сценарий, позволяющий разрешить имя файла, сгенерированного инструментом Foremost, и сохранить его в формате HTML. Read_open_xml: скрипт читает главный список связей _rels/.rels в файлах XML, анализирует их и выводит найденные данные. SafeMount: еще один простой скрипт для монтирования образов. SFDumper: выборочный файловый репозиторий, работающий с активными, удаленными и вырезанными файлами, также может выполнять поиск по ключевым словам среди полученных файлов (на базе TheSleuthKit). Sqlparse: скрипт, анализирующий БД SQLite3 на наличие удаленных целых данных, с возможностью экспорта данных в tsv или txt. UserAssist: скрипт, позволяющий просматривать записи реестра из файлов NTUSER.DAT и выводит имя программы, дату ее последнего запуска и количество запусков. Vsearch: скрипт поиска файлов. Vshot: необходима информация. Xall: средство для извлечения данных/файлов из устройств/файлов образов (DD/EWF), только из свободного пространства.
• Stegosuite - бесплатный инструмент для стеганографии, поддерживающий BMP, GIF, JPG, PNG и шифрование встроенных данных (AES).
• XDeview - утилита uudeview в графическом интерфейсе для декодирования файлов,аналог uudecode. Поддерживает uuencoding, xxencoding, Base64 и BinHex, и способна обрабатывать разделенные файлы и несколько файлов одновременно.
• RegRipper (3.0) - инструмент с открытым исходным кодом для извлечения информации (ключи, значения, другие данные) из реестра ОС Windows.
• QPhotorec - графический интерфейс программы для восстановления данных.
• Ophcrack - программа с открытым исходным кодом, которая взламывает пароли для входа в Windows с помощью LM-хэшей через радужные таблицы.
• RecuperaBit - программа, которая пытается реконструировать структуру файловой системы и восстановить файлы, в настоящее время поддерживает только файловую систему NTFS. Программа будет пытаться восстановить структуру каталогов независимо от: отсутствия таблица разделов, неизвестности границы разделов, частично перезаписанных метаданных и быстрого форматирования.
• TestDisk - программа для восстановления данных, предназначенная прежде всего для восстановления потерянных разделов на носителях информации, а также для восстановления загрузочного сектора, после программных или человеческих ошибок (например, потеря MBR).
• BEViewer - пользовательский интерфейс для просмотра объектов, которые были извлечены с помощью инструмента извлечения объектов bulk_extractor, поддерживает просмотр нескольких изображений, а также функции создания закладок и экспорта. BEViewer также предоставляет пользовательский интерфейс для запуска сканирований bulk_extractor
• Recoll - система локального полнотекстового поиска, предоставляющая возможности контекстного поиска по словам или по сложным логическим критериям, и графический интерфейс.
• Log2Timeline - инструмент для извлечения событий из отдельных файлов, точек монтирования, образов носителей или устройств.
• Afro - программа для анализа и восстановления удаленных данных из APFS (Apple File System).
• Btrfs - инструменты анализа для файловой системы Btrfs.
• MobiusFt - комплексный инструментарий и фреймворк с открытым исходным кодом, предназначенный для обработки дел, поддерживающий работу как с файлами образов (raw, split, ewf, talon, solo, dossier, msr, vhd и vhdx), так и с физическими устройствами в качестве источника входных данных.

Раздел "Database".

• SqlParse - утилита парсинга удаленных записей БД SQLite с возможностью извлечения данных в *.tsv или *.txt файлы.
• DB Browser for SQLite - инструмент с открытым исходным кодом для создания, дизайна и редактирования файлов базы данных, совместимый с SQLite.

Раздел "Disks".

