top of page

ПОСЛУГИ

Що таке інструменти цифрової криміналістичної експертизи?

На початку 90-х років, дослідження проводились наживо в реальному часі, використання дослідного пристрою здійснювалось без будь-яких засобів захисту даних. Зі змінами інформаційних технологій, з’явилась тенденція до зменшення пристроїв зберігання інформаційні, а інформаційний простір накопичувачів збільшувався. З часом використання пристроїв наповнених величезною кількістю інформації, зробило криміналістичний аналіз даних наживо, неефективним. Час потребував нових засобів дослідження даних, що спонукало експертів та фахівців з кібербезпеки, розробляти нові аналітичні програмні засоби з відкритим кодом, що давали можливість використання їх у розслідуваннях, не змінюючи інформаційної структури дослідних носіїв, здобувати цифрові докази. Також на при кінці тих самих 90-х, на комерційному ринку почали з’являтися програмні та апаратні засоби забезпечення розслідування кіберзлочинів. Шляхом таких розробок, що поєднали загальні методи криміналістики з новими сучасними цифровими методами відстеження, відновлення, фіксування даних, що об’єднали цифрове віртуальне середовище з фактичною об’єктивною реальністю та дають можливість збирати артефакти та за сукупності логічних складових яких, можна довести факт кіберзлочину.
Комп’ютерна криміналістика, залишається одною з головних складових цивільного процесу та виступає як форма збору доказової інформації (наприклад, електронні поштові повідомлення).

Багаторічна практика застосування інструментів цифрової експертизи з відкритим кодом (digital forensics software (DFS) tool), відповідає релевантністю процесів до програмних засобів з комерційними пропрієтарними складовими, а тому застосування їх є достатнім для глибокого аналізу інформаційного середовища носіїв даних та належним збиранням доказів для представлення їх до суду.
Найпопулярніші цифрові криміналістичні інструменти з відкритим кодом, які охоплюють багато реалізацій процесів з оптимальним часом здобування артефактів, розробниками групуються та інтегруються у динамічні портативні дистрибутиви операційних систем (Linux, Unix, Mаc), що вміщуються у повному зліпку файлів та налаштувань цієї самої системи, розміщені у файл образ (ISO), що має назву - Live CD, записаний на CD/DVD диск або розміщений на USB накопичувачі. Або містяться у дистрибутивах, що інсталюються в існуючи операційні системи, як окремі програми та утілити.
   
ОПЕРАЦІЙНІ СИСТЕМИ, ОРІЄНТОВАНІ НА ЦИФРОВУ КРИМІНАЛІСТИКУ
 
SIFT Workstation — набір безплатних інструментів для цифрової криміналістики та реагування на інциденти з відкритим вихідним кодом від SANS Institute. Універсальний і детально документований інструментарій на основі Ubuntu LTS 20.04.
 
Appliance for Digital Investigation and Analysis (ADIA) - Open Source - інструментарій для проведення цифрових розслідувань і збору даних, що включає Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico і Wireshark. Доступний у вигляді образів для VMware і VirtualBox.
 
Skadi -  набір утиліт з відкритим вихідним кодом, який дає змогу збирати, обробляти і проводити розширений аналіз криміналістичних артефактів й зображень. Працює на MacOS, Windows і Linux, легко масштабується.
 
Autopsy - досить функціональна, щоб займати окреме місце в цьому списку. Це платформа для цифрової криміналістики та графічний інтерфейс для аналізатора образів дисків The Sleuth Kit, PhotoRec, STIX та інших програм для цифрової криміналістики. Підтримує сторонні модулі на Java і Python, що розширюють можливості платформи. 
 
ІНСТРУМЕНТИ ДЛЯ СПІЛЬНОГО РОЗСЛІДУВАННЯ
 
IRIS - вебдодаток для спільної роботи над складними та заплутаними розслідуваннями. Спрощує обмін файлами, наприклад, журналами Windows. Може бути розгорнута на сервері або локальному комп'ютері з Docker-образу.
 
