Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 11:

Судебные средства

Создание копий судебных свидетельств

Если вы убедились, что ваша система была атакована или взломана, то в первую очередь следует немедленно остановить атаку или ограничить риски, которым подвергается эта машина. В идеале это означает отсоединение машины от сети для проведения дальнейшего анализа. Если это невозможно, все равно желательно отключить все подозрительные системные счета, терминировать все незаконные процессы, и, возможно, заблокировать на межсетевом экране IP-адреса нарушителей, пока вы не уясните, что происходит.

После устранения непосредственной опасности необходимо сделать копии всех важных данных для просмотра в автономном режиме в соответствии с догматами надлежащего судебного анализа, сформулированными выше. Нежелательно применять ваши средства к живым данным, сделайте их полноценную копию. Для этого требуется создать образ данных, а не просто их скопировать. Нежелательно применять встроенные в операционную систему функции копирования, так как они могут изменять временные метки файлов и вставлять другую нежелательную информацию. Имеются специальные средства для получения зеркальных копий образов. К сожалению, в настоящее время не существует хорошего варианта подобных средств с открытыми исходными текстами для платформы Windows (кто-нибудь хочет включиться в хороший проект с открытыми исходными текстами для Windows?). Наиболее популярной программой для Windows является Norton Ghost компании Symantec, которая продается примерно за $50. В UNIX для этого существует прекрасная программа с открытыми исходными текстами dd, что означает дамп данных.

dd: Средство тиражирования дисков и файлов

dd

Авторы/основные контакты: Paul Rubin, David MacKenzie и Stuart Kem

Web-сайт: http://mirrors.kernel.org/gnu/fileutils/

Платформы: Большинство Linux и UNIX

Лицензия: GPL

Рассмотренная версия: Недоступна

Другие ресурсы:

Наберите man dd в командной строке.

Программу dd можно применять для буквального чтения блоков данных непосредственно с жесткого диска и создания их точных копий. Она напрямую обращается к носителю, без посредничества файловой системы, поэтому способна извлечь удаленные данные и другие вещи, которых файловая система не может видеть. Ее можно применять для создания побитных копий данных файловых систем UNIX. Поскольку UNIX трактует устройства как файлы, то можно взять весь жесткий диск и тиражировать его путем простого копирования файла устройства с помощью такого средства, как dd.

Установка dd

В большинстве операционных систем UNIX устанавливать программу dd не требуется, поскольку она является частью любой файловой системы UNIX. Наберите man dd, чтобы убедиться в ее наличии. Если по какой-то причине ее нет, можно взять ее с прилагаемого к книге компакт-диска или как часть файловых утилит GNU с приведенного выше сайта.

Применение dd

Есть два способа применения dd. Один из них - побитное копирование данных. При этом создается зеркальный образ данных на другом жестком диске или разделе диска. Другой способ - создание одного большого файла. Иногда это удобнее для целей анализа и мобильности. Для верификации можно легко вычислить хэш файла. Этот файл часто называют свидетельским, и многие судебные программы созданы для чтения данных из него.

Основной формат команды dd следующий:

dd -if=входной_файл -of=выходной_файл опции

где вместо входного файла нужно подставить копируемое устройство, вместо выходного - имя файла, в который производится копирование, а вместо опций - любые опции dd, которые вы хотите использовать. У dd много опций; в табл. 11.4 перечислены основные из них.

Таблица 11.4. Основные опции dd
Опция Описание
bs= Размер блока. Размер в байтах блока, копируемого за один раз.
count= Подсчет блоков. Сколько блоков копировать. Это полезно, если вы не хотите копировать всю файловую систему, поскольку у вас очень большой жесткий диск или раздел диска, или ограниченный объем пространства на целевом носителе
skip= Пропустить заданное число блоков, прежде чем начать копирование. Это также полезно при копировании части файловой системы.
conv= Задает любую из следующих подопций:

notrunc - не обрезать вывод при возникновении ошибки. Рекомендуется в большинстве случаев.

noerror - не останавливать чтение входного файла в случае ошибки, такой как проблемы с физическим носителем. Также рекомендуется.

sync - требует перед собой команду noerror. Если происходит ошибка, то команда sync подставит на ее место нули, сохраняя последовательную непрерывность данных.

Если вы хотите с помощью dd скопировать устройство на приводе жесткого диска /dev/hdc на другой привод жесткого диска, устройство hdd, можно воспользоваться следующей командой:

dd -if=/dev/hdc of=/dev/hdd bs=1024 conv=noerror,notrunc,sync

Эта команда копирует содержимое устройства /dev/hdc (вероятно, вашего основного жесткого диска) на устройство /dev/hdd (вероятно, ваш вторичный жесткий диск). Убедитесь, что вы понимаете, какие диски каким устройствам соответствуют. Как поясняется во врезке о программе dd, ошибка здесь может обойтись очень дорого!

