Просмотр отдельных изменений

[ 0 => ''''Форензика''' — это (компьютерная криминалистика) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Форензикаявляется подразделом криминалистики', 1 => '', 2 => 'Слово «Форензика» произошло от латинского «foren», что значит речь пред форумом, то есть выступление перед судом, судебные дебаты. Термин «forensics» является сокращенной формой «forenscience», дословно «судебная наука», то есть наука об исследовании доказательств, что в русском языке именуется криминалистикой. В свою очередь, раздел криминалистики, изучающий компьютерные доказательства, называется по английски «computer forensics». При заимствовании слово сузило своё значение. Русское «форзеника» означает исключительно компьютерную криминалистику.', 3 => '', 4 => '', 5 => 'Предметами форензики являются:', 6 => '', 7 => '● криминальная практика — способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;', 8 => '', 9 => '● оперативная, следственная и судебная практика по компьютерным преступлениям;', 10 => '', 11 => '● методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ; ● достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия.', 12 => '', 13 => '', 14 => 'Задачи и приложения:', 15 => '', 16 => '● разработка тактики оперативно-розыскных мероприятий (ОРМ) и следственных действий, связанных с компьютерной информацией;', 17 => '', 18 => '● создание методов, аппаратных и программных инструментов для сбора и исследования доказательств компьютерных преступлений;', 19 => '', 20 => '● установление криминалистических характеристик правонарушений, связанных с компьютерной информацией.', 21 => '', 22 => 'Сферы применения форензики:', 23 => '', 24 => '1. Раскрытие и расследование уголовных преступлений, в которых фигурируют компьютерная информация как объект посягательства, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.', 25 => '', 26 => '2. Сбор и исследование доказательств для гражданских дел, когда такие доказательства имеют вид компьютерной информации. Особенно это актуально по делам о нарушении прав интеллектуальной собственности, когда объект этих прав представлен в виде компьютерной информации — программа для ЭВМ, иное произведение в цифровой форме, товарный знак в сети Интернет, доменное имя и т. п.', 27 => '', 28 => '3. Страховые расследования, проводимые страховыми компаниями касательно возможных нарушений условий договора, страхового мошенничества, особенно когда объект страхования представлен в виде компьютерной информации или таким объектом является информационная система.', 29 => '', 30 => '4. Внутрикорпоративные расследования инцидентов безопасности, касающихся информационных систем, а также работы по предотвращению утечки информации, содержащей коммерческую тайну и иные конфиденциальные данные.', 31 => '', 32 => '5. Военные и разведывательные задачи по поиску, уничтожению и восстановлению компьютерной информации в ходе оказания воздействия на информационные системы противника и защиты своих систем. 6. Задачи по защите гражданами своей личной информации в электронном виде, самозащиты своих прав, когда это связано с электронными документами и информационными системами [5, W16].', 33 => '', 34 => 'Классификация компьютерной криминалистики:', 35 => '', 36 => '• Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.', 37 => '', 38 => '• Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннелей и тому подобного.', 39 => '', 40 => '• Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.', 41 => '', 42 => '• Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.', 43 => '', 44 => '• Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — в PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примерудиапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.', 45 => '', 46 => 'Методы и техники компьютерной криминалистики:', 47 => '', 48 => '• статический, с целью создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.', 49 => '', 50 => '• динамический анализ или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварьсклонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемыйтрафик, сравнение состояния файловой системы ОС до и послеинцидента.', 51 => '', 52 => ''Основные инструменты форензики:', 53 => '', 54 => 'Создание образа диска, раздела или отдельного сектора', 55 => '', 56 => '• FTK Imager — неплохой инструмент для клонирования носителей данных в Windows.', 57 => '', 58 => '• dc3dd (а также adulau/dcfldd) — улучшенные версии стандартной консольной утилиты dd в Linux.', 59 => '', 60 => '• Guymager — специализированное приложение для создания точных копий носителей (написано на C++, на базе Qt).', 61 => '', 62 => '• Paragon или Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.', 63 => '', 64 => '• Смонтировать его с атрибутами o -ro', 65 => '', 66 => '• Подключить через blockdev —setro', 67 => '', 68 => '• Смонтировать как -o ro, loop', 69 => '', 70 => 'Обработка сформированных образов дисков', 71 => '', 72 => '• Imagemounter — утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков.', 73 => '', 74 => '• Libewf — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format).', 75 => '', 76 => '• Xmount — крохотная CLI-утилитка для конвертирования образов дисков в удобный формат с сохранением всей информации и метаданных.', 77 => '', 78 => 'Сбор данных с жестких дисков', 79 => '', 80 => '• DumpIt — утилита для создания дампа оперативной памяти машины. Проста и удобна.', 81 => '', 82 => '• Encase Forensic Imager — софтинка для создания базы доказательных файлов.', 83 => '', 84 => '• Encrypted Disk Detector — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, PGP и Bitlocker.', 85 => '', 86 => '• Forensics Acquisition of Websites — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования.', 87 => '', 88 => '• Live RAM Capturer — годная утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой.', 89 => '', 90 => '• Magnet RAM Capture — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от ретро Windows XP до Windows 10 (включая и релизы Windows Server).', 91 => '', 92 => 'Анализ файлов найденных на жестких дисках', 93 => '', 94 => '• Crowd Inspect помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом. Помимо этого, линкуется к VirusTotal и другим онлайновым сервисам анализа вредоносных программ и службам репутации.', 95 => '', 96 => '• dCode преобразует разные типы данных в значения даты и времени.', 97 => '', 98 => '• Bstrings — программа для поиска в двоичных данных, есть поддержка регулярных выражений.', 99 => '', 100 => '• eCryptfs Parser рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов.', 101 => '', 102 => '• Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки.', 103 => '', 104 => '• File Identifier — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч.', 105 => '', 106 => '• Memoryze — утилита для анализа образов оперативной памяти, включая анализ файлов подкачки и извлечения оттуда данных.', 107 => '', 108 => '• ShadowExplorer — утилита для просмотра и дальнейшего извлечения файлов из теневых копий в системе Windows.', 109 => '', 110 => '• HxD — маленький и быстрый HEX-редактор.', 111 => '', 112 => '• Synalyze It! — HEX-редактор с поддержкой шаблонов, при этом быстр и в нем нет ничего лишнего.', 113 => '', 114 => '• wxHex Editor — кросс-платформенный HEX-редактор с возможностью сравнивать файлы и кучей других фич.', 115 => '', 116 => 'Извлечение данных из файлов', 117 => '', 118 => '• Bulk_extractor — утилита для вылавливания email, IP-адресов и телефонов из файлов.', 119 => '', 120 => '• PhotoRec — утилита для извлечения данных и файлов изображений.', 121 => '', 122 => 'Обработка данных в оперативной памяти (RAM)', 123 => '', 124 => '• Forensics, Memory Integrity & Assurance Tool by invtero — крутой и навороченный фреймворк, который при этом быстро работает.', 125 => '', 126 => '• volatility — опенсорсный набор утилит для разностороннего анализа образов физической памяти.', 127 => '', 128 => '• Rekall — скрипт для анализа дампов RAM, написанный на Python.', 129 => '', 130 => '• KeeFarce — программа для извлечения паролей KeePass из памяти.', 131 => '', 132 => 'Анализ сетевого стека и браузеров', 133 => '', 134 => '• SiLK — прога для сбора, хранения и анализа данных сетевого потока. Идеально подходит для анализа трафика на магистрали или границе крупного распределенного предприятия или провайдера среднего размера.', 135 => '', 136 => '• Wireshark — всемирно известный сетевой анализатор пакетов (сниффер). Имеет графический пользовательский интерфейс и широкий набор возможностей сортировки и фильтрации информации.', 137 => '', 138 => '• NetworkMiner — инструмент сетевого анализа для обнаружения ОС, имени хоста и открытых портов сетевых узлов с помощью перехвата пакетов в формате PCAP.', 139 => '', 140 => '• chrome-url-dumper — крошечная программа для извлеченияинформации из браузера Google Chrome.', 141 => '', 142 => '• hindsight — еще одна утилитка для анализа истории Chrome.', 143 => '', 144 => 'Анализ email-сообщений', 145 => '', 146 => '• EDB Viewer — мощная утилита для просмотра файлов Outlook(EDB) без подключения сервера Exchange.', 147 => '', 148 => '• Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail / Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.', 149 => '', 150 => '• OST Viewer — утилита для просмотра файлов OST Outlook, опять же без привязки к серверу Exchange.', 151 => '', 152 => '• PST Viewer — вариант предыдущей утилиты, служит для просмотра файлов PST Outlook.', 153 => '', 154 => 'Поиск артефактов на HDD и периферии', 155 => '', 156 => '• FastIR Collector — мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее).', 157 => '', 158 => '• FRED — кросс-платформенный быстрый анализатор реестра для ОС Windows.', 159 => '', 160 => '• NTFS USN Journal parser — парсер журналов USN для томов NTFS.', 161 => '', 162 => '• RecuperaBit — утилита для восстановления данных NTFS.', 163 => '', 164 => 'Специализированные паки и фреймворки', 165 => '', 166 => '• Digital Forensics Framework — платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI.', 167 => '', 168 => '• The Sleuth Kit и Autopsy — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков.', 169 => '', 170 => '• Oxygen Forensic Detective — универсальный криминалистический инструмент для исследования данных мобильных устройств. Пак входящих в него утилит позволяет выполнять полное извлечение данных, проводить исчерпывающий анализ данных, хранящихся на телефонах и в облачных хранилищах. В наличии есть ForensicCloud Extractor — встроенная служебная программа, собирающая данные из облачных служб хранения данных; средство ForensicMaps — программа, работающая с данными геоинформационных систем (GPS); Forensic Call Data Expert — программа для импорта записей данных о вызовах (так называемые CDR-файлы) любого поставщика услуг беспроводной связи и визуального анализа соединений абонентов.', 171 => '', 172 => '', 173 => 'Литература:', 174 => '', 175 => '• Н. Н. Федотов: Форензика — компьютерная криминалистика', 176 => '', 177 => '• Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics', 178 => '', 179 => '• Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7', 180 => '', 181 => '• Brian Carrier: File System Forensic Analysis', 182 => '', 183 => '• Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis', 184 => '', 185 => '• Philip Polstra: Linux Forensics', 186 => '', 187 => '• Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core', 188 => '', 189 => '• Ric Messier: Operating System Forensics', 190 => '', 191 => '• Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics', 192 => '', 193 => '• Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory', 194 => '', 195 => '• Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry', 196 => '', 197 => '• Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide' ]