Geekly articles weekly

Kunci untuk memulai: perangkat lunak dan perangkat keras terbaik untuk forensik komputer



Ini adalah bagaimana salah satu kartu nama Igor Mikhailov, seorang spesialis di Laboratorium Computer Forensics Group-IB, terlihat seperti sebelumnya. Di atasnya adalah kunci perangkat keras dari program yang digunakan ahli ketika melakukan pemeriksaan forensik. Biaya produk perangkat lunak ini saja melebihi 2 juta rubel, dan masih ada perangkat lunak gratis dan produk komersial lainnya. Alat apa yang harus dipilih untuk bekerja? Khusus untuk pembaca Habr, Igor Mikhailov memutuskan untuk berbicara tentang perangkat lunak dan perangkat keras terbaik untuk forensik komputer.

Penulisnya adalah Igor Mikhailov, seorang spesialis di Laboratorium Computer Forensics Group-IB.

Koper Cybercriminal


Forensik komputer meneliti beragam perangkat digital dan sumber data. Dalam perjalanan penelitian, baik perangkat lunak dan perangkat keras dapat digunakan - banyak dari mereka mahal. Tidak setiap perusahaan, apalagi spesialis perorangan, dapat membayar biaya seperti itu. Di Group-IB, kami tidak menghemat alat, yang memungkinkan kami melakukan penelitian secara efisien dan efisien.

Secara alami, daftar program dalam peringkat saya berbeda dari yang global. Hal ini disebabkan oleh keanehan regional - misalnya, beberapa program asing tidak dapat mengekstraksi data dari kurir Rusia, dan secara umum mereka tidak berteman dengan bahasa Rusia (dalam tugas pencarian) - dan pembatasan ekspor, karena itu spesialis Rusia tidak dapat menggunakan seluruh dunia Arsenal alat serupa.

Forensik seluler, perangkat keras


Cellebrite UFED Touch 2 adalah produk yang awalnya dikembangkan untuk penggunaan lapangan. Secara konseptual dibagi menjadi dua bagian:
· Tablet Branded Cellebrite UFED Touch 2 (atau UFED 4PC - analog perangkat lunak dari Cellebrite UFED Touch 2 yang diinstal pada komputer atau laptop spesialis): digunakan hanya untuk ekstraksi data
· UFED Physical Analyzer - bagian perangkat lunak yang dirancang untuk menganalisis data yang diekstraksi dari perangkat seluler.

Konsep menggunakan peralatan mengasumsikan bahwa menggunakan Cellebrite UFED Touch 2, seorang spesialis mengekstrak data di lapangan, dan kemudian menganalisisnya di laboratorium menggunakan UFED Physical Analyzer. Dengan demikian, versi laboratorium adalah dua produk perangkat lunak independen - UFED 4PC dan UFED Physical Analyzer - yang diinstal pada komputer peneliti. Saat ini, kompleks ini menyediakan ekstraksi data dari sebanyak mungkin perangkat seluler. Selama analisis, bagian dari data mungkin hilang oleh program Analisis Fisik UFED. Ini karena dalam versi baru program bug lama muncul secara berkala, yang tampaknya diperbaiki, tetapi kemudian karena beberapa alasan mereka muncul kembali. Oleh karena itu, direkomendasikan untuk mengontrol kelengkapan analisis data yang dilakukan oleh program Analisis Fisik UFED.

MSAB XRY / MSAB XRY Field adalah analog dari produk Cellebrite yang dikembangkan oleh perusahaan Swedia Micro Systemation. Berbeda dengan paradigma Cellebrite, Micro Systemation menunjukkan bahwa dalam kebanyakan kasus produk mereka akan digunakan pada komputer desktop atau laptop. Hub USB bermerek, yang disebut "keping" pada slang, dan satu set adaptor dan kabel data untuk menghubungkan berbagai perangkat seluler melekat pada produk yang dijual. Perusahaan ini juga menawarkan versi MSAB XRY Field dan MSAB XRY Kiosk - produk perangkat keras yang dirancang untuk mengekstrak data dari perangkat seluler, diimplementasikan dalam bentuk tablet dan kios. Produk ini kurang umum di Rusia daripada produk Cellebrite. MSAB XRY telah membuktikan manfaatnya saat mengambil data dari perangkat seluler lawas.

