Искусство форензики. Теория, книги, курсы, полезные материалы

Содержание статьи

Форензика как наука о расследовании киберпреступлений

Вообще, «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.

Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:

• понять, как была реализована атака;
• построить сценарий взлома;
• восстановить хронологию (таймлайн) атаки;
• собрать артефакты (в смысле, не меч Армагеддона и не святой Грааль, а оставшиеся после атаки следы);
• предложить превентивные защитные меры, чтобы такого впредь не повторилось.

Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента ИБ. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.

Сейчас все больше крупных компаний из тех, что имеют свой бренд услуг ИБ, в обязательном порядке заводят специализированную лабораторию и штат из нескольких экспертов по форензике. Также форензика часто идет в составе услуг компаний, которые далеки от сферы ИТ и занимаются, к примеру, финансовым аудитом. Ведь при расследовании финансового мошенничества до 100% всех доказательств может содержаться в компьютерных системах (ERP, CRM, BI, BPM и так далее).

Ну и конечно, эксперты по форензике — это неотъемлемая часть «управления К». Ведь чтобы возбудить уголовное дело по фактам компьютерных преступлений, сначала по нормам законодательства необходимо подтвердить сам факт преступления и определить его состав. Аналогично, если пострадавшая сторона обращается в суд за взысканием ущерба, возникшего из-за взлома, — тут уже без экспертизы никак не обойтись.

Отдельная тема — расследование целенаправленных атак, или APT. Их суть сводится к взлому целевых систем с использованием разнообразных векторов атак, инструментов, изощренных техник и методов, неизвестных до настоящего момента. На эту тему, кстати, в нашем журнале есть несколько добротных статей, вот тут с разбором двух кейсов, недавней историей со Сбербанком и небольшой теорией тут и тут.

Стоит ли говорить, что таски на форензику традиционно присутствуют и в CTF? Поэтому без знания хотя бы базовых техник расследований не обойтись. Кому интересно, есть примеры разбора тут и вот тут. А некоторые часто используемые тулзы, идущие в ход на CTF, мы рассмотрим чуть ниже.

Классификация

Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давай прикинем карту классификации нашего предмета.

Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.

Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное.

Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.

Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.

Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — на PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Методы и техники экспертизы

Как и в случае с анализом малвари, есть два основных подхода к экспертизе взломанной машины — статический и динамический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.

Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.

Есть неплохая статейка (PDF) на английском языке, где вкратце описываются и сравниваются эти методы. И еще одна обзорная публикация — на небезызвестном портале InfoSec Resources.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

FOR408: Windows Forensic Analysis has been renumbered to FOR500: Windows Forensics Analysis

The FOR408: Windows Forensic Analysis course was renumbered to FOR500: Windows Forensic Analysis. SANS renumbered the course to better reflect the course’s intermediate-level material. The content of the course will remain basically the same, although it will be constantly updated to reflect changes in the field.

FREQUENTLY ASKED QUESTIONS

Why change the course number?
FOR500/FOR408 is an intermediate-level Windows forensics course that skips over the introductory material of digital forensics. This class does not include basic digital forensic analysis concepts. FOR500/FOR408 focuses entirely on in-depth, tool-agnostic analysis of the Windows operating system and artifacts. The course has been at the intermediate skill level since 2013 and a course number change to the 5 level reflects this content more accurately. The course is vigorously updated each year. The change in the course number was timed to coincide with the regularly scheduled update of the course in the Spring of 2017. SANS courses are updated as frequently as possible as part of our efforts to keep teaching material hyper-current and relevant for leading-edge problem solving.

What is the difference between FOR500 and FOR508?
FOR500 focuses on deep-dive forensic analysis of Windows operating systems and artifact locations. FOR508 teaches students how to conduct enterprise incident response and threat hunting. Its focus is on intrusion response and forensics. Each course complements the other and both should be taken to create a full operational and analytical capability.

Which course should I take first, FOR500 or FOR508?
It is recommended that FOR500/FOR408 be taken prior to FOR508 so that students obtain a firm understanding of operating system and artifact locations on Windows systems as well as demonstrable, hands-on skills in Windows forensics. However, FOR500 is not a formal prerequisite for FOR508, so the classes could be taken in any order.

How does the change in the course number affect GIAC certification?
Any current GCFE certifications will not change in any way. Any student taking FOR500/FOR408 will be taking the same exam. Additionally, DoDD 8570, DoDD 8140, and ANSI/ISO/IEC 17024 accreditation status remains unchanged.

How will the course number change affect alumni?
Anyone who wishes to retake the FOR500/FOR408 course using the alumni discount may do so if they have taken FOR408 in the past.

