So sah eine der Visitenkarten von Igor Mikhailov, einem Spezialisten im Labor für Computerforensik Group-IB, aus. Darauf befinden sich die Hardwareschlüssel der Programme, die der Experte bei der Durchführung forensischer Untersuchungen verwendet hat. Allein die Kosten für diese Softwareprodukte übersteigen 2 Millionen Rubel, und es gibt immer noch freie Software und andere kommerzielle Produkte. Welche Werkzeuge für die Arbeit wählen? Speziell für Habr-Leser entschied sich Igor Mikhailov, über die beste Software und Hardware für die Computerforensik zu sprechen.
Der Autor ist Igor Mikhailov, Spezialist im Labor für Computerforensik Gruppe-IB.
Koffer des Cyberkriminellen
Die Computerforensik untersucht eine Vielzahl digitaler Geräte und Datenquellen. Im Laufe der Forschung können sowohl Software als auch Hardware verwendet werden - viele davon sind teuer. Nicht jedes Unternehmen, geschweige denn ein einzelner Spezialist, kann sich solche Kosten leisten. Bei Group-IB sparen wir keine Tools, mit denen wir effizient und effizient forschen können.
Natürlich unterscheidet sich die Liste der Programme in meinem Ranking von der globalen. Dies ist sowohl auf regionale Besonderheiten zurückzuführen - zum Beispiel können einige ausländische Programme keine Daten von russischen Boten extrahieren, und im Allgemeinen sind sie nicht mit der russischen Sprache befreundet (bei Suchaufgaben) - als auch auf Exportbeschränkungen, aufgrund derer russische Spezialisten nicht die ganze Welt nutzen können Arsenal ähnlicher Werkzeuge.
Mobile Forensik, Hardware
Cellebrite UFED Touch 2 ist ein Produkt, das ursprünglich für den Feldeinsatz entwickelt wurde. Konzeptionell in zwei Teile unterteilt:
· Cellebrite UFED Touch 2-Tablet (oder UFED 4PC - ein Software-Analogon von Cellebrite UFED Touch 2, das auf einem Computer oder Laptop eines Spezialisten installiert ist): Wird nur zur Datenextraktion verwendet
· UFED Physical Analyzer - ein Softwareteil zur Analyse von Daten, die von mobilen Geräten extrahiert wurden.
Das Konzept der Verwendung des Geräts setzt voraus, dass ein Spezialist mit Cellebrite UFED Touch 2 Daten vor Ort extrahiert und diese dann im Labor mit dem UFED Physical Analyzer analysiert. Dementsprechend handelt es sich bei der Laborversion um zwei unabhängige Softwareprodukte - UFED 4PC und UFED Physical Analyzer -, die auf dem Computer des Forschers installiert sind. Heute bietet dieser Komplex die Datenextraktion von möglichst vielen Mobilgeräten. Während der Analyse kann ein Teil der Daten durch das UFED Physical Analyzer-Programm verloren gehen. Dies liegt daran, dass in neuen Versionen des Programms regelmäßig alte Fehler auftauchen, die behoben zu sein scheinen, aber dann aus irgendeinem Grund wieder auftreten. Daher wird empfohlen, die Vollständigkeit der vom UFED Physical Analyzer-Programm durchgeführten Datenanalyse zu kontrollieren.
MSAB XRY / MSAB XRY Field ist ein Analogon von Cellebrite-Produkten, die von der schwedischen Firma Micro Systemation entwickelt wurden. Im Gegensatz zum Cellebrite-Paradigma schlägt Micro Systemation vor, dass ihre Produkte in den meisten Fällen auf Desktop-Computern oder Laptops verwendet werden. Ein USB-Hub der Marke, der im Slang als „Puck“ bezeichnet wird, und ein Satz Adapter und Datenkabel zum Anschließen verschiedener mobiler Geräte sind an das verkaufte Produkt angeschlossen. Das Unternehmen bietet auch Versionen von
MSAB XRY Field und
MSAB XRY Kiosk an - Hardwareprodukte zum Extrahieren von Daten von Mobilgeräten, die in Form eines Tablets und eines Kiosks implementiert sind. Dieses Produkt ist in Russland weniger verbreitet als Cellebrite-Produkte. MSAB XRY hat sich beim Abrufen von Daten von älteren Mobilgeräten bewährt.
