top of page

ПОСЛУГИ

Що таке інструменти цифрової криміналістичної експертизи?

На початку 90-х років, дослідження проводились наживо в реальному часі, використання дослідного пристрою здійснювалось без будь-яких засобів захисту даних. Зі змінами інформаційних технологій, з’явилась тенденція до зменшення пристроїв зберігання інформаційні, а інформаційний простір накопичувачів збільшувався. З часом використання пристроїв наповнених величезною кількістю інформації, зробило криміналістичний аналіз даних наживо, неефективним. Час потребував нових засобів дослідження даних, що спонукало експертів та фахівців з кібербезпеки, розробляти нові аналітичні програмні засоби з відкритим кодом, що давали можливість використання їх у розслідуваннях, не змінюючи інформаційної структури дослідних носіїв, здобувати цифрові докази. Також на при кінці тих самих 90-х, на комерційному ринку почали з’являтися програмні та апаратні засоби забезпечення розслідування кіберзлочинів. Шляхом таких розробок, що поєднали загальні методи криміналістики з новими сучасними цифровими методами відстеження, відновлення, фіксування даних, що об’єднали цифрове віртуальне середовище з фактичною об’єктивною реальністю та дають можливість збирати артефакти та за сукупності логічних складових яких, можна довести факт кіберзлочину.

Комп’ютерна криміналістика, залишається одною з головних складових цивільного процесу та виступає як форма збору доказової інформації (наприклад, електронні поштові повідомлення).

Багаторічна практика застосування інструментів цифрової експертизи з відкритим кодом (digital forensics software (DFS) tool), відповідає релевантністю процесів до програмних засобів з комерційними пропрієтарними складовими, а тому застосування їх є достатнім для глибокого аналізу інформаційного середовища носіїв даних та належним збиранням доказів для представлення їх до суду.

Найпопулярніші цифрові криміналістичні інструменти з відкритим кодом, які охоплюють багато реалізацій процесів з оптимальним часом здобування артефактів, розробниками групуються та інтегруються у динамічні портативні дистрибутиви операційних систем (Linux, Unix, Mаc), що вміщуються у повному зліпку файлів та налаштувань цієї самої системи, розміщені у файл образ (ISO), що має назву - Live CD, записаний на CD/DVD диск або розміщений на USB накопичувачі. Або містяться у дистрибутивах, що інсталюються в існуючи операційні системи, як окремі програми та утілити.

 

 

 

ОПЕРАЦІЙНІ СИСТЕМИ, ОРІЄНТОВАНІ НА ЦИФРОВУ КРИМІНАЛІСТИКУ

 

SIFT Workstation — набір безплатних інструментів для цифрової криміналістики та реагування на інциденти з відкритим вихідним кодом від SANS Institute. Універсальний і детально документований інструментарій на основі Ubuntu LTS 20.04.

 

Appliance for Digital Investigation and Analysis (ADIA) - Open Source - інструментарій для проведення цифрових розслідувань і збору даних, що включає Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico і Wireshark. Доступний у вигляді образів для VMware і VirtualBox.

 

Skadi -  набір утиліт з відкритим вихідним кодом, який дає змогу збирати, обробляти і проводити розширений аналіз криміналістичних артефактів й зображень. Працює на MacOS, Windows і Linux, легко масштабується.

 

Autopsy - досить функціональна, щоб займати окреме місце в цьому списку. Це платформа для цифрової криміналістики та графічний інтерфейс для аналізатора образів дисків The Sleuth Kit, PhotoRec, STIX та інших програм для цифрової криміналістики. Підтримує сторонні модулі на Java і Python, що розширюють можливості платформи. 

 

ІНСТРУМЕНТИ ДЛЯ СПІЛЬНОГО РОЗСЛІДУВАННЯ

 

IRIS - вебдодаток для спільної роботи над складними та заплутаними розслідуваннями. Спрощує обмін файлами, наприклад, журналами Windows. Може бути розгорнута на сервері або локальному комп'ютері з Docker-образу.

