Top 20 felkapott számítógépes kriminalisztikai eszközök 2018

Bevezetés

a “kriminalisztika” szó a nyomozók által a bűncselekmény megoldására használt technikákra utal. Minden találmánynak megvannak az előnyei és hátrányai. A számítógépek és az elektronikus eszközök sokkal gyorsabban fejlődtek, és a modern bűncselekményekben használják őket. A bűncselekmény kivizsgálásának művészetét számítógépekkel vagy azokkal együtt számítógépes kriminalisztikának nevezik. Pontosabban, ez az a technika, amelyet a bizonyítékok kinyerésére és megőrzésére használnak az eszközökből, majd ezt követően a bíróság elé terjesztik. A számítógépek egyszerre célpontok és fegyverek. A támadók fejlődtek, kifinomult számítógépes rendszereket használnak ilyen szörnyű adathalász bűncselekmények elkövetésére (itt van egy erőforrás, amely a kiberbiztonsági támadásokon keresztül navigál). A cél lehet otthoni rendszer, vállalati hálózat vagy akár az összes számítógép, amelyhez csatlakozhatnak. A számítógépekkel kapcsolatos bűncselekmények növekvő arányával a bizonyítékgyűjtés létfontosságú részévé vált. Ehhez szakértői számítógépes törvényszéki szakemberekre van szükség.

mik azok a számítógépes kriminalisztikai eszközök?

ezek azok az eszközök, amelyeket a programozók fejlesztettek ki a digitális bizonyítékok gyűjtésének elősegítésére. Ezek az eszközök fejlődtek, és mindenféle tevékenységet képesek végrehajtani– az alapszinttől az előzetes szintig. A törvényszéki eszközöket az elvégzett feladat alapján lehet kategorizálni.

• hálózati kriminalisztikai eszközök

• Adatbázis-elemző eszközök

• Fájlelemző eszközök

• Registry analysis tools

• e-mail elemző eszközök

• OS elemző eszközök

• lemez és adatrögzítés

20 törvényszéki eszközt fogunk részletesen megvitatni a cikk későbbi részében.

mi a törvényszéki nyomozó munkája?

a törvényszéki nyomozó fő feladata az adatok bizonyítékainak megtalálása és megőrzése. Jól ismernie kell a követendő eljárásokat és protokollokat:

a bűncselekmény helyszínén,

• bizonyítékok gyűjtése és kezelése

összegyűjtik és megőrzik a fizikai bizonyítékokat, és dokumentálják tevékenységüket.

a laboratóriumban,

• bizonyítékok elemzése

megvizsgálják, hogy mit gyűjtöttek össze.

megpróbálják rekonstruálni a történteket.

a bíróságon

• a bizonyítékok bemutatása és jelentése

kövesse a szigorú előírásokat, hogy munkájuk elfogadható legyen a bíróság számára. Felhívhatják őket, hogy tanúskodjanak megállapításaikról és módszereikről.

a törvényszéki eszközök osztályozása

volatilitás

a volatilitás egy nyílt forráskódú keretrendszer, amelyet illékony memória kriminalisztika elvégzésére használnak. Pythonban íródott, és szinte az összes 32 és 64 bites gépet támogatja. A volatilitás által támogatott rendszerek teljes listája megtalálható a http://www.volatilityfoundation.org/faq

képes felderítést végezni folyamatlistákon, portokon, hálózati kapcsolatokon, rendszerleíró fájlokon, DLL-Eken, összeomlás-lerakókon és gyorsítótárazott szektorokon. Elemezheti a rendszer hibernációs fájljait is, és ellenőrizheti a gyökérkészlet jelenlétét is. A volatility framework letölthető innen: https://code.google.com/archive/p/volatility/downloads

már jelen van a Linux kali-ban a törvényszéki szakasz alatt. Az alábbiakban egy pillanatkép a volatilitásról.

