Geekly articles weekly

مفتاح البداية: أفضل البرامج والأجهزة لجهاز الكمبيوتر الشرعي



هكذا بدا من قبل إحدى بطاقات العمل الخاصة بإيجور ميخائيلوف ، وهو متخصص في مجموعة مختبرات الطب الشرعي للكمبيوتر. على ذلك هي مفاتيح الأجهزة من البرامج التي يستخدمها الخبير عند إجراء فحوص الطب الشرعي. تتجاوز تكلفة منتجات البرامج هذه وحدها مليوني روبل ، ولا يزال هناك برمجيات مجانية ومنتجات تجارية أخرى. ما هي الأدوات للاختيار للعمل؟ خاصة بالنسبة لقراء هابر ، قرر إيغور ميخائيلوف التحدث عن أفضل أدوات البرمجيات والأجهزة لأدلة جنائية الكمبيوتر.

المؤلف هو إيغور ميخائيلوف ، وهو متخصص في مختبر مجموعة الأدلة الجنائية للكمبيوتر.

حقيبة Cybercriminal


يفحص الطب الشرعي للكمبيوتر مجموعة واسعة من الأجهزة الرقمية ومصادر البيانات. أثناء البحث ، يمكن استخدام كل من البرامج والأجهزة - كثير منها باهظ الثمن. لا تستطيع كل شركة ، ناهيك عن متخصص فردي ، تحمل مثل هذه النفقات. في Group-IB ، لا نوفر الأدوات ، مما يتيح لنا إجراء البحوث بكفاءة وفعالية.

بطبيعة الحال ، تختلف قائمة البرامج في التصنيف الخاص بي عن القائمة العالمية. هذا يرجع إلى كل من الخصائص الإقليمية - على سبيل المثال ، بعض البرامج الأجنبية لا يمكنها استخراج البيانات من الرسل الروس ، وبشكل عام ليسوا أصدقاء باللغة الروسية (في مهام البحث) - وقيود التصدير ، بسبب عدم قدرة المتخصصين الروس على استخدام العالم بأسره ترسانة من أدوات مماثلة.

الطب الشرعي المحمول ، والأجهزة


Cellebrite UFED Touch 2 هو منتج تم تطويره في الأصل للاستخدام الميداني. مفاهيميا مقسمة إلى جزأين:
· الكمبيوتر اللوحي ذو العلامات التجارية Cellebrite UFED Touch 2 (أو UFED 4PC - برنامج تمثيلي لـ Cellebrite UFED Touch 2 مثبت على كمبيوتر أو كمبيوتر محمول متخصص): يستخدم فقط لاستخراج البيانات
· UFED Physical Analyzer - جزء برمجي مصمم لتحليل البيانات المستخرجة من الأجهزة المحمولة.

يفترض مفهوم استخدام المعدات استخدام Cellebrite UFED Touch 2 ، وهو متخصص في استخراج البيانات في الميدان ، ثم تحليلها في المختبر باستخدام محلل UFED الفعلي. وفقًا لذلك ، فإن النسخة المختبرية عبارة عن منتجين برمجيين مستقلين - UFED 4PC و UFED Physical Analyzer - مثبتان على كمبيوتر الباحث. اليوم ، يوفر هذا المجمع استخراج البيانات من أكبر عدد ممكن من الأجهزة المحمولة. أثناء التحليل ، قد يتم فقد جزء من البيانات بواسطة برنامج UFED Physical Analyzer. هذا لأنه في الإصدارات الجديدة من البرنامج ، ستظهر الأخطاء القديمة بشكل دوري ، والتي يبدو أنها ثابتة ، لكن لسبب ما ظهرت مرة أخرى. لذلك ، يوصى بالتحكم في اكتمال تحليل البيانات الذي يتم تنفيذه بواسطة برنامج UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field هو تناظرية لمنتجات Cellebrite التي طورتها الشركة السويدية Micro Systemation. على عكس نموذج Cellebrite ، تشير Micro Systemation إلى أنه في معظم الحالات ، سيتم استخدام منتجاتها على أجهزة كمبيوتر سطح المكتب أو أجهزة الكمبيوتر المحمولة. يتم توصيل لوحة وصل USB ذات علامة تجارية تسمى "عفريت" في العامية ، ومجموعة من المحولات وكابلات البيانات لتوصيل مختلف الأجهزة المحمولة بالمنتج الذي يتم بيعه. تقدم الشركة أيضًا إصدارات MSAB XRY Field و MSAB XRY Kiosk - منتجات الأجهزة المصممة لاستخراج البيانات من الأجهزة المحمولة ، والتي يتم تنفيذها في شكل جهاز لوحي وكشك. هذا المنتج أقل شيوعًا في روسيا من منتجات Cellebrite. أثبت MSAB XRY قيمته عند استرداد البيانات من الأجهزة المحمولة القديمة.

