Geekly articles weekly

Chave para o início: o melhor software e hardware para computação forense



Era assim que um dos cartões de visita de Igor Mikhailov, especialista no Laboratório de Informática Forense do Grupo-IB, era antes. Nele estão as chaves de hardware dos programas que o especialista usou ao realizar exames forenses. Só o custo desses produtos de software ultrapassa 2 milhões de rublos e ainda há software livre e outros produtos comerciais. Quais ferramentas escolher para o trabalho? Especialmente para os leitores da Habr, Igor Mikhailov decidiu falar sobre as melhores ferramentas de software e hardware para computação forense.

O autor é Igor Mikhailov, especialista no Laboratório de Computação Forense do Grupo-IB.

Mala do cibercriminoso


A computação forense examina uma ampla variedade de dispositivos digitais e fontes de dados. No decorrer da pesquisa, tanto o software quanto o hardware podem ser usados ​​- muitos deles são caros. Nem toda empresa, muito menos um especialista individual, pode arcar com essas despesas. No Grupo-IB, não economizamos em ferramentas, o que nos permite realizar pesquisas com eficiência e eficiência.

Naturalmente, a lista de programas no meu ranking é diferente da global. Isso se deve às duas peculiaridades regionais - por exemplo, alguns programas estrangeiros não conseguem extrair dados de mensageiros russos e, em geral, não são amigos do idioma russo (nas tarefas de pesquisa) - e às restrições de exportação, pelas quais especialistas russos não podem usar o mundo inteiro Arsenal de ferramentas semelhantes.

Forense móvel, hardware


O Cellebrite UFED Touch 2 é um produto originalmente desenvolvido para uso em campo. Conceitualmente dividido em duas partes:
· Tablet de marca Cellebrite UFED Touch 2 (ou UFED 4PC - análogo de software do Cellebrite UFED Touch 2 instalado em um especialista em computador ou laptop): usado apenas para extrair dados
UFED Physical Analyzer - uma parte do software projetada para analisar dados extraídos de dispositivos móveis.

O conceito de uso do equipamento pressupõe que, usando o Cellebrite UFED Touch 2, um especialista extraia dados em campo e os analise em laboratório usando o Analisador Físico UFED. Consequentemente, a versão laboratorial é de dois produtos de software independentes - UFED 4PC e UFED Physical Analyzer - instalados no computador do pesquisador. Hoje, esse complexo fornece extração de dados a partir do maior número possível de dispositivos móveis. Durante a análise, parte dos dados pode ser perdida pelo programa UFED Physical Analyzer. Isso ocorre porque nas novas versões do programa surgem periodicamente erros antigos, que parecem estar corrigidos, mas, por algum motivo, reaparecem. Portanto, recomenda-se controlar a integridade das análises de dados realizadas pelo programa UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field é um análogo dos produtos Cellebrite desenvolvidos pela empresa sueca Micro Systemation. Diferentemente do paradigma Cellebrite, a Micro Systemation sugere que, na maioria dos casos, seus produtos serão usados ​​em computadores desktop ou laptops. Um hub USB da marca, chamado de "disco" na gíria, e um conjunto de adaptadores e cabos de dados para conectar vários dispositivos móveis estão conectados ao produto que está sendo vendido. A empresa também oferece versões do MSAB XRY Field e MSAB XRY Kiosk - produtos de hardware projetados para extrair dados de dispositivos móveis, implementados na forma de um tablet e um quiosque. Este produto é menos comum na Rússia do que os produtos Cellebrite. O MSAB XRY provou seu valor ao recuperar dados de dispositivos móveis herdados.

A partir de um certo momento, as soluções de hardware para chip-off (um método de extração de dados diretamente de chips de memória de dispositivos móveis), desenvolvidas pela empresa polonesa Rusolut, começaram a ser populares . Usando este equipamento, você pode recuperar dados de dispositivos móveis danificados ou de dispositivos bloqueados com um código PIN ou senha gráfica. A Rusolut oferece vários conjuntos de adaptadores para extrair dados de determinados modelos de dispositivos móveis. Por exemplo, um conjunto de adaptadores para extrair dados de chips de memória, usados ​​principalmente em "telefones chineses". No entanto, o uso generalizado pelos fabricantes de dispositivos móveis de criptografia de dados do usuário nos principais modelos levou ao fato de que este equipamento está gradualmente perdendo relevância. É possível extrair dados do chip de memória, mas eles serão criptografados e sua descriptografia é uma tarefa não trivial.