Kuiper - платформа сфокусована на зборі та аналізі доказів. Надає зручний графічний інтерфейс, централізоване управління парсерами, підтримує масове завантаження артефактів з будь-яких каналів і дає змогу цілій групі аналітиків спільно маркувати та сортувати файли.
 
TheHive - платформа реагування на інциденти безпеки з відкритим вихідним кодом, призначена для SOC, CSIRT, CERT і будь-яких інших фахівців з інформаційної безпеки. Легко інтегрується з MISP і виділяється опрацьованою рольовою моделлю, що дозволяє аналітикам з різних компаній без проблем працювати над одним випадком.
 
GRR Rapid Response дає змогу групі аналітиків сортувати атаки та виконувати їхній аналіз віддалено в режимі реального часу. Складається з клієнтського python-агента, який встановлюється на цільові системи, та керує python-сервером. Підтримує низькорівневий доступ і автоматичне планування повторюваних завдань.
 
DFIRTrack - платформа для цифрової криміналістики, орієнтована на розбір одного або декількох великих інцидентів, що зачепили відразу багато різних систем. Являє собою вебдодаток для розгортання в Ubuntu, заснований на Django і використовує PostgreSQL.
 
Orochi - це платформа для групового аналізу дампів пам'яті. Де-факто являє собою графічний інтерфейс для Volatility 3. Зберігає результати роботи цієї утиліти в ElasticSearch.
 
Timesketch - утиліта для спільного timeline analysis. Дає змогу відновити та наочно представити послідовність подій під час інциденту.
 
МОНІТОРИНГ ХОСТІВ
 
Zentral - рішення для моніторингу кінцевих точок. Об'єднує збір журналів подій за допомогою osquery з гнучкою системою повідомлень і різними сховищами даних: ElasticStack, Azure Log Analytics, Splunk.
 
Fleetdm - інструмент для моніторингу хостів, який використовує osquery для отримання журналів подій і збирає їх із цільових систем у реальному часі.
 
POFR - клієнт-серверна "чорна скринька", яка реєструє дані про виконання процесів, доступ до файлів і мережевих з'єднань у Linux-системах, а потім передає звіти на сервер за протоколом SSH.
 
IntelMQ - система автоматизованого опрацювання інцидентів, яку можна використовувати для збору даних для подальшого аналізу. Має модульну структуру, що складається з ботів для вилучення, збагачення і запису даних.
 
Velociraptor - інструмент для збору інформації про стан хостів за допомогою гнучкої мови запитів VQL. Дозволяє значною мірою автоматизувати збір різноманітних криміналістичних артефактів.
 
Meerkat - набір модулів PowerShell, призначених для збору артефактів із систем на базі Windows без попереднього встановлення агента. Сценарії використання включають реагування на загрози, пошук загроз, базовий моніторинг, порівняння снапшотів.
 
IOC - СКАНЕРИ
 
Loki - простий сканер індикаторів компрометації для перевірки кінцевих точок.
 
Fenrir - універсальний bash-скрипт для сканування Linux, OSX і Unix систем. Працює з широким набором індикаторів компрометації.
 
Fastfinder - кросплатформенна утиліта для пошуку підозрілих файлів. Підтримує контрольні суми md5/sha1/sha256, регулярні вирази та правила YARA.
 
ЗБИРАННЯ АРТЕФАКТІВ
 
Artifactcollector - агент, що налаштовується, для збору артефактів з Windows, macOS і Linux. Вміє витягувати файли, каталоги, записи реєстру, команди WMI. Інтегрується з Digital Forensics Artifact Repository.
 
Osquery - аналітика операційної системи для знавців баз даних. Утиліта представляє операційну систему як високопродуктивну реляційну базу даних. Це дає змогу використовувати SQL для роботи з усім вмістом комп'ютера. Доступна для Linux, macOS, Windows і FreeBSD.
 
Ir-rescue - пара сценаріїв для Windows і Unix, які збирають великий обсяг криміналістичних даних, що відповідає потребам більшості розслідувань. Запускають безліч команд та інструментів, тому залишають помітні сліди в системі.
 