 

Kuiper - платформа сфокусована на зборі та аналізі доказів. Надає зручний графічний інтерфейс, централізоване управління парсерами, підтримує масове завантаження артефактів з будь-яких каналів і дає змогу цілій групі аналітиків спільно маркувати та сортувати файли.

 

TheHive - платформа реагування на інциденти безпеки з відкритим вихідним кодом, призначена для SOC, CSIRT, CERT і будь-яких інших фахівців з інформаційної безпеки. Легко інтегрується з MISP і виділяється опрацьованою рольовою моделлю, що дозволяє аналітикам з різних компаній без проблем працювати над одним випадком.

 

GRR Rapid Response дає змогу групі аналітиків сортувати атаки та виконувати їхній аналіз віддалено в режимі реального часу. Складається з клієнтського python-агента, який встановлюється на цільові системи, та керує python-сервером. Підтримує низькорівневий доступ і автоматичне планування повторюваних завдань.

 

DFIRTrack - платформа для цифрової криміналістики, орієнтована на розбір одного або декількох великих інцидентів, що зачепили відразу багато різних систем. Являє собою вебдодаток для розгортання в Ubuntu, заснований на Django і використовує PostgreSQL.

 

Orochi - це платформа для групового аналізу дампів пам'яті. Де-факто являє собою графічний інтерфейс для Volatility 3. Зберігає результати роботи цієї утиліти в ElasticSearch.

 

Timesketch - утиліта для спільного timeline analysis. Дає змогу відновити та наочно представити послідовність подій під час інциденту.

 

МОНІТОРИНГ ХОСТІВ

 

Zentral - рішення для моніторингу кінцевих точок. Об'єднує збір журналів подій за допомогою osquery з гнучкою системою повідомлень і різними сховищами даних: ElasticStack, Azure Log Analytics, Splunk.

 

Fleetdm - інструмент для моніторингу хостів, який використовує osquery для отримання журналів подій і збирає їх із цільових систем у реальному часі.

 

POFR - клієнт-серверна "чорна скринька", яка реєструє дані про виконання процесів, доступ до файлів і мережевих з'єднань у Linux-системах, а потім передає звіти на сервер за протоколом SSH.

 

IntelMQ - система автоматизованого опрацювання інцидентів, яку можна використовувати для збору даних для подальшого аналізу. Має модульну структуру, що складається з ботів для вилучення, збагачення і запису даних.

 

Velociraptor - інструмент для збору інформації про стан хостів за допомогою гнучкої мови запитів VQL. Дозволяє значною мірою автоматизувати збір різноманітних криміналістичних артефактів.

 

Meerkat - набір модулів PowerShell, призначених для збору артефактів із систем на базі Windows без попереднього встановлення агента. Сценарії використання включають реагування на загрози, пошук загроз, базовий моніторинг, порівняння снапшотів.

 

IOC - СКАНЕРИ

 

Loki - простий сканер індикаторів компрометації для перевірки кінцевих точок.

 

Fenrir - універсальний bash-скрипт для сканування Linux, OSX і Unix систем. Працює з широким набором індикаторів компрометації.

 

Fastfinder - кросплатформенна утиліта для пошуку підозрілих файлів. Підтримує контрольні суми md5/sha1/sha256, регулярні вирази та правила YARA.

 

ЗБИРАННЯ АРТЕФАКТІВ

 

Artifactcollector - агент, що налаштовується, для збору артефактів з Windows, macOS і Linux. Вміє витягувати файли, каталоги, записи реєстру, команди WMI. Інтегрується з Digital Forensics Artifact Repository.

 

Osquery - аналітика операційної системи для знавців баз даних. Утиліта представляє операційну систему як високопродуктивну реляційну базу даних. Це дає змогу використовувати SQL для роботи з усім вмістом комп'ютера. Доступна для Linux, macOS, Windows і FreeBSD.

 

Ir-rescue - пара сценаріїв для Windows і Unix, які збирають великий обсяг криміналістичних даних, що відповідає потребам більшості розслідувань. Запускають безліч команд та інструментів, тому залишають помітні сліди в системі.

