Underground InformatioN Center [&zametki] | |
[network & security news] [RSS & Twitter] [articles, programing info] [books] [links, soft & more...] [soft archive] | [home] |
Обзор программ для исследования содержимого жесткого диска |
Введение Они - конкуренты, государственные спецслужбы (необязательно Вашей страны) или просто воры (торговцы информацией). Они изъяли или украли Ваш компьютер либо просто скопировали информацию с Ваших рабочих дисков. Вся информация им не нужна, нужна лишь небольшая часть. Ровно столько, чтобы можно было предъявить Вам обвинение в денежных махинациях, хранении незаконных материалов, хищении информации и других прискорбных вещах, может просто для того, чтобы знать - что известно Вам. Этой информации может хватить для шантажа или нанесении Вашей фирме существенного ущерба. Скажем просто, она может доставить Вам неприятности. Может все по другому. Они - это люди распространяющие письма с угрозами, взломавшие сайт и шантажирующие владельцев. Лица бессовестно эксплуатирующие детей. Торговцы наркотиками или мошенники. Те у кого на жестком диске есть информация, пусть не вся, пусть крупицы, которые помогут воздать им по их заслугам. Вы - эксперт-криминалист, сотрудник безопасности фирмы. Человек которому нужно что-то найти в огромном массиве данных. Как это делается? Весьма популярный, хотя некоторые критикуют, способ создания образа при помощи Encase [windows/dos] (www.guidancesoftware.com).Для Windows есть отличная утилита FTK Imager (Explorer) входит в состав Accessdata Forensic Toolkit (www.accessdata.com) ее возможности будут рассмотрены позже. Пытается завоевать свою нишу Paraben Forensic Replicator (www.paraben-forensics.com).Так же используют WinHex и dd for Windows. Для общего развития. Существует ряд аппаратных средств наиболее распространенные это продукция ICS-IQ(www.ics-iq.com). Что еще нужно знать - образы создаются либо как чистый образ (bit-copy), либо с дополнительной информацией (bit-copy.plus), например пароль, номер, дата создания и так далее. Для подсчета контрольной суммы жесткого диска используются встроенные функции программ, либо утилиты Secure Hash Signature Generator (DOS/Windows), chksum(DOS), DiskSigPro (DOS) и другие. Для специалистов существует несколько курсов, как правило, весьма недешевых, но есть и бесплатные. На примере одного из них рассмотрим ситуацию. Кому интересна более детальная информация могут посмотреть здесь http://project.honeynet.org/scans/. Мы же коснемся принципов исследования. Фабула дела: у некоего парня изъяты две дискетки. Попали бы они нам в руки, дальнейшая их судьба - форматирование, особо любознательные посмотрели бы в проводнике и тоже б отформатировали. При открытии на первой дискете присутствуют 2 абсолютно неинтересных файла, а вот при просмотре специализированными программами картина меняется. При беглом просмотре в FTK Imager наблюдаем интересную картинку: Оказывается там не совсем так, как кажется, и файлы другие и количество побольше. Вторая дискета вообще пуста, но даже без применения скриптов в Encase увидеть кое-что интересное:
Для любознательных - по ссылке выше можно посмотреть более подробные отчеты, некоторые составлены ведущими криминалистами США. Для нас интересен сам принцип. Кажется, зачем огород городить, - это все можно увидеть в любом HEX-редакторе? Да - это так, но в отличие от дискеты жесткий диск содержит информации на несколько порядков больше, поэтому простой просмотр HEX-редактором весьма муторен. Отделить зерна от плевел, отсортировать и найти помогают следующие программы.
HASH SETS HashKeeper-полностью автономный продукт, позволяющий создавать, редактировать hash sets и осуществлять при помощи hash sets проверку файлов. Все остальные вышеназванные это только базы для загрузки в программы поддерживающие работу с ними. Правда в последнее время на сайте NSRL выложили утилиту для самостоятельного создания контрольной суммы, но так как прямую работу с NSRL RDS поддерживает только Encase и Autopsy Forensic Browser (*nix), то она пока не сильно востребована. В общем, HashKeeper стандарт де-факто в этой области. Для взаимной конвертации баз созданных разными программами ФБР выпустила утилиту hashkonverter - вещь маленькая, но весьма удобная.
File Signature Header
Чем примечательны эти два способа. Они позволяют не только определить принадлежность какого-либо файла, но и, зачастую, идентифицировать программу его создавшую или заострить внимание на каких либо файлах (в рамках конкретного дела). Так выглядит анализ файлов по заголовку и hash set в программе Encase Как видим переименование PETools.exe в test.jpg и notepad.exe, соответсвенно user32.dll в test.rar не мешает правильно определить формат и происхождение файлов. Так же при помощи базы hash set можно достаточно быстро оценить в каком направлении вести поиск к примеру если проверка показала наличие стегано графических программ то есть смысл для проверки графических файлов использовать программы stegdetect и Gargoyle таким образом значительно сокращая время на исследование. Какие еще используются программы?
