top of page

ПОСЛУГИ

Що таке інструменти цифрової криміналістичної експертизи?

На початку 90-х років, дослідження проводились наживо в реальному часі, використання дослідного пристрою здійснювалось без будь-яких засобів захисту даних. Зі змінами інформаційних технологій, з’явилась тенденція до зменшення пристроїв зберігання інформаційні, а інформаційний простір накопичувачів збільшувався. З часом використання пристроїв наповнених величезною кількістю інформації, зробило криміналістичний аналіз даних наживо, неефективним. Час потребував нових засобів дослідження даних, що спонукало експертів та фахівців з кібербезпеки, розробляти нові аналітичні програмні засоби з відкритим кодом, що давали можливість використання їх у розслідуваннях, не змінюючи інформаційної структури дослідних носіїв, здобувати цифрові докази. Також на при кінці тих самих 90-х, на комерційному ринку почали з’являтися програмні та апаратні засоби забезпечення розслідування кіберзлочинів. Шляхом таких розробок, що поєднали загальні методи криміналістики з новими сучасними цифровими методами відстеження, відновлення, фіксування даних, що об’єднали цифрове віртуальне середовище з фактичною об’єктивною реальністю та дають можливість збирати артефакти та за сукупності логічних складових яких, можна довести факт кіберзлочину.
Комп’ютерна криміналістика, залишається одною з головних складових цивільного процесу та виступає як форма збору доказової інформації (наприклад, електронні поштові повідомлення).

Багаторічна практика застосування інструментів цифрової експертизи з відкритим кодом (digital forensics software (DFS) tool), відповідає релевантністю процесів до програмних засобів з комерційними пропрієтарними складовими, а тому застосування їх є достатнім для глибокого аналізу інформаційного середовища носіїв даних та належним збиранням доказів для представлення їх до суду.
Найпопулярніші цифрові криміналістичні інструменти з відкритим кодом, які охоплюють багато реалізацій процесів з оптимальним часом здобування артефактів, розробниками групуються та інтегруються у динамічні портативні дистрибутиви операційних систем (Linux, Unix, Mаc), що вміщуються у повному зліпку файлів та налаштувань цієї самої системи, розміщені у файл образ (ISO), що має назву - Live CD, записаний на CD/DVD диск або розміщений на USB накопичувачі. Або містяться у дистрибутивах, що інсталюються в існуючи операційні системи, як окремі програми та утілити.
   
ОПЕРАЦІЙНІ СИСТЕМИ, ОРІЄНТОВАНІ НА ЦИФРОВУ КРИМІНАЛІСТИКУ
 
SIFT Workstation — набір безплатних інструментів для цифрової криміналістики та реагування на інциденти з відкритим вихідним кодом від SANS Institute. Універсальний і детально документований інструментарій на основі Ubuntu LTS 20.04.
 
Appliance for Digital Investigation and Analysis (ADIA) - Open Source - інструментарій для проведення цифрових розслідувань і збору даних, що включає Autopsy, Sleuth Kit, Digital Forensics Framework, log2timeline, Xplico і Wireshark. Доступний у вигляді образів для VMware і VirtualBox.
 
Skadi -  набір утиліт з відкритим вихідним кодом, який дає змогу збирати, обробляти і проводити розширений аналіз криміналістичних артефактів й зображень. Працює на MacOS, Windows і Linux, легко масштабується.
 
Autopsy - досить функціональна, щоб займати окреме місце в цьому списку. Це платформа для цифрової криміналістики та графічний інтерфейс для аналізатора образів дисків The Sleuth Kit, PhotoRec, STIX та інших програм для цифрової криміналістики. Підтримує сторонні модулі на Java і Python, що розширюють можливості платформи. 
 
ІНСТРУМЕНТИ ДЛЯ СПІЛЬНОГО РОЗСЛІДУВАННЯ
 
IRIS - вебдодаток для спільної роботи над складними та заплутаними розслідуваннями. Спрощує обмін файлами, наприклад, журналами Windows. Може бути розгорнута на сервері або локальному комп'ютері з Docker-образу.
 
Kuiper - платформа сфокусована на зборі та аналізі доказів. Надає зручний графічний інтерфейс, централізоване управління парсерами, підтримує масове завантаження артефактів з будь-яких каналів і дає змогу цілій групі аналітиків спільно маркувати та сортувати файли.
 
TheHive - платформа реагування на інциденти безпеки з відкритим вихідним кодом, призначена для SOC, CSIRT, CERT і будь-яких інших фахівців з інформаційної безпеки. Легко інтегрується з MISP і виділяється опрацьованою рольовою моделлю, що дозволяє аналітикам з різних компаній без проблем працювати над одним випадком.
 