 

UAC - (Unix-like Artifacts Collector) - використовує вбудовані інструменти Unix-подібних систем для автоматизації збору артефактів. Працює незалежно від архітектури, зокрема на macOS і Android.

 

FastIR Artifacts - кросплатформний збирач артефактів із підтримкою Digital Forensics Artifact Repository.

 

DFTimewolf - фреймворк для організації збору, обробки та експорту даних, цінних для криміналістів.

 

AChoir - сценарій для збору артефактів Windows у режимі реального часу.

 

CyLR - інструмент для збору криміналістичних артефактів із систем із файловою системою NTFS.

 

DFIR ORC - тулкіт для делікатного збору артефактів: файлових таблиць, гілок реєстру та журналів подій з машин під управлінням Windows. Розроблено так, щоб звести до мінімуму вплив на систему, в якій він працює. Не встановлює жодних програм, створює мінімум файлів, ключів реєстру та служб і записує мінімально необхідний обсяг даних.

  

РОБОТА З РЕЄСТРОМ

 

RegRipper - інструмент з відкритим вихідним кодом для вилучення інформації (ключі, значення, інші дані) з реєстру. Написаний мовою Perl.

 

RegRippy і Regipy -  пара бібліотек для читання і вилучення корисних криміналістичних даних з гілок реєстру Windows. Цього разу на Python.

 

РОБОТА З ЖУРНАЛАМИ 

 

Logdissect - CLI-утиліта і Python API для аналізу, фільтрації та експорту даних у файли журналу Windows або JSON.

 

APT Hunter - розроблений для пошуку підозрілої активності в журналах Windows. Автоматизує збір журналів Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортує події за серйозністю і веде статистику, яка допомагає виявляти аномалії.

 

LogonTracer - аналізує Windows Active Directory, пов'язує ім'я хоста (або IP-адресу) та ім'я облікового запису, знайдені в подіях, пов'язаних із входом у систему, а потім відображає їх у вигляді схеми. Дозволяє реконструювати історію авторизацій.

 

StreamAlert - без серверна система аналізу журналів у реальному часі, написана на Python. Приймає дані з будь-яких джерел, має вбудовану систему сповіщень на основі настроюваної користувацької логіки. Виконується з мінімальними привілеями, зберігає дані в зашифрованому вигляді.

 

USBRip - проста консольна утиліта для відновлення історії підключення USB-носіїв до комп'ютерів під керуванням Linux. Може експортувати зібрані дані у JSON-файл.

РОБОТА З ПАМ'ЯТТЮ ТА ОБРАЗАМИ СИСТЕМИ

 

Volatility 3 - один із найпопулярніших фреймворків для дослідження дампів оперативної пам'яті. Підтримує 18 різних версій операційних систем, вміє працювати з дампами ядра Virtualbox і снапшотами VMware.

 

AVML - портативний інструмент для збору даних з енергонезалежної пам'яті Linux-систем. Написаний на Rust і призначений для розгортання у вигляді статичного бінарного файлу. Його можна використовувати для отримання даних "наосліп", не знаючи версію дистрибутив цільової ОС.

 

LiME - модуль ядра (LKM), що завантажується, для захоплення даних із пам'яті пристроїв під управлінням Linux, зокрема й Android-смартфонів. Розвивається і вдосконалюється з 2012 року.

Bmap-tools - інструмент для копіювання файлів з використанням створення карти блоків (bmap).

 

INDXParse - тулкіт для вилучення артефактів NTFS.

 

nTimetools - інструментарій для роботи з тимчасовими мітками в Windows. Дозволяє експертам-криміналістам перевіряти мітки у файловій системі NTFS з точністю до 100 наносекунд.

 

RecuperaBit - утиліта для криміналістичної реконструкції файлової системи та відновлення файлів. Підтримує тільки NTFS.

 

Sleuth Kit - бібліотека для низькорівневого дослідження образів дисків, файлових систем і пошуку доказів.

 

MemProcFS - утиліта для простого доступу до фізичної пам'яті, як до файлів віртуальної файлової системи.