UAC - (Unix-like Artifacts Collector) - використовує вбудовані інструменти Unix-подібних систем для автоматизації збору артефактів. Працює незалежно від архітектури, зокрема на macOS і Android.
 
FastIR Artifacts - кросплатформний збирач артефактів із підтримкою Digital Forensics Artifact Repository.
 
DFTimewolf - фреймворк для організації збору, обробки та експорту даних, цінних для криміналістів.
 
AChoir - сценарій для збору артефактів Windows у режимі реального часу.
 
CyLR - інструмент для збору криміналістичних артефактів із систем із файловою системою NTFS.
 
DFIR ORC - тулкіт для делікатного збору артефактів: файлових таблиць, гілок реєстру та журналів подій з машин під управлінням Windows. Розроблено так, щоб звести до мінімуму вплив на систему, в якій він працює. Не встановлює жодних програм, створює мінімум файлів, ключів реєстру та служб і записує мінімально необхідний обсяг даних.
  
РОБОТА З РЕЄСТРОМ
 
RegRipper - інструмент з відкритим вихідним кодом для вилучення інформації (ключі, значення, інші дані) з реєстру. Написаний мовою Perl.
 
RegRippy і Regipy -  пара бібліотек для читання і вилучення корисних криміналістичних даних з гілок реєстру Windows. Цього разу на Python.
 
РОБОТА З ЖУРНАЛАМИ 
 
Logdissect - CLI-утиліта і Python API для аналізу, фільтрації та експорту даних у файли журналу Windows або JSON.
 
APT Hunter - розроблений для пошуку підозрілої активності в журналах Windows. Автоматизує збір журналів Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортує події за серйозністю і веде статистику, яка допомагає виявляти аномалії.
 
LogonTracer - аналізує Windows Active Directory, пов'язує ім'я хоста (або IP-адресу) та ім'я облікового запису, знайдені в подіях, пов'язаних із входом у систему, а потім відображає їх у вигляді схеми. Дозволяє реконструювати історію авторизацій.
 
StreamAlert - без серверна система аналізу журналів у реальному часі, написана на Python. Приймає дані з будь-яких джерел, має вбудовану систему сповіщень на основі настроюваної користувацької логіки. Виконується з мінімальними привілеями, зберігає дані в зашифрованому вигляді.
 
USBRip - проста консольна утиліта для відновлення історії підключення USB-носіїв до комп'ютерів під керуванням Linux. Може експортувати зібрані дані у JSON-файл.
​​
РОБОТА З ПАМ'ЯТТЮ ТА ОБРАЗАМИ СИСТЕМИ
 
Volatility 3 - один із найпопулярніших фреймворків для дослідження дампів оперативної пам'яті. Підтримує 18 різних версій операційних систем, вміє працювати з дампами ядра Virtualbox і снапшотами VMware.
 
AVML - портативний інструмент для збору даних з енергонезалежної пам'яті Linux-систем. Написаний на Rust і призначений для розгортання у вигляді статичного бінарного файлу. Його можна використовувати для отримання даних "наосліп", не знаючи версію дистрибутив цільової ОС.
 
LiME - модуль ядра (LKM), що завантажується, для захоплення даних із пам'яті пристроїв під управлінням Linux, зокрема й Android-смартфонів. Розвивається і вдосконалюється з 2012 року.

Bmap-tools - інструмент для копіювання файлів з використанням створення карти блоків (bmap).
 
INDXParse - тулкіт для вилучення артефактів NTFS.
 
nTimetools - інструментарій для роботи з тимчасовими мітками в Windows. Дозволяє експертам-криміналістам перевіряти мітки у файловій системі NTFS з точністю до 100 наносекунд.
 
RecuperaBit - утиліта для криміналістичної реконструкції файлової системи та відновлення файлів. Підтримує тільки NTFS.
 
Sleuth Kit - бібліотека для низькорівневого дослідження образів дисків, файлових систем і пошуку доказів.
 