Ab einem bestimmten Moment wurden Hardwarelösungen für Chip-Off (eine Methode zum direkten Extrahieren von Daten aus Speicherchips mobiler Geräte), die von der polnischen Firma
Rusolut entwickelt wurden, immer beliebter . Mit diesem Gerät können Sie Daten von beschädigten Mobilgeräten oder von Geräten abrufen, die mit einem PIN-Code oder einem Grafikkennwort gesperrt sind. Rusolut bietet verschiedene Adaptersätze zum Extrahieren von Daten aus bestimmten Modellen mobiler Geräte an. Zum Beispiel eine Reihe von Adaptern zum Extrahieren von Daten aus Speicherchips, die hauptsächlich in "chinesischen Telefonen" verwendet werden. Die weit verbreitete Verwendung der Verschlüsselung von Benutzerdaten in Topmodellen durch Hersteller mobiler Geräte hat jedoch dazu geführt, dass diese Geräte allmählich an Relevanz verlieren. Es ist möglich, Daten aus dem Speicherchip zu extrahieren, diese werden jedoch in verschlüsselter Form vorliegen, und ihre Entschlüsselung ist keine triviale Aufgabe.
Mobile Forensik, Software
Wenn Sie die Entwicklung der mobilen Forensik beobachten, können Sie leicht erkennen, dass mit der Entwicklung der Funktionalität mobiler Geräte auch Programme für deren Analyse entwickelt wurden. Wenn die Person, die die Untersuchung durchgeführt hat, oder ein anderer Kunde früher mit Daten aus dem Telefonbuch, SMS, MMS, Anrufen, Grafik- und Videodateien zufrieden war, wird der Spezialist jetzt gebeten, weitere Daten zu extrahieren. Darüber hinaus müssen Sie in der Regel Folgendes extrahieren:
- Daten aus Messaging-Programmen
- E-Mail
- Browserverlauf im Internet
- Geolokalisierungsdaten
- gelöschte Dateien und andere gelöschte Informationen
Und diese Liste wird ständig erweitert. Alle diese Arten von Artefakten können mit der unten beschriebenen Software extrahiert werden.
Oxygen Forensic Suite : Heute ist es eines der besten Programme zur Analyse von Daten, die von Mobilgeräten extrahiert wurden. Wenn Sie die maximale Datenmenge von einem mobilen Gerät extrahieren möchten, verwenden Sie dieses Programm. Mit den integrierten Viewern von SQLite-Datenbanken und Plist-Dateien können Sie bestimmte SQLite-Datenbanken und Plist-Dateien manuell genauer untersuchen.
Ursprünglich wurde das Programm für die Verwendung auf Computern entwickelt, sodass die Verwendung auf einem Netbook oder Tablet (Geräte mit einer Bildschirmgröße von 13 Zoll oder weniger) unangenehm ist.
Ein Merkmal des Programms ist die enge Bindung der Pfade, auf denen sich die Dateien befinden - Anwendungsdatenbanken. Das heißt, wenn die Datenbankstruktur einer Anwendung dieselbe bleibt, sich jedoch die Art und Weise, wie sich die Datenbank auf dem mobilen Gerät befindet, geändert hat, überspringt Oxygen Forensic Suite eine solche Datenbank einfach während der Analyse. Daher muss das Studium solcher Datenbanken manuell unter Verwendung der Dateidatei der „Oxygen Forensic Suite“ und der Hilfsdienstprogramme durchgeführt werden.