Dari saat tertentu, solusi perangkat keras untuk chip-off (metode ekstraksi data langsung dari chip memori perangkat seluler), yang dikembangkan oleh perusahaan Polandia Rusolut, mulai populer . Dengan menggunakan peralatan ini, Anda dapat mengambil data dari perangkat seluler yang rusak atau dari perangkat yang dikunci dengan kode PIN atau kata sandi grafis. Rusolut menawarkan beberapa perangkat adapter untuk mengekstraksi data dari model perangkat seluler tertentu. Misalnya, seperangkat adaptor untuk mengekstraksi data dari chip memori, terutama digunakan dalam "ponsel Cina". Namun, meluasnya penggunaan oleh produsen perangkat seluler untuk enkripsi data pengguna dalam model-model top telah menyebabkan fakta bahwa peralatan ini secara bertahap kehilangan relevansinya. Dimungkinkan untuk mengekstrak data dari chip memori, tetapi itu akan dalam bentuk terenkripsi, dan dekripsi mereka adalah tugas yang tidak sepele.

Forensik seluler, perangkat lunak


Menyaksikan perkembangan forensik seluler, Anda dapat dengan mudah melihat bahwa seiring fungsionalitas perangkat seluler yang dikembangkan, program untuk analisisnya juga dikembangkan. Jika sebelumnya orang yang melakukan penyelidikan, atau pelanggan lain, puas dengan data dari buku telepon, SMS, MMS, panggilan, file grafik dan video, sekarang spesialis diminta untuk mengekstraksi lebih banyak data. Selain yang di atas, sebagai aturan, Anda perlu mengekstrak:

  • data dari program perpesanan
  • email
  • Riwayat penelusuran internet
  • data geolokasi
  • file yang dihapus dan informasi lainnya yang dihapus

Dan daftar ini terus berkembang. Semua jenis artefak ini dapat diekstraksi dengan perangkat lunak yang dijelaskan di bawah ini.

Suite Oksigen Forensik : hari ini adalah salah satu program terbaik untuk menganalisis data yang diekstraksi dari perangkat seluler. Jika Anda ingin mengekstraksi jumlah maksimum data dari perangkat seluler, gunakan program ini. Penampil terintegrasi dari database SQLite dan file plist memungkinkan Anda untuk lebih teliti memeriksa database SQLite spesifik dan file plist secara manual.

Awalnya, program ini dikembangkan untuk digunakan di komputer, jadi menggunakannya di netbook atau tablet (perangkat dengan ukuran layar 13 inci atau kurang) akan terasa tidak nyaman.

Fitur dari program ini adalah pengikatan yang ketat dari jalur di mana file berada - basis data aplikasi. Yaitu, jika struktur database aplikasi tetap sama, tetapi cara database terletak di perangkat seluler telah berubah, Oxygen Forensic Suite hanya akan melewatkan database seperti itu selama analisis. Oleh karena itu, studi tentang basis data tersebut harus dilakukan secara manual, menggunakan file file "Oxygen Forensic Suite" dan utilitas tambahan.

Hasil studi perangkat seluler dalam program Oxygen Forensic Suite:


Kecenderungan beberapa tahun terakhir adalah "pencampuran" fungsionalitas program. Jadi, pabrikan yang secara tradisional terlibat dalam pengembangan program forensik seluler memperkenalkan fungsionalitas ke dalam produk mereka yang memungkinkan mereka menyelidiki hard drive. Produsen program forensik berfokus pada studi hard drive, menambah fungsionalitas yang diperlukan untuk studi perangkat mobile. Keduanya menambah fungsionalitas untuk mengekstrak data dari penyimpanan cloud dan sebagainya. Hasilnya adalah "program gabungan" universal, yang dengannya Anda dapat menganalisis perangkat seluler, menganalisis hard disk, mengekstrak data dari penyimpanan cloud, dan menganalisis data yang diekstraksi dari semua sumber ini.