• Guymager - приложение для создания точных копий носителей (создания образов дисков или разделов).
• XMount-GUI - графический интерфейс утилиты xmount, позволяющей "на лету" конвертировать между несколькими типами входных и выходных образов жесткого диска. Утилита позволяет создать виртуальную файловую систему с помощью FUSE (файловая система в пользовательском пространстве), которая содержит виртуальное представление входного изображения. Виртуальное представление может быть в формате raw DD, DMG, VHD, на виртуальном диске VirtualBox или в формате VMDK от VMware. Входными изображениями могут быть файлы raw DD, EWF (Expert Witness Compression Format) или AFF (Advanced Forensic Format). Кроме того, xmount также поддерживает виртуальный доступ на запись к выходным файлам, который перенаправляется в файл кэша. Это позволяет загружать образы жестких дисков с помощью QEMU, KVM, VirtualBox, VMware или аналогичных устройств.
• ddrescueview - утилита с графическим интерфейсом, позволяющая пользователю наглядно изучить лог-файлы Ddrescue, мощной консольной утилиты для восстановления данных с повреждённых носителей.
• dvdisaster - программа для восстановления данных с повреждённого оптического диска или увеличения отказоустойчивости данных, которые будут на него записаны, при условии, что часть исходных данных диска предварительно была зарезервирована на сторонних носителях, либо к ISO-образу диска была добавлена необходимая избыточная информация до повреждения.
• TestDisk - программа для восстановления данных, предназначенная прежде всего для восстановления потерянных разделов на носителях информации, а также для восстановления загрузочного сектора, после программных или человеческих ошибок (например, потеря MBR).
• Disk Image Mounter - средство монтирования образов дисков.
• DDRescue-GUI - это графический интерфейс для утилиты ddrescue, который обеспечивает простое и надежное восстановление данных с поврежденных носителей.
• XHFS - графический интерфейс для просмотра и копирования файлов на томах в формате HFS.
• UnBlock - программа для блокировки/разблокировки подключенных носителей на чтение/запись.
• IMount - утилита для для локального монтирования образов носителей Encase или DD.
• SafeCopy - утилита для восстановления данных, которая пытается извлечь как можно больше данных из проблемных источников (т. е. поврежденных секторов), таких как дисководы гибких дисков, разделы жесткого диска, компакт-диски, ленточные устройства, где другие инструменты, такие как dd, выходят из строя из-за ошибок ввода-вывода.
• VHDIinfo - утилита для получения информации о файле образа виртуального жесткого диска (VHD).
• VHDIMount - утилита для монтирования файла образа виртуального жесткого диска (VHD).
• RecuperaBit - программа, которая пытается реконструировать структуру файловой системы и восстановить файлы, в настоящее время поддерживает только файловую систему NTFS. Программа будет пытаться восстановить структуру каталогов независимо от: отсутствия таблица разделов, неизвестности границы разделов, частично перезаписанных метаданных и быстрого форматирования.
• Afro - программа для анализа и восстановления удаленных данных из APFS (Apple File System).
• APFS-FUSE - проект является драйвером FUSE только для чтения для новой файловой системы Apple. Он также поддерживает тома, зашифрованные программным обеспечением, и диски fusion. Firmlinks пока не поддерживаются.
• Btrfs - инструменты анализа для файловой системы Btrfs.

Раздел "Hash".

• QuickHash - инструмент хэширования данных с графическим интерфейсом.
• gtkhash - утилита для вычисления контрольных сумм. Поддерживаются большинство известных хэш-функций, включая MD5, SHA1, SHA2 (SHA256 / SHA512), SHA3 и BLAKE2.

Раздел "Malware".

• Stegosuite - бесплатный инструмент для стеганографии, поддерживающий BMP, GIF, JPG, PNG и шифрование встроенных данных (AES).
• PDF Scanner - набор скриптов для работы с PDF. make-pdf-embedded: создание pdf-файла со встроенным файлом. make-pdf-helloworld: создание pdf-файла с HelloWorld. make-pdf-javascript: создание pdf-файла со встроенным javascript, который будет выполняться при открытии документа. pdfid: тестирование pdf-файла. pdf-parser: для анализа pdf-файла.
• PEFrame - инструмент с открытым исходным кодом для выполнения статического анализа переносимых исполняемых вредоносных программ и обычных подозрительных файлов. Он может помочь исследователям вредоносных программ обнаружить упаковщик, xor, цифровую подпись, мьютекс, защиту от отладки, защиту от виртуальной машины, подозрительные разделы и функции, макросы и многое другое о подозрительных файлах.
• Yara - инструмент, помогающий исследователям вредоносных программ идентифицировать и классифицировать образцы вредоносных программ. С помощью YARA можно создавать описания семейств вредоносных программ на основе текстовых или двоичных шаблонов, содержащихся в образцах этих семейств
• VolDiff - скрипт на Python, который использует платформу Volatility для выявления вредоносных угроз в образах памяти Windows 7.

Раздел "Memory forensics".

• Inception - инструмент для манипулирования физической памятью, использующий DMA на базе PCI. Инструмент может атаковать через FireWire, Thunderbolt, ExpressCard, PC Card и любые другие интерфейсы PCI/PCIe HW.
• VolDiff - скрипт на Python, который использует платформу Volatility для выявления вредоносных угроз в образах памяти Windows 7.
• Volatility - инструмент для извлечения цифровых артефактов из образцов оперативной памяти (RAM).
• Memdump - программа дампа оперативной памяти в стандартный выходной поток, по умолчанию программа сбрасывает содержимое физической памяти (/dev/mem).
• VShot - необходима информация.

Раздел "Mobile forensics".

