Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.

Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).

Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.

Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.

Фреймворки

• dff — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
• PowerForensics — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
• The Sleuth Kit — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.

Реал-тайм утилиты

• grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
• mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.

Работа с образами (создание, клонирование)

• dc3dd — улучшенная версия консольной утилиты dd.
• adulau/dcfldd — еще одна улучшенная версия dd.
• FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
• Guymager — просмотр и клонирования носителей данных в среде Linux.

Извлечение данных

• bstrings — улучшенная версия популярной утилиты strings.
• bulk_extractor — выявления email, IP-адресов, телефонов из файлов.
• floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
• photorec — утилита для извления данных и файлов изображений.

Работа с RAM

• inVtero.net — фреймворк, отличающийся высокой скоростью работы.
• KeeFarce — извлечение паролей KeePass из памяти.
• Rekall — анализ дампов RAM, написанный на python.
• volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
• VolUtility — веб-интерфейс для Volatility framework.

Сетевой анализ

• SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
• Wireshark — известнейший сетевой сниффер.

Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

• FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
• FRED — кросплатформенный анализатор реестра Windows.
• MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table).
• MFTExtractor — MFT-парсер.
• NTFS journal parser — парсер журналов NTFS.
• NTFS USN Journal parser — — парсер журналов USN.
• RecuperaBit — восстановление NTFS данных.
• python-ntfs — анализ NTFS данных.

Исследование OS X

• OSXAuditor — OS X аудитор.

Internet Artifacts

• chrome-url-dumper — извлечение информации из Google Chrome.
• hindsight — анализ истории Google Chrome/Chromium.

Анализ временных интервалов

• plaso — извлечение и агрегация таймстапов.
• timesketch — анализ таймстапов.

Hex редакторы

• 0xED — HEX редактор OS X.
• Hexinator — Windows версия Synalyze It.
• HxD — маленький и быстрый HEX редактор.
• iBored — кросс-платформенный HEX редактор.
• Synalyze It! — HEX редактор в тимплейтами.
• wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов.

Конверторы

• CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
• DateDecode — конвертирование бинарных данных.

Анализ файлов

• 010 Editor Templates — тимплейты для редактора 010.
• Contruct formats — парсер различных видов файлов на python.
• HFSPlus Grammars — HFS+ составляющие для Synalysis
• Sleuth Kit file system grammars — составляющие для различных файловых систем.
• Synalyse It! Grammars — файловые составляющие для Synalyze It!
• WinHex Templates — файловые составляющие для WinHex и X-Ways

Обработка образов дисков

• imagemounter — утилита командной строки для быстрого монтирования образов дисков
• libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
• xmount — конвертирования образов дисков.

Итог

Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности. Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований. В следующей статье я приведу примеры практического использования утилит для анализа образов памяти.