Флэми Тех советует:

Будьте очень осторожны с dd!

Не проявляйте легкомыслия при использовании низкоуровневых дисковых средств, таких как dd. Одна неверная команда может легко затереть весь жесткий диск. Будьте особенно осторожны в отношении входных и выходных файлов. Если их перепутать, можно перезаписать свидетельства или сделать кое-что похуже. Не играйте с dd, если не владеете основами работы с жесткими дисками, не знаете, что такое блок и сектор. В отличие от дружественной по отношению к пользователям Windows, dd никогда не переспрашивает дважды, когда вы собираетесь сделать какую-нибудь глупость. Поэтому, как хороший портной, семь раз прочтите руководство и один раз выполните команду.

Если вы вместо тиражирования дисков хотите создать один большой свидетельский файл, примените следующую команду для копирования файла на новое устройство:

dd if=/dev/hdc of=/mnt/storage/evidence.bin

Вероятно, вы захотите смонтировать новое устройство для сохранения этого файла. Желательно, чтобы это был совершенно новый носитель, чтобы не испортить свидетельства старыми данными. Помните, что даже стертые данные проявятся при использовании этого средства. Если у вас нет чистого носителя, убедитесь, что применяемый носитель тщательно прочищен с помощью дисковой утилиты (кстати, dd имеет такую возможность, прочтите о ней в оперативной справке).

Когда все свидетельства собраны, вы готовы к их дальнейшему анализу с помощью судебного инструментария. Есть много великолепных, профессионального уровня коммерческих наборов средств. Имеются также некоторые очень хорошие свободные наборы судебных средств как для Windows, так и UNIX.

The Sleuth Kit/Autopsy Forensic Browser: Набор судебных средств для UNIX

The Sleuth Kit/Autopsy Forensic Browser

Автор/основной контакт: Brian Carrier

Web-сайт: http://www.sleuthkit.org/sleuthkit/index.php

Платформы: Большинство UNIX

Лицензия: Публичная лицензия IBM

Рассмотренная версия: 1.70

Списки почтовой рассылки:

The Sleuth Kit User's list

Общие вопросы и обсуждение Sleuth Kit. Подписка по адресу

http://lists.sourceforge.net/lists/listrinfo/sleuthkit-users

The Sleuth Kit Informer list

Ежемесячный бюллетень с новостями, советами и рекомендациями. Подписка по адресу

http://www.sleuthkit.org/informer/index.php

The Sleuth Kit Developer's list

Для вопросов и обсуждений разработчиков. Подписка по адресу

http://lists.sourceforge.net/lists/listinfo/sleuthkit-developers

The Sleuth Kit Announcement list

Список рассылки только для чтения с основными объявлениями или выпусками Sleuth Kit/Autopsy Forensic Browser. Подписка по адресу

http://lists.sourceforge.net/lists/listinfo/sleuthkit-announce

The Coroner's Toolkit (TCT) list

Информация о TCT, на котором основывается Sleuth Kit. Подписка по адресу

http://www.porcupine.org/forensics/tct.htm#mailing_list.

Sleuth Kit Брайана Карьера является собранием различных судебных средств, работающих под UNIX. Он содержит части популярного Coroner's Toolkit Дэна Фармера, равно как и вклады других людей, и предоставляет стильный Web-интерфейс на базе Autopsy Forensic Browser. Sleuth Kit предназначается для работы с файлами данных, такими как вывод дисковых утилит, аналогичных dd, и обладает широкими возможностями, фактически превосходя некоторые доступные коммерческие программы. В число ключевых функций Sleuth Kit входят:

  • Отслеживание различных дел и нескольких следователей.
  • Просмотр файлов и каталогов, которые были размещены в файловой системе или удалены из нее.
  • Доступ к низкоуровневым структурам файловой системы.
  • Генерация хронологии файловой активности.
  • Сортировка по категориям файлов и проверяемым расширениям.
  • Поиск в данных образов по ключевым словам.
  • Идентификация графических образов и создание пиктограмм.
  • Поиск в базах данных хэшей, включая судебные стандарты NIST NSRL и Hash Keeper.
  • Создание заметок следователя.
  • Генерация отчетов.
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Елена Гогонова
Елена Гогонова
Россия, Магнитогорск
Алина Архипова
Алина Архипова
Россия, г белорецк