Главная » Linux

Practical forensic imaging securing digital evidence with linux tools

Содержание
  1. Litgu.ru — Литературный Гуру
  2. Practical Forensic Imaging: Securing Digital Evidence with Linux Tools
  3. Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок
  4. Дистрибутивы
  5. Digital Evidence & Forensics Toolkit: DEFT Linuix
  6. Фреймворки
  7. Анализ сетевого взаимодействия
  8. Материал для изучения
  9. Практические площадки
  10. Practical Forensic Imaging
  11. Practical Forensic Imaging : Securing Digital Evidence with Linux Tools
  12. Подборка бесплатных утилит компьютерной криминалистики (форензики)
  13. Дисковые инструменты и сбор данных
  14. Анализ электронной почты
  15. Анализ файлов и данных
  16. Инструменты для Mac OS
  17. Мобильные устройства

Litgu.ru — Литературный Гуру

Practical Forensic Imaging: Securing Digital Evidence with Linux Tools


Название: Practical Forensic Imaging: Securing Digital Evidence with Linux Tools
Автор: Bruce Nikkel
Издательство: No Starch Press
Год: 2016
Страниц: 320
Формат: PDF
Размер: 10 Mb
Язык: English

Forensic image acquisition is an important part of postmortem incident response and evidence collection. Digital forensic investigators acquire, preserve, and manage digital evidence to support civil and criminal cases; examine organizational policy violations; resolve disputes; and analyze cyber attacks.

Practical Forensic Imaging takes a detailed look at how to secure and manage digital evidence using Linux-based command line tools. This essential guide walks you through the entire forensic acquisition process and covers a wide range of practical scenarios and situations related to the imaging of storage media.

You’ll learn how to:

Perform forensic imaging of magnetic hard disks, SSDs and flash drives, optical discs, magnetic tapes, and legacy technologies
Protect attached evidence media from accidental modification
Manage large forensic image files, storage capacity, image format conversion, compression, splitting, duplication, secure transfer and storage, and secure disposal
Preserve and verify evidence integrity with cryptographic and piecewise hashing, public key signatures, and RFC-3161 timestamping
Work with newer drive and interface technologies like NVME, SATA Express, 4K-native sector drives, SSHDs, SAS, UASP/USB3x, and Thunderbolt
Manage drive security such as ATA passwords; encrypted thumb drives; Opal self-encrypting drives; OS-encrypted drives using BitLocker, FileVault, and TrueCrypt; and others
Acquire usable images from more complex or challenging situations such as RAID systems, virtual machine images, and damaged media
With its unique focus on digital forensic acquisition and evidence preservation, Practical Forensic Imaging is a valuable resource for experienced digital forensic investigators wanting to advance their Linux skills and experienced Linux administrators wanting to learn digital forensics. This is a must-have reference for every digital forensics lab.

Источник

Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок

Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.

Дистрибутивы

Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.

Digital Evidence & Forensics Toolkit: DEFT Linuix

Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.

Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.

Фреймворки

Одним из самых популярных фреймворков является Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).
Извлекаемые данные:

  • дата и время;
  • список запущенных процессов;
  • список открытых сетевых сокетов;
  • список открытых сетевых соединений;
  • список загруженных библиотек для каждого процесса;
  • имена открытых файлов для каждого процесса;
  • адреса памяти;
  • модули ядра ОС;
  • маппинг физических смещений на виртуальные адреса.

Список поддерживаемых образов RAM для следующих операционных систем:

  • 32-bit Windows XP Service Pack 2 and 3
  • 32-bit Windows 2003 Server Service Pack 0, 1, 2
  • 32-bit Windows Vista Service Pack 0, 1, 2
  • 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
  • 32-bit Windows 7 Service Pack 0, 1
  • 32-bit Windows 8, 8.1, and 8.1 Update 1
  • 32-bit Windows 10 (initial support)
  • 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows Vista Service Pack 0, 1, 2
  • 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows 2008 R2 Server Service Pack 0 and 1
  • 64-bit Windows 7 Service Pack 0 and 1
  • 64-bit Windows 8, 8.1, and 8.1 Update 1
  • 64-bit Windows Server 2012 and 2012 R2
  • 64-bit Windows 10 (including at least 10.0.14393)
  • 64-bit Windows Server 2016 (including at least 10.0.14393.0)
  • 32-bit Linux kernels 2.6.11 to 4.2.3
  • 64-bit Linux kernels 2.6.11 to 4.2.3
  • 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn’t supported)
  • 32-bit 10.6.x Snow Leopard
  • 64-bit 10.6.x Snow Leopard
  • 32-bit 10.7.x Lion
  • 64-bit 10.7.x Lion
  • 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
  • 64-bit 10.9.x Mavericks (there is no 32-bit version)
  • 64-bit 10.10.x Yosemite (there is no 32-bit version)
  • 64-bit 10.11.x El Capitan (there is no 32-bit version)
  • 64-bit 10.12.x Sierra (there is no 32-bit version)
Читайте также:  Служба узла служба политики диагностики грузит диск windows 10