Encase [Скриншот 65к] (www.guidancesoftware.com)
Один из старожилов рынка - продукт весьма интересный и достойный. Подробно описывать все достоинства данного объекта - занятие тяжкое (для интереса - сама программа размером около двух мегабайт, а вот руководство пользователя около 10, не говоря о дополнительной документации), поэтому очень коротко: не то чтобы все в одном, но очень многое.
С помощью encase можно создать образ диска (HDD, CD) с последующим восстановлением, можно подключить и исследовать образ в raw-формате,с последующим восстановлением (ежели надобность есть). Поддерживается работа с RAID, можно исследовать PALM, работает со следующими файловыми системами: Те кто работает с Adobe Photoshop знают насколько удобна работа с plugin, в Encase тоже существуют plugin, называются enscript, но сути дела это неменяет. На сайте производителя есть приличная подборка Enscript, позволяющая автоматизировать процесс или расширить функциональность, если есть желание Enscript можно написать и самому под свои собственные нужды. Из недостатков самый главный-это цена, остальное можно пережить. Не хватает поддержки работы с архивами, и хотелось чтоб расширили возможности просмотра файлов (можно указать внешню программу как Quickview plus или Thumbsplus, но это не всегда удобно), также нужно обратить внимание, что в настройках для File Signatere Header иногда указаны только расширения, а не HEX,Unicode и GREP Expression, то бишь придется набирать вручную. А в остальном - Вещь.
Accessdata Forensic Toolkit (www.accessdata.com) За дополнительную плату можно приобрести Password Recovery Toolkit и Accessdata Registry Viewer(замечательная вещь для работы с реестром Windows) они интегрируются с FTK и при надобности запускаются автоматически. FTK Imager по моему мнению одна из лучших программ для работы с образами жестких дисков. Позволяет создать образ в формате Encase (*.E01), Smart Image (*.s01) или просто в raw uncompressed (*.dd,*.ima), а также просматривать ( с возможностью экспорта файлов и созданием контрольной суммы (md5,sha-1)) и конвертировать образы следующих форматов: encase *.e01, icsimage file *.i01, safeback *.001, winimage *.ima, smat image *.s01, vmdk virtual drive *.vmdk, ghost raw image *.gho. Очень удобная утилита для быстрого просмотра и анализа, благодаря технологии Outside In® Viewer Technology на лету просматривает файлы наиболее распространенных форматов- MS Office, zip, graphic, файлы можно просмотреть в оригинальном формате или в HEX, TEXT на выбор, если файл зашифрован выводится сообщение(для файлов офиса, zip, pdf). рис ftkimager (encrypted view) FTK Imager-необыкновенно удобная и приятная вещь. Работать с этой программой одно удовольствие, но без FTK она не продается, а жаль.
Работа с FTK организована по принципу "котлеты отдельно - мухи отдельно". После того как программа закончит анализ, вам остается
только нажимать на нужные кнопки - все отсортировано и сгруппировано. Отдельные кнопки для графики, архивов, документов и так дале. Все удобно и информативно, даже педантично.
Для анализа используется собственная база KFF туда же импортируются hash set. В настройках можно указать не показывать файлы OS, или другие известные, что значительно облегчает работу. Так же показываются дублированные, архивированные, шифрованные, файлы с неверным расширением и так далее. Все это можно вывести в отдельном окне в общем очень широкие возможности для каталогизации. Хорошо реализована работа с zip архивами:
FTK позволяет оценить содержимое без распаковки. Не требует дополнительных программ для просмотра (Quick view, Thumbsplus) и, что очень здорово, самостоятельно показывает содержимое почтовых баз. Возможны любые манипуляции с вложениями, плюс максимум информации которую только можно получить из имееющегося у вас файла. Таким образом отпадает необходимость в программах типа MailBag Assistant или его более функционального клона Paraben e-mail examiner. Для анализа можно выбирать как диск, так и образ, отдельный файл или папку. Поддерживает следующие файловые системы windows (FAT/12/16/32, NTFS), linux(ext2/ext3), но не позволяет работать со сжатыми (DoubleSpace, DriveSpace) дисками (редко, но встречаются еще такие). Отчет программа создает такой, что о нем самом можно статью написать - не отчет, а презентация. Я думаю у программы большое будущее и она достойный конкурент encase, куча возможностей и весьма ощутимая разница в цене. Немного портит впечатление организация работы с hash set, складывается мнение, что для