Dalam peringkat program kami untuk forensik seluler, program tersebut menempati dua tempat berikut: Magnet AXIOM - program Magnet Forensik perusahaan Kanada, dan Pusat Bukti Belkasoft - pengembangan perusahaan Belkasoft St. Petersburg. Program-program ini, dalam hal fungsinya dalam mengekstraksi data dari perangkat seluler, tentu saja lebih rendah daripada perangkat lunak dan perangkat keras yang dijelaskan di atas. Tetapi mereka melakukan analisisnya dengan baik dan dapat digunakan untuk mengontrol kelengkapan ekstraksi berbagai jenis artefak. Kedua program secara aktif mengembangkan dan dengan cepat meningkatkan fungsionalitasnya di bidang penelitian perangkat seluler.

Jendela pemilihan sumber data seluler AXIOM:



Hasil studi perangkat seluler oleh Belkasoft Evidence Center:


Forensik komputer, kunci rekaman perangkat keras


Tableau T35U adalah pemblokir perangkat keras tablo yang memungkinkan Anda untuk menghubungkan hard drive yang dipelajari dengan aman ke komputer peneliti melalui USB3. Kunci ini memiliki konektor yang memungkinkan Anda menghubungkan hard drive melalui antarmuka IDE dan SATA (dan, jika ada adaptor, hard drive dengan jenis antarmuka lainnya). Fitur pemblokir ini adalah kemampuan untuk meniru operasi baca-tulis. Ini bisa bermanfaat saat memeriksa drive yang terinfeksi malware.

Wiebitech Forensic UltraDock v5 adalah pemblokir perangkat keras CRU. Memiliki fungsi yang mirip dengan Tableau T35U blocker. Selain itu, kunci ini dapat dipasangkan dengan komputer peneliti melalui sejumlah besar antarmuka (selain USB3, pemasangan melalui antarmuka eSATA dan FireWire juga tersedia). Jika hard drive terhubung ke kunci ini, akses yang dibatasi oleh kata sandi ATA, sebuah pesan akan muncul pada tampilan kunci. Selain itu, ketika hard drive dengan zona teknologi DCO (Device Configuration Overlay) terhubung, zona ini akan dibuka secara otomatis sehingga spesialis dapat menyalin data di dalamnya.

Kedua kunci rekaman menggunakan koneksi bus USB3 sebagai koneksi utama, yang menyediakan kondisi kerja yang nyaman bagi peneliti saat mengkloning dan menganalisis media penyimpanan.

Forensik komputer, perangkat lunak


Orang tua untuk situasi yang tidak biasa


15 tahun yang lalu, para pemimpin keahlian komputer yang tak perlu dipersoalkan adalah Encase Forensics dan AccessData FTK . Fungsionalitas mereka saling melengkapi dan memungkinkan untuk mengekstraksi jumlah maksimum berbagai jenis artefak dari perangkat yang diteliti. Hari-hari ini, proyek-proyek ini adalah orang luar pasar. Fungsi saat ini dari Encase Forensics jauh tertinggal dari persyaratan perangkat lunak saat ini untuk meneliti komputer dan server yang menjalankan Windows. Menggunakan Encase Forensics tetap relevan dalam kasus "non-standar": ketika Anda perlu memeriksa komputer yang menjalankan Mac OS OC atau server yang menjalankan Linux, ekstrak data dari format file yang langka. Ensripts bahasa makro yang terintegrasi dalam Encase Forensics berisi pustaka besar skrip yang sudah jadi yang diimplementasikan oleh pabrikan dan penggemar: dengan menggunakannya, dimungkinkan untuk menganalisis sejumlah besar sistem operasi dan file yang berbeda.

AccessData FTK mencoba mempertahankan fungsionalitas produk pada tingkat yang disyaratkan, tetapi waktu pemrosesan untuk drive secara signifikan melebihi jumlah waktu yang wajar yang dapat dihabiskan oleh spesialis rata-rata untuk studi tersebut.