Для тестирования фреймворка рекомендую воспользоваться готовыми образами RAM.

DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.

PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.

Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.

MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.

bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».

PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.

Анализ сетевого взаимодействия

SiLK (System for Internet-Level Knowledge) — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.

Wireshark — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).

Материал для изучения

Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого я рекомендую ознакомиться со следующими изданиями:

  • Н.Н.Федотов: Форензика – компьютерная криминалистика
  • Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
  • Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
  • Brian Carrier: File System Forensic Analysis
  • Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
  • Philip Polstra: Linux Forensics
  • Jonathan Levin: Mac OS X and iOS Internals: To the Apple’s Core
  • Ric Messier: Operating System Forensics
  • Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
  • Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
  • Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
  • Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide
Читайте также:  Windows не максимально использует оперативную память

Практические площадки

Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа, представленными на визуализированой mindmap. В качестве первых образцов для тренировки рекомендую:

Источник

Practical Forensic Imaging

Forensic image acquisition is an important part of postmortem incident response and evidence collection. Digital forensic investigators acquire, preserve, and manage digital evidence to support civil and criminal cases; examine organizational policy violations; resolve disputes; and analyze cyber attacks.

Practical Forensic Imaging takes a detailed look at how to secure and manage digital evidence using Linux-based command line tools. This essential guide walks you through the entire forensic acquisition process and covers a wide range of practical scenarios and situations ­related to the imaging of storage media.

You’ll learn how to:

  • Perform forensic imaging of magnetic hard disks, SSDs and flash drives, opti­cal discs, magnetic tapes, and legacy technologies
  • Protect attached evidence media from accidental modification
  • Manage large forensic image files, storage capacity, image format conversion, compression, splitting, duplication, secure transfer and storage, and secure ­disposal
  • Preserve and verify evidence integrity with cryptographic and piecewise hashing, public key signatures, and RFC-3161 ­timestamping
  • Work with newer drive and interface tech­nologies like NVME, SATA Express, 4K-native sector drives, SSHDs, SAS, UASP/USB3x, and Thunderbolt
  • Manage drive security such as ATA pass­words; encrypted thumb drives; Opal self-encrypting drives; OS-encrypted drives using BitLocker, FileVault, and TrueCrypt; and others
  • Acquire usable images from more complex or challenging situations such as RAID systems, virtual machine images, and damaged media

With its unique focus on digital forensic acquisition and evidence preservation, ­Practical Forensic Imaging is a valuable resource for experienced digital forensic investigators wanting to advance their Linux skills and experienced Linux administrators wanting to learn digital forensics. This is a must-have reference for every digital forensics lab.

Bruce Nikkel is the director of Cyber-Crime / IT Investigation & Forensics at a global financial institution where he has managed the IT forensics unit since 2005. He is an editor for Digital Investigation and has published ­research on various digital forensic topics. Bruce holds a PhD in network forensics.

Chapter 0: Digital Forensics Overview
Chapter 1: Storage Media Overview

Источник

Practical Forensic Imaging : Securing Digital Evidence with Linux Tools

Forensic image acquisition is an important part of postmortem incident response and evidence collection. Digital forensic investigators acquire, preserve, and manage digital evidence to support civil and criminal cases; examine organizational policy violations; resolve disputes; and analyze cyber attacks.

Practical Forensic Imaging takes a detailed look at how to secure and manage digital evidence using Linux-based command line tools. This essential guide walks you through the entire forensic acquisition process and covers a wide range of practical scenarios and situations ­related to the imaging of storage media.