Software forense móvel


Observando o desenvolvimento da análise forense móvel, é fácil ver que, conforme a funcionalidade dos dispositivos móveis se desenvolveu, também foram desenvolvidos programas para suas análises. Se antes a pessoa que conduzia a investigação, ou outro cliente, continha dados da lista telefônica, SMS, MMS, chamadas, arquivos gráficos e de vídeo, agora o especialista é solicitado a extrair mais dados. Além do acima, como regra, você precisa extrair:

  • dados de programas de mensagens
  • email
  • Histórico de navegação na Internet
  • dados de geolocalização
  • arquivos excluídos e outras informações excluídas

E esta lista está em constante expansão. Todos esses tipos de artefatos podem ser extraídos com o software descrito abaixo.

Oxygen Forensic Suite : hoje é um dos melhores programas para analisar dados extraídos de dispositivos móveis. Se você deseja extrair a quantidade máxima de dados de um dispositivo móvel, use este programa. Visualizadores integrados de bancos de dados SQLite e arquivos plist permitem examinar mais detalhadamente bancos de dados SQLite e arquivos plist manualmente.

Inicialmente, o programa foi desenvolvido para uso em computadores; portanto, usá-lo em um netbook ou tablet (dispositivos com tela de 13 polegadas ou menos) será desconfortável.

Um recurso do programa é a ligação rígida dos caminhos pelos quais os arquivos estão localizados - bancos de dados de aplicativos. Ou seja, se a estrutura do banco de dados de um aplicativo permanecer a mesma, mas a maneira como o banco de dados está localizado no dispositivo móvel mudou, o Oxygen Forensic Suite simplesmente ignorará esse banco de dados durante a análise. Portanto, o estudo de tais bancos de dados deverá ser feito manualmente, usando o arquivo de arquivo do “Oxygen Forensic Suite” e os utilitários auxiliares.

Os resultados de um estudo de um dispositivo móvel no programa Oxygen Forensic Suite:


A tendência dos últimos anos é a "mistura" da funcionalidade dos programas. Assim, os fabricantes tradicionalmente envolvidos no desenvolvimento de programas para análise forense móvel estão introduzindo funcionalidades em seus produtos, o que lhes permite investigar discos rígidos. Fabricantes de programas forenses focados no estudo de discos rígidos, acrescentam a eles a funcionalidade necessária para o estudo de dispositivos móveis. Ambos adicionam funcionalidade para extrair dados do armazenamento em nuvem e assim por diante. O resultado são “programas combinados” universais, com os quais você pode analisar dispositivos móveis, analisar discos rígidos, extrair dados do armazenamento na nuvem e analisar dados extraídos de todas essas fontes.

Em nosso ranking de programas para forense móvel, esses programas ocupam os dois seguintes lugares: Magnet AXIOM - o programa da empresa canadense Magnet Forensics e Belkasoft Evidence Center - o desenvolvimento da empresa de São Petersburgo Belkasoft. Esses programas, em termos de sua funcionalidade na extração de dados de dispositivos móveis, são obviamente inferiores ao software e hardware descritos acima. Mas eles fazem sua análise bem e podem ser usados ​​para controlar a integridade da extração de vários tipos de artefatos. Ambos os programas estão desenvolvendo ativamente e aumentando rapidamente sua funcionalidade no campo da pesquisa de dispositivos móveis.

Janela de seleção da fonte de dados móvel do AXIOM:



Resultados de um estudo de um dispositivo móvel pelo Belkasoft Evidence Center:


Análise forense de computadores, bloqueios de gravação de hardware


O Tableau T35U é um bloqueador de hardware do tableau que permite conectar com segurança os discos rígidos investigados ao computador do pesquisador via USB3. Esse bloqueio possui conectores que permitem conectar discos rígidos a ele por meio de interfaces IDE e SATA (e, se houver adaptadores, discos rígidos com outros tipos de interfaces). Um recurso desse bloqueador é a capacidade de emular operações de leitura e gravação. Isso pode ser útil ao examinar unidades infectadas com malware.

