这就是IB计算机鉴证实验室专家Igor Mikhailov的名片之一。 专家进行法医检查时使用的是程序的硬件密钥。 仅这些软件产品的成本就超过200万卢布,并且仍然有免费软件和其他商业产品。 选择哪些工作工具? 特别是对Habr读者来说,Igor Mikhailov决定讨论计算机取证的最佳软件和硬件工具。
作者是Igor Mikhailov,IB计算机取证小组实验室的专家。
网络罪犯的手提箱
计算机取证检查各种数字设备和数据源。 在研究过程中,可以同时使用软件和硬件-其中许多昂贵。 并非每个公司都能负担得起此类费用,更不用说单个专家了。 在Group-IB,我们不会节省工具,这使我们能够高效地进行研究。
自然,我排名中的程序列表与全球程序列表不同。 这是由于地区的特殊性(例如,某些外国程序无法从俄罗斯信使中提取数据,并且通常它们与俄语(在搜索任务中)不是朋友)以及出口限制,因此俄罗斯专家无法使用整个世界类似工具库。
移动取证,硬件
Cellebrite UFED Touch 2是最初为现场使用而开发的产品。 从概念上讲分为两部分:
·品牌平板电脑Cellebrite UFED Touch 2(或UFED 4PC-安装在计算机或笔记本电脑专家上的Cellebrite UFED Touch 2的软件类似物):仅用于提取数据
· UFED物理分析器-用于分析从移动设备提取的数据的软件部分。
使用设备的概念假设专家使用Cellebrite UFED Touch 2提取现场数据,然后在实验室中使用UFED Physical Analyzer对其进行分析。 因此,实验室版本是安装在研究人员计算机上的两个独立的软件产品-UFED 4PC和UFED Physical Analyzer。 如今,这个复杂的设备可以从尽可能多的移动设备中提取数据。 在分析过程中,UFED Physical Analyzer程序可能会丢失部分数据。 这是因为在该程序的新版本中,定期会弹出旧错误,这些旧错误似乎已修复,但由于某些原因又重新出现。 因此,建议控制由UFED Physical Analyzer程序执行的数据分析的完整性。
MSAB XRY / MSAB XRY Field是瑞典Micro Systemation公司开发的Cellebrite产品的类似物。 与Cellebrite范例不同,Micro Systemation建议在大多数情况下,其产品将在台式计算机或笔记本电脑上使用。 品牌的USB集线器(在语上称为“ puck”)以及用于连接各种移动设备的一组适配器和数据电缆已连接到所售产品。 该公司还提供
MSAB XRY Field和
MSAB XRY Kiosk版本 -旨在从移动设备提取数据的硬件产品,以平板电脑和信息亭的形式实现。 该产品在俄罗斯不如Cellebrite产品常见。 从旧的移动设备检索数据时,MSAB XRY已证明其价值。
从某个时刻
开始 ,由波兰公司
Rusolut开发的用于芯片剥离的硬件解决方案(一种直接从移动设备的存储芯片中提取数据的方法)
开始流行 。 使用此设备,您可以从损坏的移动设备或用PIN码或图形密码锁定的设备中检索数据。 Rusolut提供了几套适配器,用于从某些型号的移动设备中提取数据。 例如,一组适配器,用于从存储芯片中提取数据,主要用于“中国电话”。 但是,移动设备制造商广泛使用顶级型号的用户数据进行加密,导致该设备逐渐失去相关性。 可以从存储芯片中提取数据,但是数据将采用加密形式,并且解密是一项艰巨的任务。
手机取证软件
观察移动取证的发展情况,您可以轻松地看到,随着移动设备功能的发展,用于分析他们的程序也随之发展。 如果先前进行调查的人或另一位客户对电话簿,SMS,MMS,呼叫,图形和视频文件中的数据感到满意,那么现在请专家提取更多数据。 除上述内容外,通常还需要提取:
- 消息传递程序中的数据
- 电邮
- 互联网浏览历史
- 地理位置数据
- 删除的文件和其他删除的信息
而且这个清单还在不断扩大。 所有这些类型的伪像都可以使用下面描述的软件提取。
氧气取证套件 :今天,它是分析从移动设备提取的数据的最佳程序之一。 如果要从移动设备中提取最大数量的数据,请使用此程序。 SQLite数据库和plist文件的集成查看器使您可以更彻底地手动检查特定的SQLite数据库和plist文件。
最初,该程序是为在计算机上使用而开发的,因此在上网本或平板电脑(屏幕尺寸为13英寸或更小的设备)上使用该程序会感到不舒服。
该程序的一个特点是文件所在路径-应用程序数据库的紧密绑定。 也就是说,如果应用程序的数据库结构保持不变,但是数据库在移动设备中的放置方式发生了变化,Oxygen Forensic Suite将在分析过程中仅跳过此类数据库。 因此,必须使用“氧气法医套件”的文件文件和辅助实用程序手动进行此类数据库的研究。
