Geekly articles weekly

La clé du départ: les meilleurs logiciels et matériels pour la criminalistique informatique



Voici à quoi ressemblait une des cartes de visite d'Igor Mikhailov, spécialiste du Laboratoire de criminalistique informatique Group-IB. Sur celui-ci sont les clés matérielles des programmes que l'expert a utilisé lors de la conduite des examens médico-légaux. Le coût de ces logiciels dépasse à lui seul 2 millions de roubles, et il existe encore des logiciels gratuits et d'autres produits commerciaux. Quels outils choisir pour travailler? Surtout pour les lecteurs Habr, Igor Mikhailov a décidé de parler des meilleurs logiciels et matériels pour la criminalistique informatique.

L'auteur est Igor Mikhailov, spécialiste du Laboratoire de criminalistique informatique Group-IB.

Valise du cybercriminel


L'informatique judiciaire examine une grande variĂ©tĂ© d'appareils numĂ©riques et de sources de donnĂ©es. Au cours de la recherche, des logiciels et du matĂ©riel peuvent ĂȘtre utilisĂ©s - beaucoup d'entre eux sont chers. Toutes les entreprises, et encore moins un spĂ©cialiste individuel, ne peuvent pas se permettre de telles dĂ©penses. Chez Group-IB, nous n'Ă©conomisons pas sur les outils, ce qui nous permet de mener des recherches de maniĂšre efficace et efficiente.

Naturellement, la liste des programmes de mon classement est différente de celle globale. Cela est dû à la fois aux particularités régionales - par exemple, certains programmes étrangers ne peuvent pas extraire des données des messagers russes, et en général ils ne sont pas amis avec la langue russe (dans les tùches de recherche) - et aux restrictions à l'exportation, à cause desquelles les spécialistes russes ne sont pas en mesure d'utiliser le monde entier Arsenal d'outils similaires.

Médecine légale mobile, matériel


Cellebrite UFED Touch 2 est un produit initialement développé pour une utilisation sur le terrain. Conceptuellement divisé en deux parties:
· Tablette de marque Cellebrite UFED Touch 2 (ou UFED 4PC - logiciel analogique de Cellebrite UFED Touch 2 installé sur un ordinateur ou un ordinateur portable spécialisé): utilisé uniquement pour extraire des données
· UFED Physical Analyzer - une partie logicielle conçue pour analyser les données extraites des appareils mobiles.

Le concept d'utilisation de l'Ă©quipement suppose qu'en utilisant Cellebrite UFED Touch 2, un spĂ©cialiste extrait les donnĂ©es sur le terrain, puis les analyse en laboratoire Ă  l'aide de l'analyseur physique UFED. En consĂ©quence, la version de laboratoire est deux produits logiciels indĂ©pendants - UFED 4PC et UFED Physical Analyzer - installĂ©s sur l'ordinateur du chercheur. Aujourd'hui, ce complexe permet l'extraction de donnĂ©es depuis autant d'appareils mobiles que possible. Pendant l'analyse, une partie des donnĂ©es peut ĂȘtre perdue par le programme UFED Physical Analyzer. En effet, dans les nouvelles versions du programme, d'anciens bogues apparaissent pĂ©riodiquement, qui semblent ĂȘtre corrigĂ©s, mais pour une raison quelconque, ils rĂ©apparaissent. Par consĂ©quent, il est recommandĂ© de contrĂŽler l'exhaustivitĂ© de l'analyse des donnĂ©es effectuĂ©e par le programme UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field est un analogue des produits Cellebrite dĂ©veloppĂ©s par la sociĂ©tĂ© suĂ©doise Micro Systemation. Contrairement au paradigme de Cellebrite, Micro Systemation suggĂšre que dans la plupart des cas, leurs produits seront utilisĂ©s sur des ordinateurs de bureau ou des ordinateurs portables. Un concentrateur USB de marque, appelĂ© «rondelle» sur l'argot, et un ensemble d'adaptateurs et de cĂąbles de donnĂ©es pour connecter divers appareils mobiles sont attachĂ©s au produit vendu. La sociĂ©tĂ© propose Ă©galement des versions de MSAB XRY Field et de MSAB XRY Kiosk - des produits matĂ©riels conçus pour extraire des donnĂ©es Ă  partir d'appareils mobiles, mis en Ɠuvre sous la forme d'une tablette et d'un kiosque. Ce produit est moins courant en Russie que les produits Cellebrite. MSAB XRY a fait ses preuves lors de la rĂ©cupĂ©ration de donnĂ©es Ă  partir d'appareils mobiles hĂ©ritĂ©s.