For500 windows forensics analysis

FOR500: Windows Forensics Analysis Подробнее

What is new in FOR500: Windows Forensics Course? Windows 10 and beyond — Подробнее

Windows Forensics FOR500 (formerly FOR408) Rob Lee Подробнее

All you need to know about FOR500 — Windows Forensic Analysis with Jason Jordaan Подробнее

Introduction to Windows Forensics Подробнее

Episode 44: Event Log Forensic Goodness Подробнее

Why should you take FOR500: Windows Forensic Analysis? Подробнее

Windows Forensics: Event Trace Logs — SANS DFIR Summit 2018 Подробнее

What makes FOR500: Windows Forensic Analysis such a great course? Подробнее

Why should you take FOR500: Windows Forensic Analysis? Подробнее

Episode 86: Reviewing the Output Created by KAPE Подробнее

Episode 101: USB Forensics Series — Part 3 of 7 Подробнее

If at first you don’t succeed, try something else w/ Jim Clausing — SANS DFIR Summit 2020 Подробнее

Episode 57: They hid their data in webcache! Part 2 Подробнее

What are the key takeaways of FOR500: Windows Forensic Analysis? Подробнее

Episode 99: USB Forensics Series — Part 2 of 7 Подробнее

Episode 87: Introducing and Using Timeline Explorer Подробнее

Episode 82: Understanding and Using KAPE Module Files Подробнее

For500 Windows Forensics Analysis — Скачать mp3 бесплатно

FOR500 Windows Forensics Analysis

01:04 1.40 MB 4.6K

What Is New In FOR500 Windows Forensics Course Windows 10 And Beyond

01:02:04 81.68 MB 7.5K

Windows Forensics FOR500 Formerly FOR408 Rob Lee

01:46 2.33 MB 6.9K

All You Need To Know About FOR500 Windows Forensic Analysis With Jason Jordaan

03:35 4.72 MB 532

Why Should You Take FOR500 Windows Forensic Analysis

What Makes FOR500 Windows Forensic Analysis Such A Great Course

01:00 1.32 MB 142

Introduction To Windows Forensics

01:04:33 84.95 MB 71.8K

Why Should You Take FOR500 Windows Forensic Analysis

01:16 1.67 MB 101

Windows Forensics Event Trace Logs SANS DFIR Summit 2018

29:24 38.69 MB 10.6K

What Are The Key Takeaways Of FOR500 Windows Forensic Analysis

Episode 44 Event Log Forensic Goodness

02:51 3.75 MB 1.3K

Episode 86 Reviewing The Output Created By KAPE

03:06 4.08 MB 596

044 File Forensics Part1 Windows Forensics

07:32 9.91 MB 0.9K

Windows Live Forensics Part 1 Of 2

08:49 11.60 MB 25.6K

Episode 57 They Hid Their Data In Webcache Part 2

03:25 4.50 MB 596

Learn Windows Forensics With Me

04:04 5.35 MB 272

Windows Forensics 01 Windows Security Forensics

52:31 69.12 MB 131

A Live Windows Forensic Analysis

05:42 7.50 MB 127

Windows MACB Timestamps NTFS Forensics

28:09 37.05 MB 11.3K

Episode 101 USB Forensics Series Part 3 Of 7

03:12 4.21 MB 871

Episode 99 USB Forensics Series Part 2 Of 7

TR19 Beyond Windows Forensics With Built In Microsoft Tooling

52:30 69.09 MB 391

095 Registry Part7C RegRipper Windows Forensics

07:35 9.98 MB 2.7K

The Magic Of Raw Data Carving

59:41 78.55 MB 8.2K

Deleted Evidence Fill In The Map To Luke Skywalker SANS DFIR Summit 2016

30:17 39.86 MB 735

Windows 8 SRUM Forensics SANS DFIR Summit 2015

53:50 70.85 MB 2.4K

FOR508 Advanced Incident Response And Threat Hunting Course Updates Hunting Guide

01:01:09 80.48 MB 31.3K

Episode 78 What Is The Windows Registry Transaction Log

02:58 3.90 MB 880

SANS DFIR Webcast Anti Anti Forensics In Action Recovering From USB Oblivion

01:12 79.23 MB 1.2K

Windows Forensics Training Course SANS Institute DFIR FOR408 Rob Lee

01:21 1.78 MB 9.8K

Exploring Registry Explorer

01:01:52 81.42 MB 7K

Windows Forensics Course Introduction

10:14 13.47 MB 6.7K

Open Source DFIR Made Easy The Setup SANS Digital Forensics Incident Response Summit 2017