EnCase

Encase egy többcélú törvényszéki vizsgálati eszköz. Segíthet a törvényszéki nyomozóknak a vizsgálat életciklusa során:

• törvényszéki osztályozás: a fájlok rangsorolása a vizsgálati alap volatilitása és néhány egyéb paraméter szempontjából.

• gyűjtés: digitális adatok gyűjtése az integritás veszélyeztetése nélkül.

• dekódolás: képesség a titkosított adatfájlok elemzésére azok visszafejtésével. Ez jelszó-helyreállítási mechanizmusok használatával történik.

• folyamat: segít a bizonyítékok indexelésében és a közös feladatok automatizálásában, így az időt a nyomozásra lehet fordítani, nem pedig a folyamatra.

• vizsgálat: szinte minden windows és mobil operációs rendszerre képes vizsgálatot végezni.

• jelentés: hozzon létre egy jelentést, amely minden közönséget kiszolgál. A jelentésnek különféle formátumbeállításokkal rendelkező jelentési sablonokkal kell rendelkeznie.

az eszköz nem ingyenes, az ár itt kérhető: https://www.guidancesoftware.com/encase-forensic

MailXaminer

ahogy a neve is sugallja, a MailXaminer az e-mail elemzés elvégzésére szolgál. Meg tudja vizsgálni az e-maileket mind a webes, mind az alkalmazás alapú levelező kliensek. Segít a nyomozónak az e-mail bizonyítékok gyűjtésében, a bizonyítékok elrendezésében, az e-mailek keresésében különféle speciális lehetőségek, például a Regex segítségével. Azt a képességét, hogy észlelje és jelentse obszcén kép mellékletek segítségével skintone elemzés. Támogatja a 20 + e-mail formátumot, és képes a jelentést a szükséges formátumú bizonyítékokkal generálni. Ez segíthet az ügy bírósági lezárásában.

ez nem egy ingyenes eszköz, de a próbaverzió letölthető: https://www.mailxaminer.com/

kép forrása: https://lscnetwork.blog

FTK

az FTK vagy a Forensic toolkit a merevlemez átvizsgálására és bizonyítékok keresésére szolgál. Az FTK-t az AccessData fejlesztette ki, és van egy önálló modulja, az FTK Imager. Ezt fel lehet használni, hogy a kép a merevlemez, integritásának biztosítása az adatok segítségével hash. A merevlemezt egyetlen fájlban képezheti a több szakaszban lévő fájlok számára, amelyek később csatlakozhatnak egy rekonstruált kép elkészítéséhez. A nyomozók választhatnak a GUI vagy a parancssor között a kényelem szerint.

További információ az FTK-ról a következő címen érhető el: https://accessdata.com/products-services/forensic-toolkit-ftk

REGA

a REGA a windows rendszerleíró adatbázis elemzésének végrehajtására szolgál. A freeware verzió letölthető http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip

ez egy GUI alapú alkalmazás. A felhasználó létrehozhat egy esetet, és betöltheti a rendszerleíró adatbázist. A rendszerleíró adatbázisban szűrőkkel vagy manuálisan kereshet időbélyegek segítségével. REGA jellemzők:

– adatgyűjtés: gyűjtsük össze cél registry fájlokat Felsorolás és elemzés.

– helyreállítás: a törölt kulcsok nyilvántartásának helyreállítása.

– elemzés:

• Windows elemzés: Tulajdonos, telepítési adatok stb.

• tárolási elemzés: fiókok jelen, parancsok futtatása, böngésző előzményeinek elemzése (URL-ek).

• hálózati kapcsolat elemzése: hálózati meghajtó kapcsolatok stb.

• Alkalmazáselemzés: automatikus futások listája, Alkalmazáshasználati előzmények stb.

• SW és HW menedzsment: szoftver és hardver telepítés, tárolóeszközök csatlakoztatása.