Die Ergebnisse einer Studie eines mobilen Geräts im Programm Oxygen Forensic Suite:
Der Trend der letzten Jahre ist das "Mischen" der Funktionalität von Programmen. Hersteller, die traditionell Programme für die mobile Forensik entwickeln, führen Funktionen in ihre Produkte ein, mit denen sie Festplatten untersuchen können. Hersteller von forensischen Programmen, die sich auf das Studium von Festplatten konzentrieren, ergänzen die für das Studium mobiler Geräte erforderlichen Funktionen. Beide fügen Funktionen zum Extrahieren von Daten aus dem Cloud-Speicher usw. hinzu. Das Ergebnis sind universelle „Kombinationsprogramme“, mit denen Sie mobile Geräte analysieren, Festplatten analysieren, Daten aus dem Cloud-Speicher extrahieren und Daten aus all diesen Quellen analysieren können.
In unserer Rangliste der Programme für mobile Forensik belegen solche Programme die folgenden zwei Plätze:
Magnet AXIOM - das Programm des kanadischen Unternehmens Magnet Forensics und
Belkasoft Evidence Center - die Entwicklung des St. Petersburger Unternehmens Belkasoft. Diese Programme sind hinsichtlich ihrer Funktionalität beim Extrahieren von Daten von mobilen Geräten natürlich der oben beschriebenen Software und Hardware unterlegen. Aber sie machen ihre Analyse gut und können verwendet werden, um die Vollständigkeit der Extraktion verschiedener Arten von Artefakten zu kontrollieren. Beide Programme entwickeln ihre Funktionalität im Bereich der Mobilgeräteforschung aktiv weiter und erweitern sie rasch.
Auswahlfenster für mobile AXIOM-Datenquellen:
Ergebnisse einer Studie eines mobilen Geräts durch das Belkasoft Evidence Center:
Computerforensik, Hardware-Aufzeichnungssperren
Tableau T35U ist ein
Tableau- Hardwareblocker, mit dem Sie die untersuchten Festplatten über USB3 sicher an den Computer des Forschers anschließen können. Dieses Schloss verfügt über Anschlüsse, über die Sie Festplatten über IDE- und SATA-Schnittstellen (und, falls Adapter vorhanden sind, Festplatten mit anderen Schnittstellentypen) daran anschließen können. Ein Merkmal dieses Blockers ist die Fähigkeit, Lese- / Schreiboperationen zu emulieren. Dies kann hilfreich sein, wenn Sie mit Malware infizierte Laufwerke untersuchen.
Wiebitech Forensic UltraDock v5 ist ein CRU-Hardwareblocker. Hat eine ähnliche Funktionalität wie der Tableau T35U-Blocker. Darüber hinaus kann diese Sperre über eine größere Anzahl von Schnittstellen mit dem Computer eines Forschers gekoppelt werden (zusätzlich zu USB3 ist auch eine Kopplung über eSATA- und FireWire-Schnittstellen verfügbar). Wenn eine Festplatte an diese Sperre angeschlossen ist, deren Zugriff durch das ATA-Kennwort eingeschränkt ist, wird auf dem Display der Sperre eine Meldung angezeigt. Wenn eine Festplatte mit einer DCO-Technologiezone (Device Configuration Overlay) angeschlossen ist, wird diese Zone automatisch entsperrt, damit ein Spezialist die darin enthaltenen Daten kopieren kann.
Beide Aufnahmesperren verwenden die USB3-Busverbindung als Hauptverbindung, die dem Forscher komfortable Arbeitsbedingungen beim Klonen und Analysieren von Speichermedien bietet.