O Wiebitech Forensic UltraDock v5 é um bloqueador de hardware de CRU. Tem a funcionalidade semelhante ao bloqueador do Tableau T35U. Além disso, esse bloqueio pode ser emparelhado com o computador de um pesquisador por meio de um número maior de interfaces (além do USB3, o emparelhamento por meio das interfaces eSATA e FireWire também está disponível). Se um disco rígido estiver conectado a essa trava, cujo acesso é limitado pela senha ATA, uma mensagem será exibida no visor da trava. Além disso, quando um disco rígido com uma zona de tecnologia DCO (Device Configuration Overlay) estiver conectado, essa zona será desbloqueada automaticamente para que um especialista possa copiar os dados nela.

Os dois bloqueios de gravação usam a conexão de barramento USB3 como a conexão principal, o que fornece condições de trabalho confortáveis ​​para o pesquisador ao clonar e analisar a mídia de armazenamento.

Computador forense, software


Idosos para situações incomuns


Há 15 anos, os líderes incontestáveis ​​de conhecimento em informática eram o Encase Forensics e o AccessData FTK . Sua funcionalidade naturalmente se complementava e permitia extrair o número máximo de diferentes tipos de artefatos dos dispositivos estudados. Atualmente, esses projetos são pessoas de fora do mercado. A funcionalidade atual do Encase Forensics está muito aquém dos requisitos de software atuais para pesquisar computadores e servidores executando o Windows. O uso do Encase Forensics permanece relevante em casos "não padrão": quando você precisar examinar computadores executando o Mac OS OC ou um servidor executando o Linux, extraia dados de formatos de arquivo raros. A linguagem macro Ensripts incorporada ao Encase Forensics contém uma enorme biblioteca de scripts prontos implementados pelo fabricante e entusiastas: usando-os, é possível analisar um grande número de diferentes sistemas operacionais e de arquivos.

O AccessData FTK tenta manter a funcionalidade do produto no nível exigido, mas o tempo de processamento para as unidades excede significativamente a quantidade razoável de tempo que um especialista médio pode gastar em um estudo desse tipo.

Recursos AccessData FTK:

  • pesquisa de palavras-chave de nível muito alto
  • análise de vários casos, permitindo identificar relacionamentos em dispositivos apreendidos para vários casos
  • a capacidade de personalizar a interface do programa para si mesmo
  • suporte para formatos de arquivo raros (como bancos de dados Lotus Notes)

O Encase Forensics e o AccessData FTK podem lidar com grandes quantidades de dados brutos, medidos em centenas de terabytes.

Jovem e em crescimento


O líder indiscutível em computação forense é o Magnet Axiom . O programa não se desenvolve gradualmente, mas abrange segmentos inteiros com funcionalidades adicionais: pesquisa em dispositivos móveis, recuperação de armazenamento em nuvem, pesquisa em dispositivos executando o sistema operacional MacOS e assim por diante. O programa possui uma interface conveniente e funcional, onde tudo está à mão, e pode ser usado para investigar incidentes de segurança da informação relacionados à infecção por malware em computadores ou dispositivos móveis ou vazamentos de dados.

O análogo russo do Magnet AXIOM é o Belkasoft Evidence Center . O Belkasoft Evidence Center permite extrair e analisar dados de dispositivos móveis, armazenamento em nuvem e discos rígidos. Ao analisar discos rígidos, é possível extrair dados de navegadores da web, bate-papos, informações sobre serviços em nuvem, detectar arquivos e partições criptografados, extrair arquivos por uma determinada extensão, dados de geolocalização, email, dados de sistemas de pagamento e redes sociais, miniaturas, arquivos de sistema , logs do sistema e assim por diante. Possui funcionalidade personalizável flexível para recuperar dados remotos.

Vantagens do programa:

  • uma ampla variedade de artefatos recuperados de várias mídias de armazenamento
  • bom visualizador de banco de dados SQLite embutido
  • coletando dados de computadores e servidores remotos
  • funcionalidade integrada para verificar arquivos detectados no Virustotal

O programa básico é vendido por uma quantidade relativamente pequena. Outros módulos que ampliam a funcionalidade do Belkasoft Evidence Center podem ser adquiridos separadamente. Além da configuração básica, é altamente recomendável comprar o módulo "Sistemas de arquivos", sem o qual o trabalho com a mídia sob investigação nem sempre é conveniente no programa.

As desvantagens do programa são a interface inconveniente e a não-obviedade do desempenho de ações individuais no programa. Para usar o programa de maneira eficaz, você deve receber treinamento apropriado.