– jelentéskészítés: eredményjelentések létrehozása CSV formátumban.

az eszköz c/c++ nyelven íródott, és angol, koreai és japán nyelven érhető el.

Bulk Extractor

a Bulk extractor használható Fontos információk kinyerésére fájlokból és merevlemezekről. Az eszköz a fájlok hierarchiájától függetlenül képes beolvasni. A Bulk Extractor telepítve van a Kali Linuxban, manuálisan is telepíthető más operációs rendszerre.

Link a Git-hez: https://github.com/simsong/bulk_extractor

a Bulk extractor létrehoz egy kimeneti könyvtárat, amely információkat tartalmaz a hitelkártyáról, internetes domainekről, e-mailekről, MAC-címekről, IP-címekről, képekről és videókról, URL-ekről, telefonszámokról, végrehajtott keresésekről stb.

Oxygen Forensics

az Oxygen Forensic Suite a mobiltelefonok és a telefonokon használt felhőszolgáltatások digitális bizonyítékainak gyűjtésére szolgál. A csomag megkerülheti az Android képernyőzárat, megkaphatja a Helyelőzményeket, kivonhatja az adatokat a felhőtárolókból, elemezheti a hívás-és adatrekordokat, kereshet adat kulcsszavakat, helyreállíthatja a törölt adatokat és exportálhatja az adatokat különböző fájlformátumokba. Támogatja a különböző mobil platformok, beleértve az Android, Sony, Blackberry és iPhone.

könnyen érthető jelentéseket generál a könnyebb korreláció érdekében.

további információkért látogasson el a hivatalos weboldalra: https://www.oxygen-forensic.com/en/

kép forrása: http://www.dataforensics.org

FireEye RedLine

a RedLine eredetileg a Mandiant szervezet terméke volt, amelyet később a FireEye vett át. Ez egy ingyenes eszköz, amely lehet használni, hogy végre memória és a fogadó elemzés nyomait fertőzés, vagy bármilyen rosszindulatú tevékenység.

használható a futó folyamatokról, a memória meghajtókról, a rendszerleíró adatbázisról, a fájlrendszer metaadatairól, az eseménynaplókról, a webes előzményekről és a hálózati tevékenységekről szóló információk gyűjtésére és korrelálására. A malware risk index score segítségével rövidítheti a folyamatokat, majd tovább vizsgálhatja őket.

További információ itt: https://www.fireeye.com/services/freeware/redline.html

boncolás

a boncolás egy nyílt forráskódú digitális törvényszéki szoftver, amelyet merevlemez-vizsgálatok lefolytatására használnak. Ezt használják a különböző bűnüldöző szervek, Katonai és kormányzati és vállalati nyomozók, hogy végezzen digitális vizsgálatok. A vállalat egyedi fejlesztést és képzést is biztosít, hogy a felhasználók teljes mértékben kihasználhassák az eszköz előnyeit. Mind a Windows, mind a Linux számára jelen van, és előre telepítve van a Kali Linuxban is.

a windows verzió letölthető innen: https://www.autopsy.com/download/

az eszköz a könnyű használat és a bővíthetőség biztosítása érdekében készült – a felhasználó testreszabhatja az eszközt, és plug-inek létrehozásával új funkciókat adhat hozzá. A boncolásnak jelenleg 3 verziója van, a 2.verzió pedig a Sleuth Kit-re támaszkodik a lemezelemzés elvégzéséhez.

a Detektívkészlettel kapcsolatos további információk a következő címen érhetők el:: https://www.sleuthkit.org/autopsy/

Wireshark

a Wireshark a hálózati forgalom rögzítésére és elemzésére szolgál. Ez a libPcap és a winPcap használatával történik, amely rögzíti a hálózati csomagokat. A hálózati csomagok ezután elemezhetők rosszindulatú tevékenységek szempontjából. Az eszköz lehetővé teszi a forgalom szűrését különféle szűrők segítségével, protokollok, karakterlánc-jelenlét stb.

az eszköz letölthető: https://www.wireshark.org/download.html

USB Write Blocker

ahogy a neve is sugallja, USB write blocker használják a törvényszéki vizsgálat tároló meghajtók. Az elemezhető maximális érték 2 TB. Ez egy hardver eszköz, szemben a többi tárgyalt eszközzel. A tárolás klónozására és elemzésére szolgál, biztosítva az adatok hitelességét.