Computerforensik, Software
Alte Männer für ungewöhnliche Situationen
Vor 15 Jahren waren
Encase Forensics und
AccessData FTK die unbestrittenen
Marktführer für Computerkompetenz. Ihre Funktionalität ergänzte sich natürlich und ermöglichte es, die maximale Anzahl verschiedener Arten von Artefakten aus den untersuchten Geräten zu extrahieren. Heutzutage sind diese Projekte Außenseiter des Marktes. Die aktuelle Funktionalität von Encase Forensics bleibt weit hinter den heutigen Softwareanforderungen für die Untersuchung von Computern und Servern unter Windows zurück. Die Verwendung von Encase Forensics bleibt in „nicht standardmäßigen“ Fällen relevant: Wenn Sie Computer mit Mac OS OC oder einen Server mit Linux untersuchen müssen, extrahieren Sie Daten aus seltenen Dateiformaten. Die in Encase Forensics integrierte Makrosprache von Ensripts enthält eine große Bibliothek vorgefertigter Skripte, die vom Hersteller und von Enthusiasten implementiert wurden. Mit ihnen kann eine große Anzahl verschiedener Betriebssysteme und Dateisysteme analysiert werden.
AccessData FTK versucht, die Funktionalität des Produkts auf dem erforderlichen Niveau zu halten, aber die Verarbeitungszeit für die Laufwerke übersteigt die angemessene Zeit, die sich ein durchschnittlicher Spezialist für eine solche Studie leisten kann, erheblich.
Funktionen AccessData FTK:
- sehr hochwertige Keyword-Suche
- Analyse verschiedener Fälle, um Beziehungen in Geräten zu identifizieren, die für verschiedene Fälle beschlagnahmt wurden
- die Möglichkeit, die Programmoberfläche für sich selbst anzupassen
- Unterstützung für seltene Dateiformate (wie Lotus Notes-Datenbanken)
Sowohl Encase Forensics als auch AccessData FTK können riesige Mengen an Rohdaten verarbeiten, die in Hunderten von Terabyte gemessen werden.
Jung und wachsend
Der unbestrittene Marktführer in der Computerforensik ist
Magnet Axiom . Das Programm entwickelt sich nicht nur schrittweise weiter, sondern deckt ganze Segmente mit zusätzlichen Funktionen ab: Recherche zu Mobilgeräten, Abrufen aus dem Cloud-Speicher, Recherche zu Geräten, auf denen das MacOS-Betriebssystem ausgeführt wird, und so weiter. Das Programm verfügt über eine praktische und funktionale Oberfläche, in der alles zur Hand ist, und kann zur Untersuchung von Informationssicherheitsvorfällen im Zusammenhang mit Malware-Infektionen auf Computern oder Mobilgeräten oder Datenlecks verwendet werden.
Das russische Analogon von Magnet AXIOM ist das
Belkasoft Evidence Center . Mit dem Belkasoft Evidence Center können Sie Daten von Mobilgeräten, Cloud-Speicher und Festplatten extrahieren und analysieren. Bei der Analyse von Festplatten können Daten aus Webbrowsern, Chats, Informationen zu Cloud-Diensten extrahiert, verschlüsselte Dateien und Partitionen erkannt, Dateien mit einer bestimmten Erweiterung, Geolokalisierungsdaten, E-Mails, Daten aus Zahlungssystemen und sozialen Netzwerken, Miniaturansichten und Systemdateien extrahiert werden , Systemprotokolle und so weiter. Es verfügt über flexible anpassbare Funktionen zum Abrufen von Remote-Daten.
Vorteile des Programms:
- Eine Vielzahl von Artefakten, die von verschiedenen Speichermedien abgerufen wurden
- guter integrierter SQLite-Datenbank-Viewer
- Sammeln von Daten von Remotecomputern und Servern
- Integrierte Funktionalität zum Überprüfen erkannter Dateien auf Virustotal
Das Basisprogramm wird für einen relativ geringen Betrag verkauft. Andere Module, die die Funktionalität von Belkasoft Evidence Center erweitern, können separat erworben werden. Zusätzlich zur Grundkonfiguration wird dringend empfohlen, das Modul „Dateisysteme“ zu kaufen, ohne das die Arbeit mit den untersuchten Medien im Programm nicht immer bequem ist.
