Главная

Sunday, 10 March 2019

Криминалистическая экспертиза цифровых данных.

Всем привет.

Сегодня хочу предложить вам списков технических средств для выполнения криминалистической экспертизы и обработки цифровых данных, которые могут иметь отдельную функциональную нагрузку.

Примеры технических средств выполнения криминалистической копии (создания образа) запоминающих устройств.

Следует руководствоваться рекомендациями, которые определены в разделе 4.2.1 "Copying File from Media" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response. 

В качестве программных средств создания образа можно использовать:
- утилиты dd и dc3dd для UNIX-систем;
- программы FTK Imager, EnCase Forensic Imager или Redline для Windows-систем:
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;
- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем.

В качестве программных средств вычисления значений хэш-функций можно использовать:
- программы md5sum или sha256sum для Linux-систем;
- программы Memoryze для Windows и MacOS-систем:
- программу dff для Windows и Linux-систем.

В качестве специализированных программных средств "write-blocker" можно использовать:
- программу dff для Windows и Linux-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 4.2.2 "Data File Integrity" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.


Примеры технических средств выполнения копирования содержимого оперативной памяти и получения данных операционных систем.

В качестве технических средств выполнения копирования содержимого оперативной памяти:
- программы FTK Imager, Redline, MoonSols Windows Memory Toolkit и Memoryze для
Windows-систем;
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;
- программу Memoryze для MacOS-систем;
- программу dff для Windows и Linux-систем.

В качестве технических средств получения данных операционных систем о сетевых
конфигурациях:
- команды ifconfig и arp для UNIX и MacOS-систем;
- команду ipconfig, netstat, arp и route для Windows-систем;
- набор утилит Sysinternals для Windows-систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

В качестве технических средств получения данных операционных систем о сетевых соединениях:
- программу netstat для UNIX, Windows и MacOS-систем;
- команды nbstat и net для Windows-систем;
- набор утилит Sysinternals для Windows-систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

В качестве технических средств получения данных операционных систем о запущенных
процессах:
- команды ps, top и w для UNIX и MacOS-систем;
- утилиту Task Manager, программу Memoryze и набор утилит Sysinternals для Windows систем;
- программу Memoryze для MacOS-систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;
- программу dff для Windows и Linux-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

В качестве технических средств получения данных операционных систем об открытых файлах:
- команду Isof для UNIX и MacOS систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;
- набор утилит Sysinternals для Windows-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.
В качестве технических средств получения данных операционных систем об открытых сессиях доступа:
- команду w для UNIX и MacOS-систем;
- команду netstat для Windows-систем (с параметром - anorse);
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;
- набор утилит Sysinternals для Windows-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

В качестве технических средств получения данных о зарегистрированных пользователях,
времени их последней аутентификации:
- команды last, who и w для UNIX и MacOS-систем;
- команду lastlog для Linux-систем;
- команду net для Windows-систем;
- набор утилит Sysinternals для Windows-систем.

В качестве программных средств получения системных даты и времени операционной системы:
- команду date для UNIX и MacOS-систем;
- команду date, time, nlsinfo для Windows-систем;
- программы Rekall Memory Forensic Framework или Volatility Framework для Windows, MacOS, Linux-систем;
- набор утилит Sysinternals для Windows-систем;
- следует руководствоваться рекомендациями, которые определены в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

В качестве технических средств получения данных об атрибутах и структуре файлов
операционной системы:
- команду file для UNIX и MacOS-систем;
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone,Blackberry-систем;
- программу dff для Windows и Linux-систем;
- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем;
- для анализа исполняемых файлов - программы packerid, pescanner, exescan, PEiD, PeStudio, CFF Explorer;
- для анализа PDF-файлов - программы PeePDF, PDFiD, AnalyzePDF, pdfextract, pdfwalker, pyew, pdf-parser, pdf.py, pdfsh, Malzilla;
- для анализа файлов MS Office - программы OfficeMalScanner, Offvis, peOLEScanner;
- для анализа графических файлов - программы Photo Investigator, Adroit Photo Forensics, Exiftool.

Для анализа протоколов (журналов) регистрации web-серверов и прокси-серверов возможно использовать программу Log Analysis Tool Kit (LATK).

В качестве технических средств копирования и анализа сетевого трафика:
- программы tcpdump и Wireshark для систем Windows или Linux;
- программы Network Miner и Foremost для Linux-систем;
- программу Kismet (для анализа беспроводных сетей) для Linux-систем;
- программу ntop (для анализа высокопроизводительных сетей) для Windows, Linux и
MacOS-систем:
- программу ssldump (для анализа SSL/TLS-трафика);
- программу DINO (для визуализации сетевых соединений и геолокации IP адресов);
- а также технические средства, указанные в разделе 6.2.1 "Packet Sniffer and Protocol Analyzers" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response.

В качестве технических средств анализа аномальных или вредоносных действий, совершаемых файлами - программу Cockoo Sandbox.

В качестве технических средств анализа сетевого и телекоммуникационного оборудования Cisco - команду show с ключами clock detail, version, running-config, sockets, tcp brief all, ip nat translations, ip cef, snmp.

В качестве технических средств анализа мобильных устройств - программы Belkasoft Evidence Center, .XRY для iOS, Android, Windows Phone, Blackberry-систем.

В качестве программных средств определения владельца IP/DNS-адреса:
- web-сервис whois;
- команду traceroute для Linux-систем или tracert для Windows-систем;
- команду ip source-track на маршрутизаторах Cisco определенных моделей.

В качестве платформы для проведения анализа собранных технических данных возможно использовать платформы REMnux, PALADIN Forensic Suite, которые содержат ряд программных средств, указанных в настоящем приложении, которые позволяют проводить анализ вредоносных и подозрительных файлов, создание криминалистических копий оперативной памяти, запоминающих устройств и сетевого трафика.

No comments:

Post a Comment

А что вы думаете по этому поводу?