À partir d'un certain moment, les solutions matĂ©rielles pour le chip-off (une mĂ©thode d'extraction de donnĂ©es directement Ă  partir de puces de mĂ©moire d'appareils mobiles), dĂ©veloppĂ©es par la sociĂ©tĂ© polonaise Rusolut, ont commencĂ© Ă  ĂȘtre populaires . En utilisant cet Ă©quipement, vous pouvez rĂ©cupĂ©rer des donnĂ©es Ă  partir d'appareils mobiles endommagĂ©s ou d'appareils verrouillĂ©s avec un code PIN ou un mot de passe graphique. Rusolut propose plusieurs ensembles d'adaptateurs pour extraire des donnĂ©es de certains modĂšles d'appareils mobiles. Par exemple, un ensemble d'adaptateurs pour extraire des donnĂ©es de puces de mĂ©moire, principalement utilisĂ© dans les "tĂ©lĂ©phones chinois". Cependant, l'utilisation gĂ©nĂ©ralisĂ©e par les fabricants d'appareils mobiles du cryptage des donnĂ©es utilisateur dans les modĂšles haut de gamme a conduit au fait que cet Ă©quipement perd progressivement de sa pertinence. Il est possible d'extraire des donnĂ©es de la puce de mĂ©moire, mais ce sera sous forme cryptĂ©e, et leur dĂ©cryptage est une tĂąche non triviale.

Médecine légale mobile, logiciels


En observant le dĂ©veloppement de la mĂ©decine lĂ©gale mobile, vous pouvez facilement voir qu'au fur et Ă  mesure que la fonctionnalitĂ© des appareils mobiles se dĂ©veloppait, des programmes pour leur analyse se dĂ©veloppaient Ă©galement. Si auparavant la personne menant l'enquĂȘte, ou un autre client, se contentait des donnĂ©es de l'annuaire tĂ©lĂ©phonique, des SMS, des MMS, des appels, des fichiers graphiques et vidĂ©o, maintenant le spĂ©cialiste est invitĂ© Ă  extraire plus de donnĂ©es. En plus de ce qui prĂ©cĂšde, en rĂšgle gĂ©nĂ©rale, vous devez extraire:

  • donnĂ©es de programmes de messagerie
  • e-mail
  • Historique de navigation sur Internet
  • donnĂ©es de gĂ©olocalisation
  • fichiers supprimĂ©s et autres informations supprimĂ©es

Et cette liste ne cesse de s'allonger. Tous ces types d'artefacts peuvent ĂȘtre extraits avec le logiciel dĂ©crit ci-dessous.

Oxygen Forensic Suite : c'est aujourd'hui l'un des meilleurs programmes pour analyser les données extraites des appareils mobiles. Si vous souhaitez extraire la quantité maximale de données d'un appareil mobile, utilisez ce programme. Les visualiseurs intégrés des bases de données SQLite et des fichiers plist vous permettent d'examiner plus en détail des bases de données SQLite et des fichiers plist spécifiques manuellement.

Initialement, le programme a Ă©tĂ© dĂ©veloppĂ© pour ĂȘtre utilisĂ© sur des ordinateurs, donc l'utiliser sur un netbook ou une tablette (appareils avec une taille d'Ă©cran de 13 pouces ou moins) sera inconfortable.

Une caractĂ©ristique du programme est la liaison Ă©troite des chemins le long desquels les fichiers sont situĂ©s - bases de donnĂ©es d'application. Autrement dit, si la structure de la base de donnĂ©es d'une application reste la mĂȘme, mais la façon dont la base de donnĂ©es est situĂ©e dans l'appareil mobile a changĂ©, Oxygen Forensic Suite ignorera simplement une telle base de donnĂ©es pendant l'analyse. Par consĂ©quent, l'Ă©tude de ces bases de donnĂ©es devra ĂȘtre effectuĂ©e manuellement, Ă  l'aide du fichier de Mobile Oxygen Forensic Suite et des utilitaires auxiliaires.

Les résultats d'une étude d'un appareil mobile dans le programme Oxygen Forensic Suite:


La tendance de ces derniĂšres annĂ©es est le "mĂ©lange" de la fonctionnalitĂ© des programmes. Ainsi, les fabricants traditionnellement engagĂ©s dans le dĂ©veloppement de programmes pour la mĂ©decine lĂ©gale mobile introduisent des fonctionnalitĂ©s dans leurs produits qui leur permettent d'Ă©tudier les disques durs. Les fabricants de programmes mĂ©dico-lĂ©gaux axĂ©s sur l'Ă©tude des disques durs, leur ajoutent les fonctionnalitĂ©s nĂ©cessaires Ă  l'Ă©tude des appareils mobiles. Les deux ajoutent des fonctionnalitĂ©s pour extraire les donnĂ©es du stockage cloud, etc. Le rĂ©sultat est des «programmes d'abattage» polyvalents qui peuvent ĂȘtre utilisĂ©s pour analyser les appareils mobiles, analyser les disques durs, rĂ©cupĂ©rer les donnĂ©es du stockage cloud et analyser les donnĂ©es extraites de toutes ces sources.