• gMTP - программа передачи файлов для устройств на основе MTP, протокола передачи мультимедиа.
• LibMobileDevice - кроссплатформенная программная библиотека, которая использует протоколы для взаимодействия с устройствами iOS. В отличие от других проектов, это не зависит от использования каких-либо существующих проприетарных библиотек и не требует джейлбрейка.
• ADB - инструмент программирования, используемый для отладки устройств на базе Android.
• Blackberry scripts - набор скриптов для работы с мобильными устройствами Blackberry, iPhone. bbmessenger/bbmessenger-gui: скрипт и графический интерфейс для декодирования сохраненных файлов Messenger/Gtalk. bbvideo: работа с таблицей SQLite файла videoart.dat. bbwhatsapp: скрипт для декодирования базы мессенджера WhatsApp. bbt: парсер файла ThumbsxxxXxxx.key. iPBA: анализ резервных копий iPhone. iphone_ab: дамп/интерпретатор AddressBook.db. iphone_backup: дамп/интерпретатор call_history.db. iphone_ch: дамп/интерпретатор call_history.db. iphone_cs: дамп/интерпретатор consolidated.db. iphone_images: извлечение EXIF из фотографий. iphone_music: извлечение метаданных из музыкальных файлов. iphone_safariHist: декодирование файла History.plist браузера Safari. iphone_sms: дамп/интерпретатор iphone.sms. iphone_vm: дамп/интерпретатор voicemail.db.
• ILoot - инструмент командной строки, позволяющий загружать резервные копии устройств, назначенных вашему AppleID. На основе скрипта iphone-dataprotection, поэтому авторские права принадлежат соответствующим владельцам.
• Scrcpy - приложение отражает устройства Android (видео и аудио), подключенные через USB или по TCP/IP, и позволяет управлять устройством с помощью клавиатуры и мыши компьютера. Оно не требует root доступа и работает на ОС Linux, для Windows и для macOS.
• ANDRILLER - утилита с набором криминалистических инструментов для смартфонов на базе ОС Android и выполняет только чтение с устройств. Она обладает такими функциями, как мощный взлом экрана блокировки для поиска шаблона, PIN-кода или пароля; пользовательские декодеры данных приложений из баз данных Android (некоторые Apple iOS и Windows) для расшифровки сообщений, а также умеет создавать отчеты в форматах HTML и Excel.

Раздел "Network forensics".

• Remote File System Mounter - удаленное (по сети) монтирование файловой системы с возможностью выбора чтения/записи.
• Wireshark - программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других.
• Netdiscovery - инструмент активного/пассивного поиска адресов, разработанный в основном для беспроводных сетей без dhcp-сервера.

Раздел "OSINT".

• TheHarvester - инструмент, предназначенный для сбора данных с открытым исходным кодом (OSINT), чтобы помочь определить ландшафт внешних угроз домена. Инструмент собирает имена, электронные письма, IP-адреса,
  поддомены и URL-адреса.
• Infoga - инструмент, собирающий информацию об учетных записях электронной почты (IP, имя хоста, страна, и пр.) из различных общедоступных источников.
• Carbon 14 - инструмент для оценки того, когда была написана веб-страница.
• OSINT-SPY - инструмент, выполняющий проверку электронной почты, домена, IP-адреса, организации.

Раздел "Timeline".

• NBTempo - скрипт Bash с графическим интерфейсом пользователя для создания временных рамок файлов и представления их в формате CSV.
• NBTempoX - криминалистический инструмент GNU-Linux для создания графиков (в формате CSV) из файлов изображений блочных устройств (raw, ewf, physicaldrive и т.д.).
• Log2Timeline - инструмент для извлечения событий из отдельных файлов, точек монтирования, образов носителей или устройств.
• PSteal - инструмент командной строки, который использует механизмы log2timeline и psort для извлечения и обработки событий за один раз.

Раздел "Прочее".

Утилиты главного меню "Forensic tools", не вошедшие в остальные подразделы.

Autopsy 2.24 - комплексная платформа цифровой криминалистики с открытым исходным кодом, представляет собой быстрое, тщательное и эффективное решение для исследования жестких дисков.

Midnight Commander editor - визуальный файловый менеджер, позволяющий копировать, перемещать и удалять файлы и целые деревья каталогов, выполнять поиск файлов и запускать команды в подоболочке.

Это все основные инструменты, представленные в CAINE 13. Несмотря на неплохой набор ПО при написании статьи не покидало ощущение, что данную версию, впрочем как и предыдущие, "недопилили" до конца.

Если кто-нибудь успел протестировать функцию блокировки устройств от записи - прошу отписаться в комментариях, работает ли она и были ли сбои при использовании.