منذ لحظة معينة ، أصبحت حلول الأجهزة الخاصة بالشريحة (طريقة لاستخراج البيانات مباشرة من شرائح ذاكرة الأجهزة المحمولة) ، التي طورتها شركة Rusolut البولندية ، شائعة . باستخدام هذا الجهاز ، يمكنك استرداد البيانات من الأجهزة المحمولة التالفة أو من الأجهزة المقفلة برمز PIN أو كلمة مرور الرسم. تقدم Rusolut عدة مجموعات من المحولات لاستخراج البيانات من طرز معينة من الأجهزة المحمولة. على سبيل المثال ، مجموعة من المحولات لاستخراج البيانات من رقائق الذاكرة ، وتستخدم بشكل رئيسي في "الهواتف الصينية". ومع ذلك ، فإن الاستخدام الواسع النطاق من قبل الشركات المصنعة للأجهزة المحمولة لتشفير بيانات المستخدم في الموديلات العليا أدى إلى حقيقة أن هذا الجهاز يفقد أهميته تدريجياً. من الممكن استخراج البيانات من شريحة الذاكرة ، لكنها ستكون في صورة مشفرة ، وفك تشفيرها مهمة غير تافهة.

الطب الشرعي المحمول ، والبرمجيات


مشاهدة تطور الطب الشرعي للجوال ، يمكنك بسهولة أن ترى أنه مع تطور وظائف الأجهزة المحمولة ، تم تطوير برامج لتحليلها أيضًا. إذا كان الشخص الذي يجري التحقيق ، أو أي عميل آخر ، في وقت سابق يكتفي ببيانات من دليل الهاتف ، والرسائل القصيرة ، والرسائل المتعددة الوسائط ، والمكالمات ، وملفات الرسوم والفيديو ، فيُطلب من المتخصص الآن استخراج مزيد من البيانات. بالإضافة إلى ما سبق ، كقاعدة عامة ، تحتاج إلى استخراج:

  • البيانات من برامج المراسلة
  • البريد الإلكتروني
  • تاريخ تصفح الإنترنت
  • بيانات تحديد الموقع الجغرافي
  • الملفات المحذوفة وغيرها من المعلومات المحذوفة

وهذه القائمة تتوسع باستمرار. يمكن استخراج كل هذه الأنواع من القطع الأثرية باستخدام البرنامج الموضح أدناه.

جناح الأكسجين الشرعي : يعد اليوم أحد أفضل البرامج لتحليل البيانات المستخرجة من الأجهزة المحمولة. إذا كنت ترغب في استخراج أكبر قدر ممكن من البيانات من جهاز محمول ، استخدم هذا البرنامج. تسمح لك المشاهدون المتكاملون لقواعد بيانات SQLite وملفات plist بفحص قواعد بيانات SQLite وملفات plist بشكل أكثر دقة.

في البداية ، تم تطوير البرنامج للاستخدام على أجهزة الكمبيوتر ، لذا فإن استخدامه على جهاز كمبيوتر محمول صغير أو كمبيوتر لوحي (أجهزة بحجم شاشة 13 بوصة أو أقل) سيكون غير مريح.

إحدى ميزات البرنامج هي الربط الدقيق للمسارات التي توجد عليها الملفات - قواعد بيانات التطبيق. أي إذا بقيت بنية قاعدة البيانات للتطبيق كما هي ، لكن الطريقة التي توجد بها قاعدة البيانات في الجهاز المحمول قد تغيرت ، فإن Oxygen Forensic Suite سيتخطى ببساطة قاعدة البيانات هذه أثناء التحليل. لذلك ، يجب إجراء دراسة قواعد البيانات هذه يدويًا ، باستخدام ملف Mobile Oxygen Forensic Suite والأدوات المساعدة الإضافية.