MemProcFS - утиліта для простого доступу до фізичної пам'яті, як до файлів віртуальної файлової системи.
 
dof (Docker Forensics Toolkit) - витягує і допомагає інтерпретувати криміналістичні артефакти з Docker-контейнерів. Відображає історію складання образу, монтує файлову систему контейнера в заданому місці, розподіляє артефакти за часовою шкалою тощо.
​​
ВИЛУЧЕННЯ ВЕБ-АРТЕФАКТІВ
 
Hindsight - простий і функціональний інструмент для аналізу вебартефактів з підтримкою браузерів на базі Chromium. Дає змогу аналізувати історію відвідувань і завантажень, вміст кешу, cookie, закладки, автозаповнення, збережені налаштування, розширення і паролі. Усі витягнуті дані поміщаються на тимчасову шкалу.
 
Dumpzilla - аналогічна програма для збору цікавої інформації з браузерів Firefox, Iceweasel і Seamonkey.
 
РОБОТА З МЕТАДАНИМИ
 
Exif Tool - читання, запис і редагування метаданих у файлах різних графічних форматів.
 
Exiv2 - бібліотека для роботи з метаданими Exif, IPTC, XMP і ICC.
 
PdfParser - служить для вилучення даних із файлу PDF-файлів.
 
FOCA -  інструмент для пошуку метаданих і прихованої інформації в документах, завантажених у веб. Працює з Microsoft Office, Open Office, PDF, Adobe InDesign і SVG.
 
ІНСТРУМЕНТИ ДЛЯ MAC
 
macOS Artifact Parsing Tool - комплект для обробки образів дисків Mac і вилучення даних, корисних для розслідування. Являє собою фреймворк на основі Python, і плагіни для обробки окремих артефактів, наприклад, історії Safari.
 
ESF Playground - інструмент для перегляду подій в Apple Endpoint Security Framework (ESF) в режимі реального часу.
 
Knockknock - виводить повний список елементів (програм, скриптів, команд, двійкових файлів), які автоматично виконуються в macOS.
 
ІНСТРУМЕНТИ ДЛЯ СМАРТФОНІВ

MobSF - автоматизована система для аналізу шкідливих програм і оцінки безпеки мобільних додатків (Android/iOS/Windows), здатна виконувати статичний і динамічний аналіз. Підтримує бінарні файли мобільних застосунків (APK, XAPK, IPA та APPX) разом із заархівованим вихідним кодом і надає REST API для безшовної інтеграції з конвеєром CI/CD або DevSecOps.
 
Andriller - утиліта для збору даних з Android-пристроїв. Може бути використана для зняття блокування зі смартфона.
 
ALEAPP - парсер журналів подій і Protobuf для Android.
 
iLEAPP - парсер журналів подій для iOS.
 
РІЗНІ ІНСТРУМЕНТИ
 
Bitscout - інструмент для створення LiveCD/LiveUSB пристосованих для цифрової криміналістики тощо.
 
Digital Forensics Artifact Repository - машино зчитувальна база знань з цифрової криміналістики.
 
Sherloq - набір інструментів для судової експертизи цифрових фотографій.
 
Swap_digger - bash - скрипт, що автоматизує вилучення файлу підкачки Linux і пошук облікових даних користувачів, адрес електронної пошти, вмісту вебформ, WiFi SSID ключів та інших чутливих даних.
 
Bulk extractor - сканує образи дисків, каталоги або окремі файли та витягує з них корисну інформацію, наприклад, адреси електронної пошти, JPEG або JSON snippets.
 
LaZagne - додаток з відкритим вихідним кодом для вилучення паролів, що зберігаються на комп'ютері.
 
Fibratus - інструмент для дослідження і трасування ядра Windows.
 
Fflib - розширюваний відкритий формат для зберігання образів дисків і криміналістичної інформації.
 
Sigma - відкритий формат підпису для SIEM-систем.

За більш детальними консультаціями або зустрічами, звертайтесь до нас по телефону

Якорь 1
bottom of page