программы есть только черное и белое - никаких полутонов. Файлы определяются либо как безопасные, либо как потенциально опасные, комментариев нет, просто выделяются красным цветом - это расстраивает так, как хотелось бы большей информативности. Нет возможности добавить File Signature Header (для редких типов файлов), хотя справедливости ради отмечу собственная база и так приличная, но все таки. ProDiscover [ Скриншот 42k ] (www.techpathways.com) Еще год назад существовала только версия Prodiscover DFT сейчас линейку расширили, но разница (кроме цены небольшая) и я думаю лучше бы они расширяли возможности программы а не количество модификаций. Конечно необходимый минимум для работы в программе присутствует,но для полного анализа все равно понадобится дополнительный софт. Программа может работать как с диском, так и с образом, также позволяет работу в сети. Для создания образа используется собственный формат (больше никем не поддерживается). Если вы хотите подключить raw image, вам придется его переименовать (image.raw (*.ima,*.01,*.dd) в image.eve) иначе программа его не опознает, другие форматы образов диска не поддерживаются. образ создается корректно и соответствует принятой в этом классе спецификации (www.cftt.nist.gov) Возможна проверка файлов по File signature header и hash set (Hashkeeper format), но сам результат отображения лично меня неудовлетворяет. Хорошо развита навигация по кластерам и присутствует фирменная технология HPA. При работе с программой создается странное впечатление - что это какой-то продвинутый hex-редактор.Кому интересно могут посмотреть на сайте историю версий и многие вопросы отпадут (хотя могут и возникнуть, к примеру о соответствии возможностей и цены). Краткое резюме Есть над чем работать - сильно проигрывает по сравнению с Encase и FTK, но если досталась пускай будет для коллекции. DIBS® Analyzer 2 (DANA2) www.dibsusa.com Интересная программа, даже сказать о ней нечего. Теоретически можно сравнить с Prodiscover и то не в пользу DANA2.Имеет несколько подключаемых модулей (называются satellite) но впечатление не меняется. В комплекте присутствует пара утилит для блокировки доступа в режиме записи на диск Diblock.exe (DOS) и Diblockw.exe (Windows), но функциональность их весьма сомнительна - приличные люди все равно работают с образом диска или используют аппаратные комплексы для этих целей, да и блокируется только доступ для Windows explorer, а остальным программам раздолье - такую блокировку можно сделать простым изменением реестра и к тому же бесплатно. Исходя из цены программы разработчики видимо со мной не согласятся, но это только мое мнение. Может быть когда жесткий диск был размером в пару гигабайт ей можно было пользоваться - сейчас увы нет. Когда-то программа анонсировалась только под Windows 98, сейчас и под Windows 2000, хотя даже версию не изменили - в общем странный софт. Наверное, я в чем-то предвзято отношусь, но ощущение как будто с мерседеса пересел на запорожец, и то, и другое машины, но... Ilook Investigator [ Скриншот 77k ] (www.ilook-forensics.org) Весьма интересный продукт - распространяется бесплатно и только работникам правоохранительных органов. В последней версии, заявлена полная переработка кода программы с кучей новых возможностей и выделением в отдельный продукт компонента Iximager - программы для создания образов диска. К сожалению, достать пока не удалось, поэтому посмотрим предыдущую, седьмую,версию. По количеству функций можно сравнить с Encase и FTK, можно создать образ, смонтировать его, проверить файлы по hash set file signature header (все с возможностью добавления, редактирования). По-хорошему все что нужно есть. Несколько неудобен интерфейс, но это дело привычки. Приятная вещь во всех отношениях, и если бы стоила денег - она бы их стоила. Удручают некоторые моменты не относящиеся к самой программе - это скудная информация на сайте, отсутствие демо-версий и, что более всего, невозможность попасть на форум пользователей, не будучи официальным пользователем. Ontrack Factracker [ Скриншот 77k ] (www.ontrack.com) Проект то ли уже умер, то ли умирает. Дело передали фирме Kroll, а от них добиться ничего нельзя. Несмотря на заслуги Ontrack в деле восстановления данных, сам FacTracker как forensic продукт весьма убог. Работает или с диском, или с образом созданным Ontrack CaptureIt - остальные форматы не поддерживает, что весьма не удобно, осуществляет проверку file header, но с очень скудным редактированием, правда, хорошо развита функция показа файлов.