További információ az USB írási blokkolóról itt:: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/

X-Ways Forensics

az X-ways egy német termék, sok funkcióval rendelkezik, kimerítő eszköznek tekinthető. Az eszköz nem használ sok erőforrást az általa kínált funkciókhoz képest. Ezt fel lehet használni – lemez képalkotás és elemzés, elemzése különböző lemez formátumok, esetkezelés, registry nézet, metaadatok kitermelése, stb.

a teljes funkciókészlethez lásd: http://www.x-ways.net/forensics/

DumpZilla

a Dumpzilla a böngésző információinak gyűjtésére és elemzésére szolgál, beleértve a böngésző előzményeit is. Az eszközt Python 3-ban fejlesztették ki.x és elérhető mind a windows, mind a linux számára. A vizsgálat hatóköre nem korlátozódik a böngésző előzményeire, magában foglalja a cookie-kat, a proxybeállításokat, a webes űrlapokat, a könyvjelzőket, a gyorsítótárat, a kiegészítőket, a mentett jelszavakat stb.

ExifTool

az ExifTool különböző képekből, hangokból és PDF fájlokból származó metaadat-információk gyűjtésére és elemzésére szolgál. Mind a parancssori, mind a GUI verziókban elérhető. Egyszerűen futtassa az alkalmazást a windows és húzza & csepp a fájlokat, amelyeket elemezni kell. Az ezzel az eszközzel elemezhető fájlformátumok listája kimerítő. A teljes lista elérhető: https://www.sno.phy.queensu.ca/~phil/exiftool/

az eszköz gyors és kicsi a rendelkezésre álló funkcionalitáshoz képest.

kép forrása: https://hvdwolf.github.io

Binwalk

a Binwalk a beágyazott fájlok bináris képének keresésére szolgál.exe kód. Az eszköz képes kibontani a firmware-ben található összes fájlt egy karakterlánc-keresés végrehajtásához. Az eszköz elég erős, ha párosul a különböző egyéb eszközök, és elengedhetetlen a törvényszéki nyomozó eszköztár.

Hashdeep

a Hashdeep a hash auditálás generálására, illesztésére és végrehajtására szolgál. Más programok jelentést tesznek, ha egy hash illeszkedik vagy hiányzik, de a Hashdeep részletes képet nyújt a nagy képről. Segíthet azonosítani az egyező fájlokat, a nem fogadott fájlokat, megtalálni a hash ütközéseket és a hash-ok Egyéb attribútumait. Tartsa ezt magával, mivel ezekben az esetekben a fájlok integritása rendkívül fontos.

Volafox

a Volafox a MAC OS X memória elemzésére szolgál. Segíthet a kernel kiterjesztések megtalálásában, a kernel információk összegyűjtésében, a feladatok felsorolásában, a horgok észlelésében, a hálózati listázásban, a fájl memóriából történő kidobásában, a rendszerindítási információk bemutatásában és sok más részletben.