نتائج دراسة لجهاز محمول في برنامج Oxygen Forensic Suite:


اتجاه السنوات الأخيرة هو "خلط" وظائف البرامج. لذلك ، فإن الشركات المصنعة التي تعمل تقليديا في تطوير برامج الطب الشرعي المحمول تقدم وظائف في منتجاتها والتي تتيح لها استكشاف محركات الأقراص الصلبة. يركز مصنعو برامج الطب الشرعي على دراسة محركات الأقراص الصلبة ، ويضيفون إليها الوظائف اللازمة لدراسة الأجهزة المحمولة. كلا إضافة وظائف لاستخراج البيانات من التخزين السحابية وهلم جرا. والنتيجة هي "دمج البرامج" العالمية ، والتي يمكنك من خلالها تحليل الأجهزة المحمولة ، وتحليل الأقراص الصلبة ، واستخراج البيانات من التخزين السحابي ، وتحليل البيانات المستخرجة من جميع هذه المصادر.

في تصنيفنا لبرامج الطب الشرعي المتنقلة ، تحتل هذه البرامج المكانين التاليين: Magnet AXIOM - برنامج الشركة الكندية Magnet Forensics ، ومركز Belkasoft Evidence Center - تطوير شركة St. Petersburg Petersburg Belkasoft. هذه البرامج ، من حيث وظيفتها في استخراج البيانات من الأجهزة المحمولة ، هي بالطبع أدنى من البرامج والأجهزة المذكورة أعلاه. لكنها تقوم بتحليلها بشكل جيد ويمكن استخدامها للتحكم في اكتمال استخراج أنواع مختلفة من القطع الأثرية. يعمل كلا البرنامجين على تطوير وظائفهما وزيادة نشاطهما بسرعة في مجال أبحاث الأجهزة المحمولة.

نافذة اختيار مصدر بيانات الجوال لـ AXIOM:



نتائج دراسة لجهاز محمول بواسطة مركز أدلة Belkasoft:


الطب الشرعي الكمبيوتر ، وأقفال تسجيل الأجهزة


Tableau T35U عبارة عن مانع للأجهزة اللوحية يسمح لك بتوصيل محركات الأقراص الصلبة المدروسة بأمان إلى كمبيوتر الباحث عبر USB3. يحتوي هذا القفل على موصلات تسمح لك بتوصيل محركات الأقراص الصلبة به عبر واجهات IDE و SATA (وإذا كانت هناك محولات ، محركات الأقراص الصلبة مع أنواع أخرى من الواجهات). ميزة هذا مانع هو القدرة على محاكاة عمليات القراءة والكتابة. يمكن أن يكون ذلك مفيدًا عند فحص محركات الأقراص المصابة بالبرامج الضارة.

Wiebitech Forensic UltraDock v5 عبارة عن مانع أجهزة CRU. لديه وظيفة مماثلة ل Tableau T35U مانع. بالإضافة إلى ذلك ، يمكن إقران هذا القفل بجهاز كمبيوتر الباحث عبر عدد أكبر من الواجهات (بالإضافة إلى USB3 ، يتوفر أيضًا اقتران عبر واجهات eSATA و FireWire). إذا كان القرص الصلب متصلاً بهذا القفل ، والذي يقتصر الوصول إليه بكلمة مرور ATA ، فستظهر رسالة على شاشة القفل. بالإضافة إلى ذلك ، عند توصيل محرك أقراص ثابت به منطقة تقنية DCO (تراكب تكوين الجهاز) ، سيتم إلغاء قفل هذه المنطقة تلقائيًا حتى يتمكن المتخصص من نسخ البيانات الموجودة فيها.

يستخدم كلا قفل التسجيل اتصال ناقل USB3 كاتصال رئيسي ، مما يوفر ظروف عمل مريحة للباحث عند استنساخ وتحليل وسائط التخزين.