Можно поискать файлы по некоторым параметрам (включая удаленные), но все равно такое впечатление что это проводник Windows, с чуть более широкими возможностями. Что самое забавное за этот продукт хотели достаточно больших денег, хотя на момент продажи поддерживалась только файловая система FAT16/32, а когда наконец сделали поддержку NTFS, его будущее стало неопределенным. В своей судьбе FacTracker не одинок, не менее известная фирма - Winternals, тоже пыталась застолбить себе место на рынке forensic software. Сейчас о программе Enforcement Critical Systems FAT Message-Digest & Search software не найти упоминания даже на сайте, а когда-то за ECSF просили порядка 300 долларов. Вещь можно считать раритетом, поэтому вот внешний вид Maresware Forensic Suite (www.maresware.com) Великолепный набор для тех ,кто привык все делать в командной строке. Существуют версии как под DOS/Windows, так и под Linux/Solaris.Все что можно сделать в командной строке присутствует. Описывать все функции смысла нет, для каждой утилиты приличный набор команд, но краткие возможности таковы - создание и восстановление образа, подсчет и сравнение контрольных сумм, проверка по hash sets, file signature header, поиск по многим параметрам включая ADS для NTFS, определение файлов PGP и многое - многое другое. Каждая из утилит хороша, как отдельный продукт, а в наборе просто исключительно приятная вещь. Я думаю есть смысл скачать программы с сайта и просто попробовать. Не всегда есть надобность использовать многофункциональные программы, или просто их возможностей не хватает, в таком случае:
1. для исследования электронной почты применяются: Network E-mail Examiner (www.paraben-forensics.com) Применяется для исследования почтовых баз MS Exchange (файлы *.edb) и Lotus Notes(файлы *.nsf).
Я бы советовал внимательней отнестись к продукции Paraben заявленной как forensic software: 2. для просмотра содержимого кэша броузера используется NetAnalysis [ Скриншот 56k ] (www.digital-detective.co.uk), также на сайте есть несколько бесплатных утилит различного назначения. NetAnalysis по сути тот же офлайн браузер только более продвинутый (в комплект входит программка hstex для извлечения файлов с образа или диска) Включены - подсчет контрольной суммы, дата записи, последнего доступа, декодировка cookies и так далее - вещи в повседневной жизни ненужные, но очень полезные специалистам. NetAnalysis создавался как продукт расширяющий возможности пользователей Encase, поэтому в поставку входит Enscript позволяющий извлекать файлы из образа или диска при работе с Encase. Для просмотра графики используются разные программы такие как ACDSee, ThumbsPlus. Из необычного стоит отметить Pictuate [ Скриншот 69k ] (www.pictuality.com) вещь весьма редкая, но забавная. Работает очень шустро и наглядно, хотя аналогов достаточно. Вобщем особых догм нет, кому как удобнее. Очень широко используются всевозможные hex-редакторы (фаворит конечно WinHex). Что еще интересного. В прошлом году фирма Crocware (www.crocware.com)(известна как производитель программы Recover My Files) выпустила программку MountImage Pro, позволяющию смонтировать образ диска как логический диск со всеми вытекающими возможностями. 3. Для того чтобы просмотреть файлы офиса (*.doc,*.xls) применяется Metadata Assistant [ Скриншот 69k (www.payneconsulting.com) показывает полную структуру документа включая последних авторов, ссылки и так далее Заключение Я не ставил перед собой задачи раскрыть все особенности представленных программ, хотелось просто сказать, что такие программы есть и некоторые могут пригодиться не только криминалистам. Нужно четко понимать, что советы "Переименуй файл и запиши его в папку Windows", "Поставь программу которая при неверном пароле чего там удалит" , или "Вот программка создает диск и его невидно" - это профанация, они не имеют под собой никакой почвы и только вредят. Если ваш ПК попал в руки к специалистам все, что можно, из него вытянуть - вытянут. Никто не будет включать ваш компьютер - просто сделают образ (восстановят его на другой диск или нет - без разницы) и то, что вы не успели скрыть (удалить) будет обнаружено. Многие программы поддерживают работу по сети и соответственно образ сделают с работающей системы (а там файл подкачки и так далее)-выводы делайте сами. Если при анализе жесткого диска выявляются программы для стеганографии, то будут использоваться программы stegdetect, Gargoyle, или просто проверят ими на всякий случай. Даже удаленные (без возможности восстановления) файлы могут что-то сказать, некоторые программы для удаления файлов некорректно работают с NTFS, или оставляют имена файлов, а это уже что-то. К примеру если осталось имя файла cookies (пускай сам файл забит нулями или другой белибердой) user@microsoft.com то уже можно сделать вывод что пользователь ПК user посещал сайт Microsoft, особенно это важно, когда на ПК несколько пользователей с разными именами. Многое зависит от поставленной задачи, но если специалист хороший, поверьте, все будет сделано как надо. Что еще нужно знать?
Все документы и программы на этом сайте собраны ТОЛЬКО для образовательных целей, мы
не отвечаем ни за какие последствия, которые имели место как следствие использования
этих материалов\программ. Вы используете все вышеперечисленное на свой страх и риск. |
[network & security news] [RSS & Twitter] [articles, programing info] [books] [links, soft & more...] [soft archive] | [home] |
Underground InformatioN Center [&zametki] |
2000-2015 © uinC Team |