GRR Rapid Response дає змогу групі аналітиків сортувати атаки та виконувати їхній аналіз віддалено в режимі реального часу. Складається з клієнтського python-агента, який встановлюється на цільові системи, та керує python-сервером. Підтримує низькорівневий доступ і автоматичне планування повторюваних завдань.
 
DFIRTrack - платформа для цифрової криміналістики, орієнтована на розбір одного або декількох великих інцидентів, що зачепили відразу багато різних систем. Являє собою вебдодаток для розгортання в Ubuntu, заснований на Django і використовує PostgreSQL.
 
Orochi - це платформа для групового аналізу дампів пам'яті. Де-факто являє собою графічний інтерфейс для Volatility 3. Зберігає результати роботи цієї утиліти в ElasticSearch.
 
Timesketch - утиліта для спільного timeline analysis. Дає змогу відновити та наочно представити послідовність подій під час інциденту.
 
МОНІТОРИНГ ХОСТІВ
 
Zentral - рішення для моніторингу кінцевих точок. Об'єднує збір журналів подій за допомогою osquery з гнучкою системою повідомлень і різними сховищами даних: ElasticStack, Azure Log Analytics, Splunk.
 
Fleetdm - інструмент для моніторингу хостів, який використовує osquery для отримання журналів подій і збирає їх із цільових систем у реальному часі.
 
POFR - клієнт-серверна "чорна скринька", яка реєструє дані про виконання процесів, доступ до файлів і мережевих з'єднань у Linux-системах, а потім передає звіти на сервер за протоколом SSH.
 
IntelMQ - система автоматизованого опрацювання інцидентів, яку можна використовувати для збору даних для подальшого аналізу. Має модульну структуру, що складається з ботів для вилучення, збагачення і запису даних.
 
Velociraptor - інструмент для збору інформації про стан хостів за допомогою гнучкої мови запитів VQL. Дозволяє значною мірою автоматизувати збір різноманітних криміналістичних артефактів.
 
Meerkat - набір модулів PowerShell, призначених для збору артефактів із систем на базі Windows без попереднього встановлення агента. Сценарії використання включають реагування на загрози, пошук загроз, базовий моніторинг, порівняння снапшотів.
 
IOC - СКАНЕРИ
 
Loki - простий сканер індикаторів компрометації для перевірки кінцевих точок.
 
Fenrir - універсальний bash-скрипт для сканування Linux, OSX і Unix систем. Працює з широким набором індикаторів компрометації.
 
Fastfinder - кросплатформенна утиліта для пошуку підозрілих файлів. Підтримує контрольні суми md5/sha1/sha256, регулярні вирази та правила YARA.
 
ЗБИРАННЯ АРТЕФАКТІВ
 
Artifactcollector - агент, що налаштовується, для збору артефактів з Windows, macOS і Linux. Вміє витягувати файли, каталоги, записи реєстру, команди WMI. Інтегрується з Digital Forensics Artifact Repository.
 
Osquery - аналітика операційної системи для знавців баз даних. Утиліта представляє операційну систему як високопродуктивну реляційну базу даних. Це дає змогу використовувати SQL для роботи з усім вмістом комп'ютера. Доступна для Linux, macOS, Windows і FreeBSD.
 
Ir-rescue - пара сценаріїв для Windows і Unix, які збирають великий обсяг криміналістичних даних, що відповідає потребам більшості розслідувань. Запускають безліч команд та інструментів, тому залишають помітні сліди в системі.
 
UAC - (Unix-like Artifacts Collector) - використовує вбудовані інструменти Unix-подібних систем для автоматизації збору артефактів. Працює незалежно від архітектури, зокрема на macOS і Android.
 
FastIR Artifacts - кросплатформний збирач артефактів із підтримкою Digital Forensics Artifact Repository.
 
DFTimewolf - фреймворк для організації збору, обробки та експорту даних, цінних для криміналістів.
 
AChoir - сценарій для збору артефактів Windows у режимі реального часу.
 
CyLR - інструмент для збору криміналістичних артефактів із систем із файловою системою NTFS.
 
DFIR ORC - тулкіт для делікатного збору артефактів: файлових таблиць, гілок реєстру та журналів подій з машин під управлінням Windows. Розроблено так, щоб звести до мінімуму вплив на систему, в якій він працює. Не встановлює жодних програм, створює мінімум файлів, ключів реєстру та служб і записує мінімально необхідний обсяг даних.
  