الطب الشرعي الكمبيوتر ، والبرمجيات


الرجال كبار السن لحالات غير عادية


قبل 15 عامًا ، كان القادة بلا منازع لخبرة الكمبيوتر هم Encase Forensics و AccessData FTK . تكمل وظائفها بشكل طبيعي بعضها البعض وسمح لاستخراج أكبر عدد ممكن من أنواع مختلفة من القطع الأثرية من الأجهزة التي شملتها الدراسة. في هذه الأيام ، هذه المشاريع هي أطراف خارجية في السوق. تتخلف الوظيفة الحالية لـ Encase Forensics عن متطلبات البرامج الحالية للبحث عن أجهزة الكمبيوتر والخوادم التي تعمل بنظام Windows. يظل استخدام Encase Forensics مناسبًا في الحالات "غير القياسية": عندما تحتاج إلى فحص أجهزة الكمبيوتر التي تعمل بنظام Mac OS OC أو خادم يقوم بتشغيل Linux ، قم باستخراج البيانات من تنسيقات الملفات النادرة. تحتوي لغة ماكرو Ensripts المدمجة في Encase Forensics على مكتبة ضخمة من البرامج النصية الجاهزة التي تنفذها الشركة المصنعة والمتحمسون: باستخدامها ، يمكن تحليل عدد كبير من أنظمة التشغيل والملفات المختلفة.

يحاول AccessData FTK الحفاظ على وظائف المنتج بالمستوى المطلوب ، ولكن وقت معالجة محركات الأقراص يتجاوز بشكل كبير مقدار الوقت المعقول الذي يمكن أن يتحمله أخصائي متوسط ​​لإنفاقه على مثل هذه الدراسة.

يتميز AccessData FTK:

  • البحث عن الكلمات الرئيسية على مستوى عال جدا
  • تحليلات الحالات المختلفة ، مما يسمح بتحديد العلاقات في الأجهزة المصادرة لمختلف الحالات
  • القدرة على تخصيص واجهة البرنامج لنفسك
  • دعم تنسيقات الملفات النادرة (مثل قواعد بيانات Lotus Notes)

يمكن لكل من Encase Forensics و AccessData FTK التعامل مع كميات هائلة من البيانات الخام ، المقاسة بمئات تيرابايت.

الشباب والمتنامية


زعيم بلا منازع في الطب الشرعي الكمبيوتر هو المغناطيس اكسيوم . لا يتطور البرنامج تدريجياً فحسب ، بل يغطي قطاعات كاملة مع وظائف إضافية: البحث على الأجهزة المحمولة ، والاسترجاع من التخزين السحابي ، والبحث على الأجهزة التي تعمل بنظام التشغيل MacOS ، وهلم جرا. يحتوي البرنامج على واجهة مريحة وعملية ، حيث يكون كل شيء في متناول اليد ، ويمكن استخدامه للتحقيق في حوادث أمان المعلومات المتعلقة بإصابة البرامج الضارة على أجهزة الكمبيوتر أو الأجهزة المحمولة أو تسرب البيانات.

التماثلية الروسية لـ Magnet AXIOM هو مركز أدلة Belkasoft . يتيح لك Belkasoft Evidence Center استخراج وتحليل البيانات من الأجهزة المحمولة ووحدات التخزين السحابية والأقراص الصلبة. عند تحليل محركات الأقراص الثابتة ، يمكن استخراج البيانات من متصفحات الويب والدردشات والمعلومات حول الخدمات السحابية والكشف عن الملفات والأقسام المشفرة واستخراج الملفات بواسطة ملحق معين وبيانات تحديد الموقع الجغرافي والبريد الإلكتروني والبيانات من أنظمة الدفع والشبكات الاجتماعية والمصغرات وملفات النظام ، سجلات النظام ، وهلم جرا. لديه وظيفة تخصيص مرنة لاسترداد البيانات عن بعد.

مزايا البرنامج:

  • مجموعة واسعة من القطع الأثرية المسترجعة من وسائط التخزين المختلفة
  • جيد المدمج في قاعدة بيانات SQLite المشاهد
  • جمع البيانات من أجهزة الكمبيوتر والخوادم البعيدة
  • وظيفة متكاملة لفحص الملفات المكتشفة على Virustotal

يباع البرنامج الأساسي لكمية صغيرة نسبيا. يمكن شراء الوحدات الأخرى التي تعمل على توسيع وظائف مركز أدلة Belkasoft بشكل منفصل. بالإضافة إلى التكوين الأساسي ، يوصى بشدة بشراء وحدة "File Systems" ، والتي بدونها لا يكون العمل مع الوسائط قيد التحقيق دائمًا مناسبًا في البرنامج.