Dans notre classement des programmes de mĂ©decine lĂ©gale mobile, ces programmes occupent les deux places suivantes: Magnet AXIOM - le programme de la sociĂ©tĂ© canadienne Magnet Forensics, et Belkasoft Evidence Center - le dĂ©veloppement de la sociĂ©tĂ© de Saint-PĂ©tersbourg Belkasoft. Ces programmes, en termes de fonctionnalitĂ© d'extraction de donnĂ©es Ă  partir d'appareils mobiles, sont bien entendu infĂ©rieurs aux logiciels et matĂ©riels dĂ©crits ci-dessus. Mais ils font bien leur analyse et peuvent ĂȘtre utilisĂ©s pour contrĂŽler l'exhaustivitĂ© de l'extraction de divers types d'artefacts. Les deux programmes dĂ©veloppent activement et augmentent rapidement leurs fonctionnalitĂ©s dans le domaine de la recherche sur les appareils mobiles.

FenĂȘtre de sĂ©lection de la source de donnĂ©es mobile AXIOM:



RĂ©sultats d'une Ă©tude d'un appareil mobile par Belkasoft Evidence Center:


Médecine légale informatique, verrous d'enregistrement matériel


Tableau T35U est un bloqueur matĂ©riel de tableau qui vous permet de connecter en toute sĂ©curitĂ© les disques durs Ă©tudiĂ©s Ă  l'ordinateur du chercheur via USB3. Ce verrou possĂšde des connecteurs qui vous permettent de connecter des disques durs via des interfaces IDE et SATA (et, s'il y a des adaptateurs, des disques durs avec d'autres types d'interfaces). Une caractĂ©ristique de ce bloqueur est la possibilitĂ© d'Ă©muler des opĂ©rations de lecture-Ă©criture. Cela peut ĂȘtre utile lors de l'examen de lecteurs infectĂ©s par des logiciels malveillants.

Wiebitech Forensic UltraDock v5 est un bloqueur matĂ©riel CRU. PossĂšde des fonctionnalitĂ©s similaires au bloqueur Tableau T35U. De plus, ce verrou peut ĂȘtre associĂ© Ă  un ordinateur de chercheur via un plus grand nombre d'interfaces (en plus de l'USB3, le couplage via les interfaces eSATA et FireWire est Ă©galement disponible). Si un disque dur est connectĂ© Ă  ce verrou, dont l'accĂšs est limitĂ© par le mot de passe ATA, un message apparaĂźtra sur l'Ă©cran du verrou. De plus, lorsqu'un disque dur avec une zone de technologie DCO (Device Configuration Overlay) est connectĂ©, cette zone sera automatiquement dĂ©verrouillĂ©e afin qu'un spĂ©cialiste puisse y copier les donnĂ©es.

Les deux verrous d'enregistrement utilisent la connexion de bus USB3 comme connexion principale, ce qui offre des conditions de travail confortables au chercheur lors du clonage et de l'analyse des supports de stockage.

Informatique légale, logiciels


Des vieillards pour des situations insolites


Il y a 15 ans, les leaders incontestĂ©s de l'expertise informatique Ă©taient Encase Forensics et AccessData FTK . Leur fonctionnalitĂ© s'est naturellement complĂ©tĂ©e et a permis d'extraire le nombre maximum de diffĂ©rents types d'artefacts des appareils Ă©tudiĂ©s. De nos jours, ces projets sont des Ă©trangers au marchĂ©. La fonctionnalitĂ© actuelle d'Encase Forensics est loin derriĂšre les exigences logicielles actuelles pour la recherche d'ordinateurs et de serveurs exĂ©cutant Windows. L'utilisation d'Encase Forensics reste pertinente dans les cas «non standard»: lorsque vous devez examiner des ordinateurs exĂ©cutant Mac OS OC ou un serveur exĂ©cutant Linux, extrayez des donnĂ©es Ă  partir de formats de fichiers rares. Le langage macro Ensripts intĂ©grĂ© Ă  Encase Forensics contient une Ă©norme bibliothĂšque de scripts prĂȘts Ă  l'emploi mis en Ɠuvre par le fabricant et les passionnĂ©s: Ă  l'aide de ceux-ci, il est possible d'analyser un grand nombre de systĂšmes d'exploitation et de fichiers diffĂ©rents.