Fitur-Fitur AccessData FTK:

  • pencarian kata kunci tingkat sangat tinggi
  • analisis berbagai kasus, memungkinkan untuk mengidentifikasi hubungan dalam perangkat yang disita untuk berbagai kasus
  • kemampuan untuk menyesuaikan antarmuka program untuk Anda sendiri
  • dukungan untuk format file langka (seperti database Lotus Notes)

Encase Forensics dan AccessData FTK dapat menangani data mentah dalam jumlah besar, diukur dalam ratusan terabyte.

Muda dan tumbuh


Pemimpin yang tak perlu dalam bidang forensik komputer adalah Magnet Axiom . Program ini tidak hanya berkembang secara bertahap, tetapi mencakup seluruh segmen dengan fungsi tambahan: penelitian pada perangkat seluler, pengambilan dari penyimpanan cloud, penelitian pada perangkat yang menjalankan sistem operasi MacOS, dan sebagainya. Program ini memiliki antarmuka yang nyaman dan fungsional, di mana semuanya ada di tangan, dan dapat digunakan untuk menyelidiki insiden keamanan informasi yang terkait dengan infeksi malware di komputer atau perangkat seluler atau kebocoran data.

Analog Rusia dari Magnet AXIOM adalah Belkasoft Evidence Center . Belkasoft Evidence Center memungkinkan Anda untuk mengekstrak dan menganalisis data dari perangkat seluler, penyimpanan cloud, dan hard drive. Saat menganalisis hard drive, dimungkinkan untuk mengekstrak data dari browser web, obrolan, informasi tentang layanan cloud, mendeteksi file dan partisi yang dienkripsi, mengekstrak file dengan ekstensi yang diberikan, data geolokasi, email, data dari sistem pembayaran dan jejaring sosial, thumbnail, file sistem , log sistem, dan sebagainya. Ini memiliki fungsi yang dapat disesuaikan yang fleksibel untuk mengambil data jarak jauh.

Keuntungan dari program ini:

  • berbagai artefak diambil dari berbagai media penyimpanan
  • penampil basis data SQLite bawaan yang baik
  • mengumpulkan data dari komputer dan server jarak jauh
  • fungsi terintegrasi untuk memeriksa file yang terdeteksi di Virustotal

Program dasar dijual dengan jumlah yang relatif kecil. Modul lain yang memperluas fungsi Belkasoft Evidence Center dapat dibeli secara terpisah. Selain konfigurasi dasar, sangat disarankan untuk membeli modul "Sistem File", yang tanpanya bekerja dengan media yang sedang diselidiki tidak selalu nyaman dalam program ini.

Kerugian dari program ini adalah antarmuka yang tidak nyaman dan tidak jelasnya kinerja tindakan individu dalam program. Untuk menggunakan program ini secara efektif, Anda harus menjalani pelatihan yang sesuai.

Jendela utama program Belkasoft Evidence Center, yang menampilkan statistik artefak forensik yang ditemukan ketika memeriksa perangkat tertentu:


Secara bertahap, pasar Rusia menaklukkan Forensik X-Ways . Program ini adalah pisau forensik komputer Swiss. Serbaguna, akurat, andal, dan kompak. Fitur dari program ini adalah kecepatan tinggi pemrosesan data (dibandingkan dengan program lain dalam kategori ini) dan fungsionalitas optimal yang mencakup kebutuhan dasar spesialis dalam forensik komputer. Program ini memiliki mekanisme bawaan untuk meminimalkan hasil positif palsu. Artinya, peneliti, ketika memulihkan file dari hard drive 100 GB, tidak melihat 1 TB file yang dipulihkan (sebagian besar adalah hasil positif palsu, seperti yang biasanya terjadi ketika menggunakan program pemulihan), yaitu file-file yang sebenarnya dipulihkan.

