Целевая задача компьютерно-технической экспертизы – сбором и анализ доказательств с цифровых носителей, таких как настольные компьютеры, мобильные устройства, облачные хранилища и устройства IoT.
Эти доказательства могут быть использованы в рамках мероприятий по устранению последствий инцидента или для поддержки деятельности правоохранительных органов, причём как в досудебном, так и в судебном порядке.
Самые популярные инструменты для СКТЭ
Цифровые доказательства могут существовать на многих платформах и в различных формах. Судебная экспертиза часто включает анализ файлов, электронной почты, сетевой активности и других вероятных источников подсказок о масштабах, воздействии и атрибуции инцидента.
Из-за разнообразия потенциальных источников данных инструменты судебной компьютерно технической экспертизы имеют различные специализации. В данном списке перечислены некоторые из наиболее распространенных и широко используемых инструментов для выполнения различных частей компьютерной криминалистики.
Анализ диска: Autopsy/the Sleuth Kit
Autopsy и Sleuth Kit, вероятно, являются наиболее известными наборами инструментов для криминалистов.
- - Sleuth Kit – это инструмент командной строки, который выполняет криминалистический анализ образов жестких дисков и смартфонов.
- - Autopsy – это система с графическим интерфейсом, которая использует The Sleuth Kit.
Инструменты имеют модульную архитектуру и архитектуру подключаемых модулей, что позволяет пользователям легко включать дополнительные функции. Обе утилиты являются бесплатными и с открытым исходным кодом, но также доступны коммерческая поддержка и обучение.
Создание образов: FTK imager
Autopsy и The Sleuth Kit предназначены для изучения образов жестких дисков, хранилищ смартфонов и так далее. Преимущество анализа образа (а не живого диска) заключается в том, что использование образа позволяет следователю доказать, что он не вносил никаких изменений в диск, которые могли бы повлиять на результаты экспертизы.
Autopsy не имеет функции создания образа, поэтому необходимо использовать другой инструмент. Хотя большинство элементов AccessData Forensics Toolkit являются платными инструментами, FTK Imager – бесплатный вариант. Его можно использовать для создания образов дисков, которые затем можно анализировать с помощью Autopsy/The Sleuth Kit.
Экспертиза памяти: Volatility
Утилиты, подобные The Sleuth Kit, сосредоточены на жестком диске, но это не единственное место, где на машине могут храниться нужные для расследования данные. Важная информация также может остаться в оперативной памяти. Эта волатильная память должна быть исследована быстро и тщательно, чтобы быть достоверной и полезной для суда.
Volatility – самый известный и популярный инструмент для анализа волатильной памяти. Как и The Sleuth Kit, Volatility является бесплатным, с открытым исходным кодом и поддерживает сторонние плагины.
Более того, Volatility Foundation проводит ежегодный конкурс для пользователей на разработку наиболее полезного и инновационного расширения к фреймворку.
Анализ реестра Windows: Registry Recon
Реестр Windows представляет собой базу данных конфигурационной информации для ОС Windows и приложений, работающих на ней. Эти приложения могут хранить в реестре множество различных данных, и реестр является одним из распространенных мест, где вредоносное ПО использует механизмы сохранения.
Реестр Windows можно открыть и просмотреть с помощью встроенного в Windows приложения regedit. А ещё анализ реестра встроен в некоторые криминалистические платформы. Однако существуют и специализированные инструменты, такие как Registry Recon. Это платный инструмент, предназначенный для восстановления реестра Windows из образа, полученного в ходе судебной компьютерно-технической экспертизы и включающий возможность восстановления удаленных частей реестра на основе анализа нераспределенного пространства памяти.
Исследование мобильных устройств: Cellebrite UFED
Внедрение мобильных устройств постоянно растет, и многие организации позволяют сотрудникам использовать эти устройства на работе либо в рамках программ BYOD, либо на корпоративных устройствах. Кроме того, эти устройства все чаще становятся целью кибератак, например, фишинга, что делает их вероятным источником ценной криминалистической информации.
Учитывая растущее значение мобильной криминалистики, полезным приобретением может стать инструмент криминалистики, ориентированный на мобильные устройства. Cellebrite UFED широко известен как лучший коммерческий инструмент для мобильной криминалистики. Он поддерживает множество различных платформ (не только мобильные устройства) и может похвастаться эксклюзивными методами и инструментами для анализа мобильных устройств.
Анализ сети: Wireshark
Многие инструменты СКТЭ сосредоточены на эндпоинте, но это не единственный источник полезных данных в расследовании. Большинство кибератак происходит по сети, и анализ захвата сетевого трафика может помочь в выявлении вредоносного ПО и предоставить доступ к данным, которые, возможно, уже были удалены или перезаписаны на конечном устройстве.
Для анализа сетевого трафика наиболее популярным и широко используемым инструментом является Wireshark. Это бесплатная утилита с открытым исходным кодом. Пользователям предлагаются диссекторы для различных типов сетевого трафика, понятный и простой в использовании графический интерфейс для анализа трафика, а также широкий набор дополнительных функций. Wireshark поддерживает захват трафика в реальном времени или может вводить файлы захвата сети для анализа.
Дистрибутивы Linux: CAINE
Многие из представленных здесь инструментов (и многие другие инструменты цифровой криминалистики помимо них) являются бесплатными и с открытым исходным кодом. Хотя их легко приобрести, установка и настройка могут быть сложными. Чтобы упростить этот процесс, несколько различных дистрибутивов Linux доступны в виде виртуальных машин. Они сразу включают ряд предварительно установленных и настроенных инструментов.
Одним из примеров такого инструмента является компьютерная среда автоматизированного расследования (Computer Aided Investigative Environment, CAINE). Этот дистрибутив Linux включает многие из наиболее широко используемых инструментов компьютерной криминалистики и может включать сторонние плагины для таких инструментов, как Autopsy.