AccessData FTK essaie de maintenir la fonctionnalité du produit au niveau requis, mais le temps de traitement des disques dépasse considérablement le temps raisonnable qu'un spécialiste moyen peut se permettre de consacrer à une telle étude.

Caractéristiques AccessData FTK:

  • recherche par mot clĂ© de trĂšs haut niveau
  • analyse de divers cas, permettant d'identifier les relations dans les appareils saisis pour divers cas
  • la possibilitĂ© de personnaliser vous-mĂȘme l'interface du programme
  • prise en charge des formats de fichiers rares (tels que les bases de donnĂ©es Lotus Notes)

Encase Forensics et AccessData FTK peuvent gérer d'énormes quantités de données brutes, mesurées en centaines de téraoctets.

Jeune et grandissant


Le leader incontestĂ© de la criminalistique informatique est Magnet Axiom . Le programme ne se dĂ©veloppe pas seulement progressivement, mais couvre des segments entiers avec des fonctionnalitĂ©s supplĂ©mentaires: recherche sur les appareils mobiles, rĂ©cupĂ©ration Ă  partir du stockage dans le cloud, recherche sur les appareils exĂ©cutant le systĂšme d'exploitation MacOS, etc. Le programme dispose d'une interface pratique et fonctionnelle dans laquelle tout est Ă  portĂ©e de main et peut ĂȘtre utilisĂ© pour enquĂȘter sur les incidents de sĂ©curitĂ© des informations liĂ©s Ă  une infection par un logiciel malveillant sur les ordinateurs ou les appareils mobiles ou sur les fuites de donnĂ©es.

L'analogue russe de Magnet AXIOM est Belkasoft Evidence Center . Belkasoft Evidence Center vous permet d'extraire et d'analyser les données des appareils mobiles, du stockage cloud et des disques durs. Lors de l'analyse des disques durs, il est possible d'extraire des données des navigateurs Web, des chats, des informations sur les services cloud, de détecter des fichiers et des partitions cryptés, d'extraire des fichiers par une extension donnée, des données de géolocalisation, des e-mails, des données des systÚmes de paiement et des réseaux sociaux, des miniatures, des fichiers systÚme , journaux systÚme, etc. Il a une fonctionnalité personnalisable flexible pour récupérer des données à distance.

Avantages du programme:

  • une large gamme d'artefacts rĂ©cupĂ©rĂ©s Ă  partir de divers supports de stockage
  • bon visualiseur de base de donnĂ©es SQLite intĂ©grĂ©
  • collecte de donnĂ©es Ă  partir d'ordinateurs et de serveurs distants
  • fonctionnalitĂ© intĂ©grĂ©e pour vĂ©rifier les fichiers dĂ©tectĂ©s sur Virustotal

Le programme de base est vendu pour un montant relativement faible. D'autres modules qui Ă©tendent les fonctionnalitĂ©s de Belkasoft Evidence Center peuvent ĂȘtre achetĂ©s sĂ©parĂ©ment. En plus de la configuration de base, il est fortement recommandĂ© d'acheter le module «SystĂšmes de fichiers», sans lequel travailler avec le support Ă©tudiĂ© n'est pas toujours pratique dans le programme.

Les inconvénients du programme sont l'interface peu pratique et la non-évidence de l'exécution des actions individuelles dans le programme. Pour utiliser le programme efficacement, vous devez suivre une formation appropriée.

La fenĂȘtre principale du programme Belkasoft Evidence Center, qui affiche des statistiques sur les artefacts mĂ©dico-lĂ©gaux trouvĂ©s lors de l'examen d'un pĂ©riphĂ©rique spĂ©cifique:


Progressivement, le marché russe conquiert X-Ways Forensics . Ce programme est un couteau suisse de médecine légale. Polyvalent, précis, fiable et compact. Une caractéristique du programme est la vitesse élevée du traitement des données (par rapport aux autres programmes de cette catégorie) et la fonctionnalité optimale qui couvre les besoins de base d'un spécialiste en informatique légale. Le programme dispose d'un mécanisme intégré pour minimiser les résultats faussement positifs. Autrement dit, le chercheur, lors de la récupération de fichiers à partir d'un disque dur de 100 Go, ne voit pas 1 To de fichiers récupérés (dont la plupart sont de faux résultats positifs, comme c'est généralement le cas lors de l'utilisation de programmes de récupération), à savoir les fichiers qui ont été réellement récupérés.