Die Nachteile des Programms sind die unbequeme Schnittstelle und die Nicht-Offensichtlichkeit der Ausführung einzelner Aktionen im Programm. Um das Programm effektiv nutzen zu können, müssen Sie eine entsprechende Schulung absolvieren.
Das Hauptfenster des Belkasoft Evidence Center-Programms, in dem Statistiken der forensischen Artefakte angezeigt werden, die bei der Untersuchung eines bestimmten Geräts gefunden wurden:
Allmählich erobert der russische Markt
X-Ways Forensics . Dieses Programm ist ein Schweizer Computerforensikmesser. Vielseitig, genau, zuverlässig und kompakt. Ein Merkmal des Programms ist die hohe Geschwindigkeit der Datenverarbeitung (im Vergleich zu anderen Programmen in dieser Kategorie) und die optimale Funktionalität, die die Grundbedürfnisse eines Spezialisten für Computerforensik abdeckt. Das Programm verfügt über einen integrierten Mechanismus, um falsch positive Ergebnisse zu minimieren. Das heißt, der Forscher sieht beim Wiederherstellen von Dateien von einer 100-GB-Festplatte nicht 1 TB wiederhergestellter Dateien (von denen die meisten falsch positive Ergebnisse sind, wie dies normalerweise bei Verwendung von Wiederherstellungsprogrammen der Fall ist), nämlich diejenigen Dateien, die tatsächlich wiederhergestellt wurden.
Mit X-Ways Forensics können Sie:
- E-Mail-Daten finden und analysieren
- Analysieren Sie den Verlauf von Webbrowsern, Windows-Betriebssystemprotokollen und anderen Systemartefakten
- Ergebnisse filtern, unnötiges loswerden, nur wertvoll und relevant lassen
- Erstellen Sie eine Zeitleiste und sehen Sie die Aktivitäten im gewünschten Zeitraum
- Raids neu erstellen (RAID)
- Mounten Sie virtuelle Festplatten
- nach Malware suchen
Dieses Programm hat sich bei der manuellen Analyse von Festplatten, die aus DVRs extrahiert wurden, sehr gut bewährt. Mit der X-Tension-Funktionalität können Module von Drittanbietern im Programm verbunden werden.
Nachteile der X-Ways-Forensik:
- asketische Schnittstelle
- Fehlen eines vollständig integrierten SQLite-Datenbank-Viewers
- Die Notwendigkeit einer eingehenden Untersuchung des Programms: Die Umsetzung bestimmter Maßnahmen, die erforderlich sind, um das für einen Spezialisten erforderliche Ergebnis zu erzielen, ist nicht immer offensichtlich
Datenwiederherstellung, Hardware
Derzeit dominiert nur ein Hersteller solcher Geräte den russischen Markt -
ACELab , das Hardware für die Analyse, Diagnose und Wiederherstellung von Festplatten herstellt (PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS). , SSD-Laufwerke (PC-3000 SSD-Komplex), Flash-Laufwerke (PC-3000 Flash-Komplex), RAID (PC-3000 Express RAID-Komplexe, PC-3000 UDMA RAID, PC-3000 SAS RAID). Die Dominanz von ACELab auf dem Markt für Hardwarelösungen zur Datenwiederherstellung beruht auf der hohen Qualität der oben genannten Produkte und der ACELab-Preispolitik, die es Wettbewerbern nicht ermöglicht, in diesen Markt einzutreten.
Datenwiederherstellung, Software
Trotz der großen Anzahl verschiedener kostenpflichtiger und kostenloser Wiederherstellungsprogramme ist es sehr schwierig, ein Programm zu finden, das verschiedene Dateitypen in einer Vielzahl von Dateisystemen korrekt und vollständig wiederherstellt. Bisher gibt es nur zwei Programme mit ungefähr derselben Funktionalität, die dies ermöglichen:
R-Studio und
UFS Explorer . Tausende von Wiederherstellungsprogrammen anderer Hersteller erreichen die angegebenen Programme in ihren Funktionsfähigkeiten entweder nicht oder sind ihnen erheblich unterlegen.