عيوب البرنامج هي واجهة غير مريحة وعدم وضوح أداء الإجراءات الفردية في البرنامج. لاستخدام البرنامج بشكل فعال ، يجب أن تخضع للتدريب المناسب.

النافذة الرئيسية لبرنامج Belkasoft Evidence Center ، الذي يعرض إحصائيات عن التحاليل الجنائية الموجودة عند فحص جهاز معين:


تدريجيا ، فإن السوق الروسي يغزو الطب الشرعي طرق X- . هذا البرنامج هو سكين الطب الشرعي الكمبيوتر السويسري. تنوعا ، دقيقة وموثوقة والمدمجة. تتمثل ميزة البرنامج في السرعة العالية لمعالجة البيانات (مقارنة مع البرامج الأخرى في هذه الفئة) والوظائف المثلى التي تغطي الاحتياجات الأساسية للمتخصص في الطب الشرعي للكمبيوتر. يحتوي البرنامج على آلية مضمنة لتقليل النتائج الإيجابية الخاطئة. بمعنى أن الباحث ، عند استعادة الملفات من قرص صلب بسعة 100 جيجابايت ، لا يرى 1 تيرابايت من الملفات المستردة (معظمها نتائج إيجابية خاطئة ، كما هو الحال عادة عند استخدام برامج الاسترداد) ، أي تلك الملفات التي تم استعادتها بالفعل.

مع X-Ways Forensics ، يمكنك:

  • العثور على وتحليل بيانات البريد الإلكتروني
  • تحليل تاريخ متصفحات الويب وسجلات نظام التشغيل ويندوز وغيرها من القطع الأثرية للنظام
  • تصفية النتائج ، والتخلص من لا لزوم لها ، وترك قيمة فقط وذات الصلة
  • بناء جدول زمني ومعرفة النشاط في فترة الاهتمام
  • إعادة بناء الغارات (RAID)
  • تحميل الأقراص الافتراضية
  • البحث عن البرامج الضارة

أثبت هذا البرنامج نجاحه في التحليل اليدوي لمحركات الأقراص الصلبة المستخرجة من مسجلات الفيديو الرقمية. باستخدام وظيفة X-Tension ، من الممكن توصيل وحدات الطرف الثالث في البرنامج.

عيوب الطب الشرعي طرق- X:

  • واجهة الزاهد
  • عدم وجود كامل المشاهد المدمج في قاعدة بيانات SQLite
  • الحاجة إلى دراسة متعمقة للبرنامج: إن تنفيذ بعض الإجراءات اللازمة للحصول على النتيجة اللازمة لأحد المتخصصين ليس واضحًا دائمًا

استعادة البيانات ، الأجهزة


حاليًا ، هناك شركة واحدة فقط من هذه المعدات تهيمن على السوق الروسية - ACELab ، التي تنتج أجهزة لتحليل وتشخيص واستعادة الأقراص الصلبة (PC-3000 Express ، PC-3000 Portable ، PC-3000 UDMA ، PC-3000 SAS) ، محركات أقراص SSD (مجمع PC-3000 SSD) ، محركات أقراص محمولة (مجمع PC-3000 Flash) ، RAID (مجمعات PC-3000 Express RAID ، PC-3000 UDMA RAID ، PC-3000 SAS RAID). ترجع هيمنة ACELab في سوق حلول الأجهزة لاستعادة البيانات إلى الجودة العالية للمنتجات المذكورة أعلاه وسياسة تسعير ACELab ، والتي لا تسمح للمنافسين بدخول هذا السوق.

