Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 22:

Наборы инструментов, помогающие при судебном анализе

Вы можете вводить хэш-таблицы в дело, щелкая на Tools/Options. Появится диалоговое окно Hash Set Organizer (Организатор хэш-таблиц), которое позволит вам импортировать хэш-таблицы, если вы выбирете Import Hashkeeper Sets (Импортировать хэш-таблицу). Отличное место для загрузки хэш-таблиц находится на сайте http://www.hashkeeper.org.


Примечание. Во время публикации этой книги hashkeeper.org был отключен с сообщением, извещающим о том, что он будет снова включен в будущем.

Новая функция в EnCase (версия 3) дает возможность рассматривать файлы, которые могут содержать более углубленную информацию. Например, файлы системного реестра Windows являются закрытыми файлами (собственность компании), для адекватного анализа которых по существу требуется выполняющаяся первоначальная система. EnCase может теперь автономно рассматривать файлы системного реестра, что реально экономит время и энергию аналитика. Файлы системного реестра обычно располагаются в каталоге system32\config. После того, как файл системного реестра найден, правой кнопкой мыши выбирете View File Structure (Просмотр файловой структуры), чтобы увидеть восстановленную структуру.


Мы рассматриваем структуру системного реестра для файлов hwinfo.dat и system.dat.

Системный реестр внутри EnCase принимает структуру псевдофайла; мы можем делать поиск в этой структуре и рассматривать ключи. Более глубокие ключи системного реестра действуют в EnCase как более глубокие каталоги.

The Coroner's Toolkit

Практически существует только один вариант программного обеспечения для судебного анализа, которое имеет открытые исходные коды (то есть бесплатно). Он называется - The Coroner's Toolkit или TCT. Инструмент TCT отличается от FTK и EnCase тем, что он автоматизирует анализ файловых систем Unix (UFS, FFS, EXT2 и так далее). Инструмент TCT можно выполнять на работающей системе, которая, как вы подозреваете, была взломана, или на судебном изображении, созданном с помощью dd (подробно описан в лекции "Некоммерческие наборы инструментов, предназначенные для судебного дублирования" ).

Инструмент TCT можно загрузить с сайтов, принадлежащих его авторам (Dan Farmer и Wietse Venema), а именно, http://www.fish.com/forensics/ или http://www.porcupine.org/forensics/.

Внимание. При работе с TCT требуется лучшее понимание компьютерной криминалистики, чем при работе с EnCase или FTK.
Реализация

После загрузки инструмента TCT распакуйте его и введите каталог, который он создает. Находясь в каталоге TCT, наберите следующую команду, чтобы скомпилировать пакет.

forensics# make

По окончании компиляции перечисленные здесь инструментальные средства будут доступны в каталоге bin или в lazarus. В эти каталоги включено много инструментальных средств, но здесь мы не будем рассматривать все. За деталями обратитесь к документации в каталоге doc.

  • Graverobber. Утилита graverobber автоматизирует большинство команд, которые обсуждались в лекции "Создание и использование комплекта инструментов "живого ответа" для Unix" . Когда она выполняется в "живом" режиме, то собирает всю информацию о состоянии процессов, сетевых подключениях и параметрах, и важные системные файлы конфигурации. graverobber можно также вызвать для выполнения автономного анализа. Если вы создали изображение нужного вам жесткого диска с помощью dd, то graverobber сможет его проанализировать.
  • Mactime. Утилита mactime получает время последнего обращения к файловой системе и ее модификации, а также время ctimes (последняя модификация файловой структуры такого типа, как права доступа к файлу). Утилиту mactime можно вызвать напрямую, или выполнять, как часть анализа, который выполняется утилитой graverobber.
  • Unrm. Утилита unrm выгружает нераспределенное пространство из изображения, созданного инструментом dd. По умолчанию данные посылаются на экран, но обычно их переадресовывают в файл, используя оператор ">".
  • Lazarus. Утилита lazarus собирает детали расследования судебной копии. Она содержит инструментальные средства, с помощью которых можно попытаться реконструировать удаленные файлы. lazarus обычно вызывается для обработки набора данных, созданных утилитой unrm, построения HTML-отчета о файлах, которые она попыталась восстановить.

В следующих разделах обсуждаются эти инструментальные средства.

Сергей Хлюкин
Сергей Хлюкин
Россия, Москва, Московский Государственный Открытый Университет, 2007
Игорь Касаткин
Игорь Касаткин
Россия, Москва