Avec X-Ways Forensics, vous pouvez:

  • rechercher et analyser les donnĂ©es de courrier Ă©lectronique
  • analyser l'historique des navigateurs Web, les journaux du systĂšme d'exploitation Windows et d'autres artefacts du systĂšme
  • filtrer les rĂ©sultats, Ă©liminer les inutiles, ne laisser que des Ă©lĂ©ments utiles et pertinents
  • construire une chronologie et voir l'activitĂ© pendant la pĂ©riode d'intĂ©rĂȘt
  • reconstruire des raids (RAID)
  • monter des disques virtuels
  • rechercher les logiciels malveillants

Ce programme a fait ses preuves dans l'analyse manuelle des disques durs extraits des DVR. En utilisant la fonctionnalité X-Tension, il est possible de connecter des modules tiers dans le programme.

Inconvénients de X-Ways Forensics:

  • interface ascĂ©tique
  • absence d'une visionneuse de base de donnĂ©es SQLite intĂ©grĂ©e complĂšte
  • la nĂ©cessitĂ© d'une Ă©tude approfondie du programme: la mise en Ɠuvre de certaines actions nĂ©cessaires pour obtenir le rĂ©sultat nĂ©cessaire Ă  un spĂ©cialiste n'est pas toujours Ă©vidente

Récupération de données, matériel


Actuellement, un seul fabricant de tels équipements domine le marché russe - ACELab , qui produit du matériel pour l'analyse, le diagnostic et la récupération des disques durs (PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS) , Disques SSD (complexe SSD PC-3000), lecteurs flash (complexe Flash PC-3000), RAID (complexes RAID PC-3000 Express, RAID UDMA PC-3000, RAID SAS PC-3000). La prédominance d'ACELab sur le marché des solutions matérielles pour la récupération de données est due à la haute qualité des produits ci-dessus et à la politique de prix d'ACELab, qui ne permet pas aux concurrents d'entrer sur ce marché.

Récupération de données, logiciel


MalgrĂ© le grand nombre de programmes de rĂ©cupĂ©ration diffĂ©rents, Ă  la fois payants et gratuits, il est trĂšs difficile de trouver un programme qui restaurerait correctement et entiĂšrement diffĂ©rents types de fichiers dans une variĂ©tĂ© de systĂšmes de fichiers. À ce jour, il n'y a que deux programmes qui ont approximativement les mĂȘmes fonctionnalitĂ©s qui permettent cela: R-Studio et UFS Explorer . Des milliers de programmes de rĂ©cupĂ©ration d'autres fabricants n'atteignent pas les programmes spĂ©cifiĂ©s dans leurs capacitĂ©s fonctionnelles ou leur sont nettement infĂ©rieurs.

Logiciels libres



L'autopsie est un outil pratique pour analyser les ordinateurs exĂ©cutant le systĂšme d'exploitation Windows et les appareils mobiles exĂ©cutant le systĂšme d'exploitation Android. PossĂšde une interface graphique. Il peut ĂȘtre utilisĂ© pour enquĂȘter sur des incidents informatiques.

Photorec est l'un des meilleurs logiciels gratuits de récupération de données. Une bonne alternative gratuite aux homologues rémunérés.

Eric Zimmerman Tools - un ensemble d'utilitaires gratuits, dont chacun vous permet d'explorer un artefact Windows particulier. Comme le montre la pratique, l'utilisation des outils Eric Zimmerman augmente l'efficacité d'un spécialiste pour répondre à un incident sur le terrain. Actuellement, ces utilitaires sont disponibles sous forme de progiciel - Kroll Artifact Parser and Extractor (KAPE).

Distributions basées sur Linux



SIFT est une distribution Linux dĂ©veloppĂ©e et soutenue par l'organisation commerciale SANS Institute, spĂ©cialisĂ©e dans la formation de professionnels de la cybersĂ©curitĂ© et dans les enquĂȘtes sur les incidents. SIFT contient un grand nombre de versions actuelles de programmes gratuits qui peuvent ĂȘtre utilisĂ©s Ă  la fois pour extraire des donnĂ©es de diverses sources et pour les analyser. SIFT est utilisĂ© dans le cadre de la formation en entreprise et son contenu est constamment mis Ă  jour. , , .

Kali Linux – Linux-, , . 2017 «Packt Publishing» .. (Shiva V. N Parasram) «Digital Forensics with Kali Linux». , , , , , .


, . , , .

Group-IB , .

Telegram- (https://t.me/Group_IB) , , -. , Group-IB , , , .

Group-IB Instagram www.instagram.com/group_ib
Twitter twitter.com/GroupIB

Group-IB — , - .

Source: https://habr.com/ru/post/fr454672/

More articles:


All Articles