Chkrootkit

ez a program a rootkitek jelenlétének meghatározására szolgál egy rendszeren. A program több mint 60 rootkit jelenlétét képes azonosítani. Ez nagy segítséget nyújt a rosszindulatú programok fertőzésének és a hálózati kompromisszumok eseteinek elemzésében. Új rootkitek vannak írva, hogy megkerüljék az észlelési mechanizmust, de a rootkit írás olyan művészet, amelyet nehéz elsajátítani.

szitál

a SANS Investigation forensic toolkit egy virtuális gép, amely előre van töltve a törvényszéki elemzés elvégzéséhez szükséges eszközökkel. Ez tökéletes kezdőknek, mivel takarít-eszköz megtalálása, letöltése és telepítési idő.

kép forrása: https://www.andreafortuna.org/

CAINE

a CAINE egy nyílt forráskódú Linux disztribúció, amelyet kifejezetten a digitális kriminalisztika számára fejlesztettek ki. Felhasználóbarát grafikus felülettel és eszközökkel rendelkezik. Lásd ezt a linket mélyebb betekintést CAINE: https://www.caine-live.net/

kép forrása: https://www.caine-live.net/

milyen előnyökkel jár egy szervezet és egy informatikai biztonsági szakértő számára?

rosszindulatú tevékenységek naponta történnek a szervezetekben. Valaki rosszindulatú linkre kattintott, rosszindulatú szoftvert telepített, adathalász vagy rosszindulatú webhelyeket látogatott meg stb. A nyomozók feladata, hogy a probléma kiváltó okához jussanak, és biztosítsák, hogy az ellenőrzések megtörténjenek, hogy az esemény ne forduljon elő újra. Egy malware incidens térdre kényszerítheti a vállalat hálózatát, ezért kivizsgálásra van szükség. Mi van, ha egy alkalmazott lemond egy cégről, vagy vállalati kémkedéssel vádolják. Ilyen esetekben a szervezeteknek nyomozókra van szükségük a digitális mély merülések elvégzéséhez, hogy kihozzák az igazságot.

időbe és tapasztalatba kerül, hogy szakértővé váljon a kriminalisztika területén. A kutatónak kritikus ismeretekkel kell rendelkeznie a vizsgált tárgyról. A gyűjtemény vagy elemzés bármely hiánya komoly hatással lehet az esetre. A szakértőnek különös gondot kell fordítania a bizonyítékok azonosítására, megőrzésére és jelentésére. Ezért a kriminalisztika szakértőjévé válni nem könnyű, de a nagy dollárokat nem fizetik könnyű dolgokért. Ez egy hiánypótló készség, amely megköveteli a rendszer minden egyes bitjének megértését és annak bizonyítékként való felhasználását. Vannak speciális tanfolyamok a területen is, ha valaki érdekli. Egyes vállalatok képzést kínálnak termékeik világszerte történő használatához. Az egyik termék az Encase. A cég tanúsítást kínál az Encase certified Forensic Investigator számára (fontolja meg ezt a tökéletes információs csomagot a cissp tanúsításhoz is).

következtetés

a cikk néhány népszerű törvényszéki eszközt tartalmaz. Az eszközök nem prioritás szerint vannak elrendezve, mivel különböző célokat szolgálnak. Néhányat kifejezetten merevlemez-elemzésre terveztek, néhányat mobil vizsgálatokhoz stb. Abban az esetben, ha még nem ismeri a kriminalisztikát, egyedi eszközökkel kezdheti, mély merülést vesz mindegyikbe. Az előre elkészített virtuális géppel és a Caine-hez hasonló disztribúciókkal is kezdheti, így időt takaríthat meg és többet tudhat meg. Győződjön meg róla, hogy az azonosított információkat valós forgatókönyvekkel kapcsolja össze; például a fertőzés egy csatlakoztatott rosszindulatú tárolóeszközön vagy a hálózatokban létrehozott CNC-kapcsolaton keresztül terjed. Azt is keresni több törvényszéki eszközök és a kísérlet. Ahogy a bűnözők egyre fejlettebb minden bűncselekmény; a vállalatok kifinomultabb eszközöket fejlesztenek ki, amelyek felgyorsíthatják a vizsgálatot, ha szakértők használják. Itt meg kell jegyezni, hogy nem számít, mennyire fejlett az eszköz, szakértői szemre van szükség a logika azonosításához és a tények korrelálásához.

kattintson ide a kiberbiztonsági karrier elindításához