氧气取证套件程序中的移动设备研究结果:
近年来的趋势是程序功能的“混合”。 因此,传统上从事移动取证程序开发的制造商正在将功能引入其产品,从而使他们能够研究硬盘驱动器。 法医程序制造商专注于硬盘研究,向他们添加了研究移动设备所需的功能。 两者都添加了从云存储中提取数据的功能,等等。 结果是通用的“组合程序”,您可以使用它们来分析移动设备,分析硬盘,从云存储中提取数据以及分析从所有这些源中提取的数据。
在我们的移动取证程序排名中,此类程序占据以下两个位置:
Magnet AXIOM-加拿大公司Magnet Forensics的程序,以及
Belkasoft证据中心 -圣彼得堡Belkasoft公司的开发。 这些程序就其从移动设备提取数据的功能而言,当然不如上述的软件和硬件。 但是它们可以很好地进行分析,并且可以用来控制各种伪像提取的完整性。 这两个程序都在移动设备研究领域中积极开发并迅速增加其功能。
AXIOM移动数据源选择窗口:
Belkasoft证据中心对移动设备进行的研究结果:
计算机取证,硬件记录锁
Tableau T35U是一个
Tableau硬件阻止程序,可让您通过USB3将研究的硬盘驱动器安全地连接到研究人员的计算机。 该锁具有连接器,可让您通过IDE和SATA接口(如果有适配器,则具有其他类型的接口的硬盘驱动器)将硬盘驱动器连接至该锁。 该阻止程序的一个功能是能够仿真读写操作。 在检查感染了恶意软件的驱动器时,这很有用。
Wiebitech法医UltraDock v5是CRU硬件阻止程序。 具有与Tableau T35U阻止程序相似的功能。 此外,此锁可以通过大量接口与研究人员的计算机配对(除了USB3,还可以通过eSATA和FireWire接口进行配对)。 如果将硬盘驱动器连接到此锁(访问权限受ATA密码限制),则锁的显示屏上将出现一条消息。 此外,当连接具有DCO(设备配置覆盖)技术区域的硬盘驱动器时,该区域将自动解锁,以便专家可以复制其中的数据。
两个记录锁均使用USB3总线连接作为主要连接,为克隆和分析存储介质时的研究人员提供了舒适的工作条件。
电脑取证,软件
老人在特殊情况下
15年前,无可争议的计算机专业领导者是
Encase Forensics和
AccessData FTK 。 它们的功能自然互补,可以从研究的设备中提取最大数量的不同类型的伪像。 这些天来,这些项目是市场的局外人。 Encase Forensics的当前功能远远落后于当今研究运行Windows的计算机和服务器的软件要求。 在“非标准”情况下,仍然可以使用Encase Forensics:当您需要检查运行Mac OS OC的计算机或运行Linux的服务器时,请从稀有文件格式中提取数据。 Encase Forensics内置的Ensripts宏语言包含由制造商和发烧友实施的庞大的现成脚本库:使用它们,可以分析大量不同的操作系统和文件系统。
AccessData FTK试图将产品的功能保持在所需的水平,但是驱动器的处理时间大大超过了普通专家可以负担的合理时间。
功能AccessData FTK:
- 高级关键字搜索
- 各种情况的分析,从而可以确定在各种情况下检出的设备中的关系
- 为自己定制程序界面的能力
- 支持稀有文件格式(例如Lotus Notes数据库)
Encase Forensics和AccessData FTK都可以处理大量的原始数据,以数百兆字节为单位。
成长中的年轻人
毫无疑问,计算机取证的领导者是
Magnet Axiom 。 该程序不仅会逐步开发,而且还会覆盖具有附加功能的所有部分:对移动设备的研究,从云存储中进行检索,对运行MacOS操作系统的设备的研究等等。 该程序具有方便实用的界面,其中包括所有可用的工具,可用于调查与计算机或移动设备上的恶意软件感染或数据泄漏有关的信息安全事件。
磁铁AXIOM的俄罗斯类似物是
Belkasoft证据中心 。 Belkasoft证据中心使您可以从移动设备,云存储和硬盘驱动器中提取和分析数据。 分析硬盘驱动器时,可以从Web浏览器中提取数据,聊天,有关云服务的信息,检测加密文件和分区,按给定扩展名提取文件,地理位置数据,电子邮件,来自支付系统和社交网络的数据,缩略图,系统文件,系统日志等。 它具有灵活的可定制功能,用于检索远程数据。
该计划的优势:
- 从各种存储介质中检索到的各种工件
- 好的内置SQLite数据库查看器
- 从远程计算机和服务器收集数据
- 集成功能可检查Virustotal上检测到的文件
基本程序的售价相对较低。 扩展Belkasoft证据中心功能的其他模块可以单独购买。 除了基本配置外,强烈建议购买“文件系统”模块,否则,在程序中使用被调查介质并不总是很方便。
该程序的缺点是界面不方便以及程序中各个动作的执行不明显。 为了有效地使用该程序,您必须接受适当的培训。