25:49 33.98 MB 7.9K

Start Process PowerShell Get Forensic Artifact SANS DFIR Summit 2016

24:59 32.88 MB 6.5K

Sans500 معرفی دوره

Defensive Track Maxim Suhanov In Depth Forensic Analysis Of Windows Registry Files

21:52 28.78 MB 239

Live Forensics Memory Analysis

01:27 79.56 MB 10.7K

Windows Command Prompt For Forensics

25:18 33.30 MB 4.8K

Windows Application Compatibility Forensics

19:02 25.05 MB 8.8K

What S New In The FOR610 Reverse Engineering Malware Analysis Course In 2017

10:55 14.37 MB 6.8K

ShimCache And AmCache Enterprise Wide Hunting SANS Threat Hunting Summit 2017

27:53 36.70 MB 4.9K

Computer Forensic Examinations 10 Shellbags

24:11 31.83 MB 3.8K

Skip This Webinar It S Just Everything You Need To Know About Smartphones

48:18 63.57 MB 1.3K

Episode 45 Logon Log Off Event Logs

03:08 4.12 MB 1.2K

A Guide To Eric Zimmerman S Command Line Tools EZ Tools

01:03:36 83.70 MB 7.4K

What The DLL Is Happening A Practical Approach To Identifying SOH Frank McClain SANS DFIR Summit

37:03 48.76 MB 799

Photo Forensic Bangla Tutorial

04:08 5.44 MB 160

Windows Registry Forensics Advanced Digital Forensic Analysis Of The Windows Registry

SANS Webcast Three Free Python Apps To Improve Your Defenses And Response Capabilities

01:12 79.23 MB 2K

RegRipper Analysis Of VDI File

14:26 19.00 MB 124

Для вашего поискового запроса For500 Windows Forensics Analysis мы нашли 50 песен, соответствующие вашему запросу. Теперь мы рекомендуем загрузить первый результат FOR500 Windows Forensics Analysis который загружен SANS Digital Forensics And Incident Response размером 1.40 MB, длительностью 1 мин и 4 сек и битрейтом 192 Kbps.

Перед загрузкой вы можете послушать любую песню, наведите курсор и нажмите «Слушать» или «Скачать» для загрузки mp3-файла высокого качества. Первые результаты поиска — с YouTube, которые будут сначала преобразованы, после чего файлы можно загрузить, но результаты поиска из других источников могут быть сразу же загружены в MP3 без какого-либо преобразования.

Слушают сейчас

For500 Windows Forensics Analysis

Асмандагы Айдай Жандын Скачать

Spree Ahoi Feat Steven Coulter Radio Edit

The Beach Instrumental Slowed Reverb The Neighborhood

Please Follow Me Lol Tik Tok

В Половине Третьего Извращается Встретила Тик Ток

Word Up Country Version

Дрифт Машины Бмв Видео Для Инстаграма Скачать Бесплатно Видео Для Инстаграма

Miley Cyrus Slowed

Салам Гана Ремикс

Jannatlar Eshigin Ochgan Onajonim

Пайгамбаримизни Тушимда Курдим

Суруд Дар Васфи Хохар

Оё Бенамоз Кофир Аст

Гусеница Сбита 1

La Vie Ne Ment Past Emotional Song Tiktok Viral Song

Хэппи Бёздей Ту Ю На Русском

Скажи Что Ты Меня Любишь И Больше Не Чево Не Надо

Gozlerinin Rengine Bir Telefon Zengine Ehtiyacim Var

Японская Тик Ток

Первая Любовь Bass Boosted

Slowed Русские Песни

Крики Из Тик Тока

Brawl Stars Ost Frank S Gadget

Excess Type Beat

Эдгар Rasa Пчеловод Пародия Brawl Stars

Smile Butterfly Meme

Suicide Didnt Work Rus

Raikaho Молод И Глуп Botg Remix

Голубка Моя Исп Минеева

Дилрабо С Днём Рождением

Михаил Серегин Дмб 2 Самая Срочная Служба 1

Мирбек Атабеков Суранамын Кечир Мени

Солнечные Блики Рассветы И Туманы

Yamete Kudasai Short Scene

Это Дуа Уничтожит Врагов Ин Ша Аллах Дуа На Каждый День

Я Устал Людям Дарить Добро

Симулятор Заправки Ужасный Заправщик Вынос Мозга

Тебе Б Только Пожрать Meme

Mellina Feat Vescan Poza De Album Official Video

Говорящий Бен Звонок От Stickman

Someone To You By Banners Slowed Down

Yulduz Jumaniyozova Shaxlo Salayeva Popuri

Matt Sassari Set About Showcase Sofia Be At Tv