 

dof (Docker Forensics Toolkit) - витягує і допомагає інтерпретувати криміналістичні артефакти з Docker-контейнерів. Відображає історію складання образу, монтує файлову систему контейнера в заданому місці, розподіляє артефакти за часовою шкалою тощо.

ВИЛУЧЕННЯ ВЕБ-АРТЕФАКТІВ

 

Hindsight - простий і функціональний інструмент для аналізу вебартефактів з підтримкою браузерів на базі Chromium. Дає змогу аналізувати історію відвідувань і завантажень, вміст кешу, cookie, закладки, автозаповнення, збережені налаштування, розширення і паролі. Усі витягнуті дані поміщаються на тимчасову шкалу.

 

Dumpzilla - аналогічна програма для збору цікавої інформації з браузерів Firefox, Iceweasel і Seamonkey.

 

РОБОТА З МЕТАДАНИМИ

 

Exif Tool - читання, запис і редагування метаданих у файлах різних графічних форматів.

 

Exiv2 - бібліотека для роботи з метаданими Exif, IPTC, XMP і ICC.

 

PdfParser - служить для вилучення даних із файлу PDF-файлів.

 

FOCA -  інструмент для пошуку метаданих і прихованої інформації в документах, завантажених у веб. Працює з Microsoft Office, Open Office, PDF, Adobe InDesign і SVG.

 

ІНСТРУМЕНТИ ДЛЯ MAC

 

macOS Artifact Parsing Tool - комплект для обробки образів дисків Mac і вилучення даних, корисних для розслідування. Являє собою фреймворк на основі Python, і плагіни для обробки окремих артефактів, наприклад, історії Safari.

 

ESF Playground - інструмент для перегляду подій в Apple Endpoint Security Framework (ESF) в режимі реального часу.

 

Knockknock - виводить повний список елементів (програм, скриптів, команд, двійкових файлів), які автоматично виконуються в macOS.

 

ІНСТРУМЕНТИ ДЛЯ СМАРТФОНІВ

MobSF - автоматизована система для аналізу шкідливих програм і оцінки безпеки мобільних додатків (Android/iOS/Windows), здатна виконувати статичний і динамічний аналіз. Підтримує бінарні файли мобільних застосунків (APK, XAPK, IPA та APPX) разом із заархівованим вихідним кодом і надає REST API для безшовної інтеграції з конвеєром CI/CD або DevSecOps.

 

Andriller - утиліта для збору даних з Android-пристроїв. Може бути використана для зняття блокування зі смартфона.

 

ALEAPP - парсер журналів подій і Protobuf для Android.

 

iLEAPP - парсер журналів подій для iOS.

 

РІЗНІ ІНСТРУМЕНТИ

 

Bitscout - інструмент для створення LiveCD/LiveUSB пристосованих для цифрової криміналістики тощо.

 

Digital Forensics Artifact Repository - машино зчитувальна база знань з цифрової криміналістики.

 

Sherloq - набір інструментів для судової експертизи цифрових фотографій.

 

Swap_digger - bash - скрипт, що автоматизує вилучення файлу підкачки Linux і пошук облікових даних користувачів, адрес електронної пошти, вмісту вебформ, WiFi SSID ключів та інших чутливих даних.

 

Bulk extractor - сканує образи дисків, каталоги або окремі файли та витягує з них корисну інформацію, наприклад, адреси електронної пошти, JPEG або JSON snippets.

 

LaZagne - додаток з відкритим вихідним кодом для вилучення паролів, що зберігаються на комп'ютері.

 

Fibratus - інструмент для дослідження і трасування ядра Windows.

 

Fflib - розширюваний відкритий формат для зберігання образів дисків і криміналістичної інформації.

 

Sigma - відкритий формат підпису для SIEM-систем.

За більш детальними консультаціями або зустрічами, звертайтесь до нас по телефону +38(096)-611-98-01.

До зустрічі, будемо раді Вам допомогти у Ваших справах.

Якорь 1
bottom of page