Belkasoft证据中心程序的主窗口,其中显示检查特定设备时发现的法医伪品的统计信息:
俄罗斯市场逐渐征服了
X-Ways法医 。 该程序是瑞士计算机取证刀。 多功能,准确,可靠和紧凑。 该程序的一个特点是数据处理的速度很高(与该类别的其他程序相比),并且其最佳功能可以满足计算机取证专家的基本需求。 该程序具有内置机制,可最大程度地减少假阳性结果。 也就是说,研究人员从100 GB的硬盘驱动器恢复文件时,不会看到1 TB的恢复文件(其中大多数是误报结果,通常是使用恢复程序时的情况),即实际恢复的文件。
借助X-Ways法医,您可以:
- 查找和分析电子邮件数据
- 分析Web浏览器,Windows OS日志和其他系统工件的历史记录
- 过滤结果,消除不必要的内容,只保留有价值和相关的内容
- 建立时间表并查看感兴趣期间的活动
- 重建团队(RAID)
- 挂载虚拟磁盘
- 扫描恶意软件
在从DVR提取的硬盘的手动分析中,该程序已被证明非常出色。 使用X张力功能,可以在程序中连接第三方模块。
X-Ways法医的缺点:
- 禁欲的接口
- 缺少完整的内置SQLite数据库查看器
- 需要对该程序进行深入研究:为获得专家所需的结果而采取的某些必要措施的执行并不总是显而易见的
数据恢复,硬件
目前,只有此类设备的一家制造商在俄罗斯市场上占主导地位
-ACELab ,后者生产用于硬盘驱动器的分析,诊断和恢复的硬件(PC-3000 Express,PC-3000 Portable,PC-3000 UDMA,PC-3000 SAS) ,SSD驱动器(PC-3000 SSD复合体),闪存驱动器(PC-3000 Flash复合体),RAID(PC-3000 Express RAID复合体,PC-3000 UDMA RAID,PC-3000 SAS RAID)。 ACELab在用于数据恢复的硬件解决方案市场中的主导地位是由于上述产品的高品质和ACELab的定价政策,不允许竞争对手进入该市场。
数据恢复,软件
尽管有许多不同的恢复程序,包括收费和免费的恢复程序,但是很难找到一种可以正确,完全恢复各种文件系统中各种类型文件的程序。 迄今为止,只有两个具有大致相同功能的程序允许这样做:
R-Studio和
UFS Explorer 。 来自其他制造商的成千上万个恢复程序或者在功能上没有达到指定的程序,或者远不及它们。
开源软件
尸检是分析运行Windows操作系统的计算机和运行Android操作系统的移动设备的便捷工具。 具有图形界面。 它可以用于调查计算机事件。
Photorec是最好的免费数据恢复软件之一。 一个很好的免费替代付费同行的选择。
Eric Zimmerman工具 -一组免费实用程序,每个实用程序都允许您浏览特定的Windows工件。 如实践所示,使用Eric Zimmerman工具可提高专家响应现场事件的效率。 当前,这些实用程序可以作为软件包使用-Kroll Artifact Parser and Extractor(KAPE)。
基于Linux的发行版
SIFT是由商业组织SANS Institute开发和支持的Linux发行版,该组织专门培训网络安全专业人员和调查事件。 SIFT包含大量免费程序的当前版本,可用于从各种来源提取数据并进行分析。 SIFT被用作公司培训的一部分,其内容会不断更新。
工作的便利性由位于此分布中的特定工具确定,研究人员必须使用该工具。Kali Linux是独特的Linux发行版,专家使用它来进行安全审核和调查。2017年,Packt Publishing出版了Shiva V.N. Parasram(Shiva V. N Parasram)“使用Kali Linux进行数字取证”。本书提供了有关如何使用此工具包中包含的实用程序复制,研究和分析计算机,单个驱动器,RAM中的数据副本以及网络流量的提示。总结一下
这项研究是我在计算机技术和移动设备的法医调查中使用所描述的硬件和软件的经验所得出的结果。我希望所提供的信息对计划购买软件和硬件以进行计算机取证和调查事件的专家有用。IB集团对网络犯罪一无所知,但却讲述了最有趣的事情。充满动感的电报频道(https://t.me/Group_IB),涉及信息安全,黑客和网络攻击,黑客主义者和互联网盗版者。逐步调查轰动性网络犯罪,使用Group-IB技术进行实际案例调查,当然,还建议如何避免成为Internet的受害者。Instagram上的Group-IB照片磁带www.instagram.com/group_ibtwitter 上的简短新闻twitter.com/GroupIBGroup-IB是解决方案的领先开发商之一,这些解决方案可用于检测和预防网络攻击,检测欺诈和保护总部网络中的知识产权在新加坡。