Dengan Forensik X-Ways, Anda dapat:

  • temukan dan analisis data email
  • menganalisis riwayat browser web, log OS Windows dan artefak sistem lainnya
  • Saring hasil, singkirkan yang tidak perlu, biarkan hanya berharga dan relevan
  • bangun garis waktu dan lihat aktivitas di periode yang diinginkan
  • membangun kembali serangan (RAID)
  • pasang disk virtual
  • memindai malware

Program ini telah membuktikan dirinya dengan sangat baik dalam analisis manual hard drive yang diekstrak dari DVR. Dengan menggunakan fungsionalitas X-Tension, dimungkinkan untuk menghubungkan modul pihak ketiga dalam program.

Kerugian Forensik X-Ways:

  • antarmuka pertapa
  • kurangnya penampil basis data SQLite bawaan lengkap
  • perlunya studi mendalam tentang program: pelaksanaan tindakan tertentu yang diperlukan untuk mendapatkan hasil yang diperlukan untuk spesialis tidak selalu jelas

Pemulihan Data, Perangkat Keras


Saat ini, hanya satu produsen peralatan tersebut yang mendominasi pasar Rusia - ACELab , yang memproduksi perangkat keras untuk analisis, diagnostik, dan pemulihan hard drive (PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS) , Drive SSD (PC-3000 SSD complex), drive flash (PC-3000 Flash complex), RAID (PC-3000 Express RAID complexes, PC-3000 UDMA RAID, PC-3000 SAS RAID). Dominasi ACELab di pasar untuk solusi perangkat keras untuk pemulihan data adalah karena kualitas tinggi dari produk-produk di atas dan kebijakan harga ACELab, yang tidak memungkinkan pesaing untuk memasuki pasar ini.

Pemulihan Data, Perangkat Lunak


Terlepas dari sejumlah besar program pemulihan yang berbeda, baik berbayar maupun gratis, sangat sulit untuk menemukan program yang akan mengembalikan berbagai jenis file dengan benar dan sepenuhnya dalam berbagai sistem file. Sampai saat ini, hanya ada dua program yang memiliki fungsi yang kira-kira sama yang memungkinkan ini: R-Studio dan UFS Explorer . Ribuan program pemulihan dari pabrikan lain tidak mencapai program yang ditentukan dalam kemampuan fungsionalnya atau secara signifikan lebih rendah daripada mereka.

Perangkat lunak sumber terbuka



Otopsi adalah alat yang mudah untuk menganalisis komputer yang menjalankan sistem operasi Windows dan perangkat seluler yang menjalankan sistem operasi Android. Memiliki antarmuka grafis. Ini dapat digunakan dalam penyelidikan insiden komputer.

Photorec adalah salah satu perangkat lunak pemulihan data gratis terbaik. Alternatif gratis yang bagus untuk mitra berbayar.

Eric Zimmerman Tools - satu set utilitas gratis, yang masing-masing memungkinkan Anda untuk menjelajahi artefak Windows tertentu. Seperti yang telah ditunjukkan oleh praktik, penggunaan Eric Zimmerman Tools meningkatkan efisiensi spesialis dalam merespons insiden di lapangan. Saat ini, utilitas ini tersedia sebagai paket perangkat lunak - Kroll Artifact Parser and Extractor (KAPE).

Distribusi berbasis Linux



SIFT adalah distribusi Linux yang dikembangkan dan didukung oleh organisasi komersial SANS Institute, yang mengkhususkan diri dalam pelatihan para profesional cybersecurity dan investigasi insiden. SIFT berisi sejumlah besar versi program gratis saat ini yang dapat digunakan untuk mengekstrak data dari berbagai sumber dan menganalisisnya. SIFT digunakan sebagai bagian dari pelatihan perusahaan dan isinya terus diperbarui. , , .

Kali Linux – Linux-, , . 2017 «Packt Publishing» .. (Shiva V. N Parasram) «Digital Forensics with Kali Linux». , , , , , .


, . , , .

Group-IB , .

Telegram- (https://t.me/Group_IB) , , -. , Group-IB , , , .

Group-IB Instagram www.instagram.com/group_ib
Twitter twitter.com/GroupIB

Group-IB — , - .

Source: https://habr.com/ru/post/id454672/

More articles:


All Articles