استعادة البيانات ، والبرمجيات


على الرغم من العدد الكبير من برامج الاسترداد المختلفة ، المدفوعة والمجانية ، إلا أنه من الصعب للغاية العثور على برنامج يمكنه بشكل صحيح وكامل استعادة أنواع مختلفة من الملفات في مجموعة متنوعة من أنظمة الملفات. حتى الآن ، لا يوجد سوى برنامجين لهما نفس الوظيفة تقريبًا يسمحان بذلك: R-Studio و UFS Explorer . الآلاف من برامج الاسترداد من الشركات المصنعة الأخرى إما لا تصل إلى البرامج المحددة في قدراتها الوظيفية أو هي أدنى بكثير منها.

البرمجيات مفتوحة المصدر



تشريح الجثة هو أداة مناسبة لتحليل أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والأجهزة المحمولة التي تشغل نظام التشغيل Android. لديه واجهة رسومية. ويمكن استخدامه في التحقيق في حوادث الكمبيوتر.

Photorec هو واحد من أفضل برامج استعادة البيانات المجانية. بديل حر جيد للنظراء المدفوعين.

أدوات Zimmerman Eric - مجموعة من الأدوات المساعدة المجانية ، والتي تتيح لك كل منها استكشاف قطعة أثرية خاصة بنظام Windows. كما أظهرت الممارسة ، فإن استخدام أدوات Eric Zimmerman Tools يزيد من كفاءة أخصائي في الاستجابة لحادث في هذا المجال. حاليًا ، تتوفر هذه الأدوات المساعدة كحزمة برامج - Kroll Artifact Parser and Extractor (KAPE).

توزيعات تستند إلى Linux



SIFT عبارة عن توزيع لنظام Linux تم تطويره ودعمه من قبل مؤسسة SANS Institute التجارية ، والتي تتخصص في تدريب متخصصي الأمن السيبراني والتحقيق في الحوادث. يحتوي SIFT على عدد كبير من الإصدارات الحالية من البرامج المجانية التي يمكن استخدامها لاستخراج البيانات من مصادر مختلفة وتحليلها. يستخدم SIFT كجزء من تدريب الشركة ويتم تحديث محتواه باستمرار. يتم تحديد راحة العمل من خلال الأداة المحددة الموجودة في هذا التوزيع ، والتي يجب على الباحث العمل بها.

كالي لينكس- توزيع Linux فريد يستخدمه المتخصصون لإجراء تدقيق أمني ولإجراء التحقيقات. في عام 2017 ، نشرت Packt Publishing كتابًا لـ Shiva V.N. Parasram (Shiva V. N Parasram) "الطب الشرعي الرقمي مع Kali Linux". يقدم هذا الكتاب نصائح حول كيفية نسخ أجهزة الكمبيوتر ومحركات الأقراص الفردية ونسخ البيانات من ذاكرة الوصول العشوائي وحركة مرور الشبكة والبحث عنها وتحليلها باستخدام الأدوات المساعدة الموجودة في هذه المجموعة.

لتلخيص


هذه الدراسة هي نتيجة لتجربتي العملية مع الأجهزة والبرامج الموصوفة المستخدمة في التحقيق الجنائي لتكنولوجيا الكمبيوتر والأجهزة المحمولة. آمل أن تكون المعلومات المقدمة مفيدة للمتخصصين الذين يخططون لشراء البرامج والأجهزة لإجراء الطب الشرعي للكمبيوتر والتحقيق في الحوادث.

Group-IB تعرف كل شيء عن الجريمة السيبرانية ، لكنها تحكي عن الأشياء الأكثر إثارة للاهتمام.

قناة Telegram المزدحمة (https://t.me/Group_IB) حول أمن المعلومات والمتسللين والهجمات الإلكترونية وقراصنة الإنترنت وقراصنة الإنترنت. التحقيق في الجريمة السيبرانية المثيرة عن طريق الخطوات والحالات العملية باستخدام تقنيات Group-IB ، وبطبيعة الحال ، توصيات حول كيفية تجنب الوقوع ضحية على الإنترنت.

Group-IB photowire على Instagram www.instagram.com/group_ib
أخبار قصيرة على twitter twitter.com/GroupIB تعد

Group-IB واحدة من المطورين الرائدين لحلول الكشف عن الهجمات السيبرانية ومنعها واكتشاف الاحتيال وحماية الملكية الفكرية على شبكة المقر الرئيسي في سنغافورة.

Source: https://habr.com/ru/post/ar454672/

More articles:


All Articles