You’ll learn how to:

*Perform forensic imaging of magnetic hard disks, SSDs and flash drives, opti­cal discs, magnetic tapes, and legacy technologies
*Protect attached evidence media from accidental modification
*Manage large forensic image files, storage capacity, image format conversion, compression, splitting, duplication, secure transfer and storage, and secure ­disposal
*Preserve and verify evidence integrity with cryptographic and piecewise hashing, public key signatures, and RFC-3161 ­timestamping
*Work with newer drive and interface tech­nologies like NVME, SATA Express, 4K-native sector drives, SSHDs, SAS, UASP/USB3x, and Thunderbolt
*Manage drive security such as ATA pass­words; encrypted thumb drives; Opal self-encrypting drives; OS-encrypted drives using BitLocker, FileVault, and TrueCrypt; and others
*Acquire usable images from more complex or challenging situations such as RAID systems, virtual machine images, and damaged media

With its unique focus on digital forensic acquisition and evidence preservation, ­Practical Forensic Imaging is a valuable resource for experienced digital forensic investigators wanting to advance their Linux skills and experienced Linux administrators wanting to learn digital forensics. This is a must-have reference for every digital forensics lab.

Источник

Подборка бесплатных утилит компьютерной криминалистики (форензики)

В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.

Читайте также:  Microsoft downloads remote desktop mac os

Дисковые инструменты и сбор данных

  • Arsenal Image Mounter утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
  • DumpIt утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
  • EnCase Forensic Imager утилита для создания доказательных файлов EnCase.
  • Encrypted Disk Detector утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
  • EWF MetaEditor утилита для редактирования метаданных EWF (E01).
  • FAT32 Format утилита для форматирования дисков большой емкости в FAT32.
  • Forensics Acquisition of Websites браузер, предназначенный для захвата веб-страниц для проведения расследований.
  • FTK Imager просмотр и клонирование носителей данных в среде Windows.
  • Guymager многопоточный утилита с GUI для создания образов дисков под управлением Linux.
  • Live RAM Capturer утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
  • NetworkMiner инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
  • Magnet RAM Capture утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
  • OSFClone утилита live CD/DVD/USB для создания dd или AFF образов.
  • OSFMount утилита для монитирования образов дисков, также позволяет создавать RAM-диски.

Анализ электронной почты

  • EDB Viewer утилита для просмотра файлов EDB Outlook без сервера Exchange.
  • Mail Viewer утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
  • MBOX Viewer утилита для просмотра электронных писем и вложений MBOX.
  • OST Viewer утилита для просмотра файлов OST Outlook без сервера Exchange.
  • PST Viewer утилита для просмотра файлов PST Outlook без сервера Exchange.

Анализ файлов и данных

  • analyzeMFT утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
  • bstrings утилита поиска в двоичных данных, включая поиск регулярных выражений.
  • CapAnalysis утилита просморта PCAP.
  • Crowd Response консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
  • Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
  • DCode утилита преобразует различные типы данных в значения даты / времени.
  • Defraser утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
  • eCryptfs Parser утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
  • Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
  • ExifTool утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
  • File Identifier онлайн анализ типа файлов (более 2000).
  • Forensic Image Viewer утилита для извлечения данных из изображений.
  • Link Parser утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
  • Memoryze анализ образов RAM, включая анализ «page» файлов.
  • MetaExtractor утилита для извеления мета-информации из офисных документов и pdf.
  • Shadow Explorer утилита для просмотра и извлечения файлов из теневых копий.

Инструменты для Mac OS

  • Audit утилита для вывода аудита и журналов OS X.
  • Disk Arbitrator блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
  • FTK Imager CLI for Mac OS консольная версия для Mac OS утилиты FTK Imager.
  • IORegInfo утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
  • mac_apt утилита для работы с образами E01, DD, DMG.
  • Volafox утилита для анализа памяти в Mac OS X.

Мобильные устройства

  • iPBA2 утилита анализа резервных копий iOS.
  • iPhone Analyzer утилита анализа файловой структуры Pad, iPod и iPhone.
  • ivMeta утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
  • Rubus утилита для деконструирования резервных файлов Blackberry .ipd.
  • SAFT извлечение SMS, журналов звонков и контактов из Android устройств.

Источник

Оцените статью
© 2024 Советы по настройке компьютера