Open Source Software
Die Autopsie ist ein praktisches Tool zur Analyse von Computern, auf denen das Windows-Betriebssystem ausgeführt wird, und von Mobilgeräten, auf denen das Android-Betriebssystem ausgeführt wird. Hat eine grafische Oberfläche. Es kann zur Untersuchung von Computervorfällen verwendet werden.
Photorec ist eine der besten kostenlosen Datenwiederherstellungssoftware. Eine gute kostenlose Alternative zu bezahlten Kollegen.
Eric Zimmerman Tools - eine Reihe kostenloser Dienstprogramme, mit denen Sie jeweils ein bestimmtes Windows-Artefakt untersuchen können. Wie die Praxis gezeigt hat, erhöht der Einsatz von Eric Zimmerman Tools die Effizienz eines Spezialisten bei der Reaktion auf einen Vorfall vor Ort. Derzeit sind diese Dienstprogramme als Softwarepaket verfügbar - Kroll Artifact Parser and Extractor (KAPE).
Linux-basierte Distributionen
SIFT ist eine Linux-Distribution, die von der kommerziellen Organisation SANS Institute entwickelt und unterstützt wird, die sich auf die Schulung von Cybersecurity-Experten und die Untersuchung von Vorfällen spezialisiert hat. SIFT enthält eine große Anzahl aktueller Versionen kostenloser Programme, mit denen Daten aus verschiedenen Quellen extrahiert und analysiert werden können. SIFT wird im Rahmen von Unternehmensschulungen verwendet und seine Inhalte werden ständig aktualisiert.
Die Bequemlichkeit der Arbeit wird durch das spezifische Werkzeug in dieser Verteilung bestimmt, mit dem der Forscher arbeiten muss.Kali Linux ist eine einzigartige Linux-Distribution, die von Spezialisten sowohl für Sicherheitsüberprüfungen als auch für Untersuchungen verwendet wird. Im Jahr 2017 veröffentlichte Packt Publishing ein Buch von Shiva V.N. Parasram (Shiva V. N Parasram) "Digitale Forensik mit Kali Linux". Dieses Buch enthält Tipps zum Kopieren, Erforschen und Analysieren von Computern, einzelnen Laufwerken, Kopien von Daten aus dem RAM und dem Netzwerkverkehr mithilfe der in diesem Kit enthaltenen Dienstprogramme.Zusammenfassend
Diese Studie ist das Ergebnis meiner empirischen Erfahrung mit der beschriebenen Hardware und Software, die bei der forensischen Untersuchung von Computertechnologie und Mobilgeräten verwendet wird. Ich hoffe, dass die präsentierten Informationen für Spezialisten nützlich sind, die planen, Software und Hardware für die Durchführung von Computerforensik und die Untersuchung von Vorfällen zu erwerben.Group-IB weiß alles über Cyberkriminalität, erzählt aber die interessantesten Dinge.Der actionreiche Telegrammkanal (https://t.me/Group_IB) zu Informationssicherheit, Hackern und Cyberangriffen, Hacktivisten und Internetpiraten. Schrittweise Untersuchung sensationeller Cyberkriminalität, praktische Fälle mit Group-IB-Technologien und natürlich Empfehlungen, wie man vermeiden kann, im Internet Opfer zu werden.Group-IB-Fotoband auf Instagram www.instagram.com/group_ibKurznachrichten auf Twitter twitter.com/GroupIBGroup-IB ist einer der führenden Entwickler von Lösungen zur Erkennung und Verhinderung von Cyberangriffen, zur Aufdeckung von Betrug und zum Schutz von geistigem Eigentum in einem Hauptsitznetzwerk in Singapur.