A janela principal do programa Belkasoft Evidence Center, que exibe estatísticas dos artefatos forenses encontrados ao examinar um dispositivo específico:


Gradualmente, o mercado russo conquista o X-Ways Forensics . Este programa é uma faca forense de computador suíça. Versátil, preciso, confiável e compacto. Um recurso do programa é a alta velocidade do processamento de dados (em comparação com outros programas nesta categoria) e a funcionalidade ideal que cobre as necessidades básicas de um especialista em computação forense. O programa possui um mecanismo interno para minimizar resultados falso-positivos. Ou seja, o pesquisador, ao recuperar arquivos de um disco rígido de 100 GB, não vê 1 TB de arquivos recuperados (a maioria dos quais são resultados falsos positivos, como geralmente ocorre no uso de programas de recuperação), a saber, os arquivos que foram realmente recuperados.

Com o X-Ways Forensics, você pode:

  • encontre e analise dados de email
  • analisar o histórico de navegadores da web, logs do sistema operacional Windows e outros artefatos do sistema
  • filtrar resultados, eliminar desnecessários, deixar apenas informações valiosas e relevantes
  • crie uma linha do tempo e veja a atividade no período de interesse
  • reconstruir invasões (RAID)
  • montar discos virtuais
  • procurar malware

Este programa comprovou-se muito bem na análise manual de discos rígidos extraídos de DVRs. Usando a funcionalidade X-Tension, é possível conectar módulos de terceiros no programa.

Desvantagens do X-Ways Forensics:

  • interface ascética
  • falta de um visualizador de banco de dados SQLite completo
  • a necessidade de um estudo aprofundado do programa: a implementação de certas ações necessárias para obter o resultado necessário para um especialista nem sempre é óbvia

Recuperação de Dados, Hardware


Atualmente, apenas um fabricante desses equipamentos domina o mercado russo - a ACELab , que produz hardware para análise, diagnóstico e recuperação de discos rígidos (PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS) , Unidades SSD (complexo SSD PC-3000), unidades flash (complexo Flash PC-3000), RAID (complexos RAID PC-3000 Express, RAID UDMA PC-3000, RAID SAS PC-3000). O domínio da ACELab no mercado de soluções de hardware para recuperação de dados se deve à alta qualidade dos produtos acima e à política de preços da ACELab, que não permite que concorrentes entrem nesse mercado.

Recuperação de Dados, Software


Apesar do grande número de programas de recuperação diferentes, pagos e gratuitos, é muito difícil encontrar um programa que restaure corretamente e totalmente vários tipos de arquivos em uma variedade de sistemas de arquivos. Até o momento, existem apenas dois programas que possuem aproximadamente a mesma funcionalidade que permite isso: R-Studio e UFS Explorer . Milhares de programas de recuperação de outros fabricantes não alcançam os programas especificados em seus recursos funcionais ou são significativamente inferiores a eles.

Software de código aberto



A autópsia é uma ferramenta conveniente para analisar computadores executando o sistema operacional Windows e dispositivos móveis executando o sistema operacional Android. Tem uma interface gráfica. Pode ser usado na investigação de incidentes com computadores.

Photorec é um dos melhores softwares gratuitos de recuperação de dados. Uma boa alternativa gratuita para contrapartes pagas.

Eric Zimmerman Tools - um conjunto de utilitários gratuitos, cada um dos quais permite explorar um artefato específico do Windows. Como a prática demonstrou, o uso de Eric Zimmerman Tools aumenta a eficiência de um especialista em responder a um incidente no campo. Atualmente, esses utilitários estão disponíveis como um pacote de software - Kroll Artifact Parser and Extractor (KAPE).

Distribuições baseadas em Linux



SIFT é uma distribuição Linux desenvolvida e suportada pela organização comercial SANS Institute, especializada no treinamento de profissionais de segurança cibernética e na investigação de incidentes. O SIFT contém um grande número de versões atuais de programas gratuitos que podem ser usados ​​para extrair dados de várias fontes e analisá-los. O SIFT é usado como parte do treinamento da empresa e seu conteúdo é constantemente atualizado. , , .

Kali Linux – Linux-, , . 2017 «Packt Publishing» .. (Shiva V. N Parasram) «Digital Forensics with Kali Linux». , , , , , .


, . , , .

Group-IB , .

Telegram- (https://t.me/Group_IB) , , -. , Group-IB , , , .

Group-IB Instagram www.instagram.com/group_ib
Twitter twitter.com/GroupIB

Group-IB — , - .

Source: https://habr.com/ru/post/pt454672/

More articles:


All Articles