РОБОТА З РЕЄСТРОМ
 
RegRipper - інструмент з відкритим вихідним кодом для вилучення інформації (ключі, значення, інші дані) з реєстру. Написаний мовою Perl.
 
RegRippy і Regipy -  пара бібліотек для читання і вилучення корисних криміналістичних даних з гілок реєстру Windows. Цього разу на Python.
 
РОБОТА З ЖУРНАЛАМИ 
 
Logdissect - CLI-утиліта і Python API для аналізу, фільтрації та експорту даних у файли журналу Windows або JSON.
 
APT Hunter - розроблений для пошуку підозрілої активності в журналах Windows. Автоматизує збір журналів Sysmon, Security, System, Powershell, Powershell Operational, ScheduledTask, WinRM, TerminalServices, Windows Defender. Сортує події за серйозністю і веде статистику, яка допомагає виявляти аномалії.
 
LogonTracer - аналізує Windows Active Directory, пов'язує ім'я хоста (або IP-адресу) та ім'я облікового запису, знайдені в подіях, пов'язаних із входом у систему, а потім відображає їх у вигляді схеми. Дозволяє реконструювати історію авторизацій.
 
StreamAlert - без серверна система аналізу журналів у реальному часі, написана на Python. Приймає дані з будь-яких джерел, має вбудовану систему сповіщень на основі настроюваної користувацької логіки. Виконується з мінімальними привілеями, зберігає дані в зашифрованому вигляді.
 
USBRip - проста консольна утиліта для відновлення історії підключення USB-носіїв до комп'ютерів під керуванням Linux. Може експортувати зібрані дані у JSON-файл.
​​
РОБОТА З ПАМ'ЯТТЮ ТА ОБРАЗАМИ СИСТЕМИ
 
Volatility 3 - один із найпопулярніших фреймворків для дослідження дампів оперативної пам'яті. Підтримує 18 різних версій операційних систем, вміє працювати з дампами ядра Virtualbox і снапшотами VMware.
 
AVML - портативний інструмент для збору даних з енергонезалежної пам'яті Linux-систем. Написаний на Rust і призначений для розгортання у вигляді статичного бінарного файлу. Його можна використовувати для отримання даних "наосліп", не знаючи версію дистрибутив цільової ОС.
 
LiME - модуль ядра (LKM), що завантажується, для захоплення даних із пам'яті пристроїв під управлінням Linux, зокрема й Android-смартфонів. Розвивається і вдосконалюється з 2012 року.

Bmap-tools - інструмент для копіювання файлів з використанням створення карти блоків (bmap).
 
INDXParse - тулкіт для вилучення артефактів NTFS.
 
nTimetools - інструментарій для роботи з тимчасовими мітками в Windows. Дозволяє експертам-криміналістам перевіряти мітки у файловій системі NTFS з точністю до 100 наносекунд.
 
RecuperaBit - утиліта для криміналістичної реконструкції файлової системи та відновлення файлів. Підтримує тільки NTFS.
 
Sleuth Kit - бібліотека для низькорівневого дослідження образів дисків, файлових систем і пошуку доказів.
 
MemProcFS - утиліта для простого доступу до фізичної пам'яті, як до файлів віртуальної файлової системи.
 
dof (Docker Forensics Toolkit) - витягує і допомагає інтерпретувати криміналістичні артефакти з Docker-контейнерів. Відображає історію складання образу, монтує файлову систему контейнера в заданому місці, розподіляє артефакти за часовою шкалою тощо.
​​
ВИЛУЧЕННЯ ВЕБ-АРТЕФАКТІВ
 
Hindsight - простий і функціональний інструмент для аналізу вебартефактів з підтримкою браузерів на базі Chromium. Дає змогу аналізувати історію відвідувань і завантажень, вміст кешу, cookie, закладки, автозаповнення, збережені налаштування, розширення і паролі. Усі витягнуті дані поміщаються на тимчасову шкалу.
 
Dumpzilla - аналогічна програма для збору цікавої інформації з браузерів Firefox, Iceweasel і Seamonkey.
 
РОБОТА З МЕТАДАНИМИ
 
Exif Tool - читання, запис і редагування метаданих у файлах різних графічних форматів.
 
Exiv2 - бібліотека для роботи з метаданими Exif, IPTC, XMP і ICC.
 
PdfParser - служить для вилучення даних із файлу PDF-файлів.
 
FOCA -  інструмент для пошуку метаданих і прихованої інформації в документах, завантажених у веб. Працює з Microsoft Office, Open Office, PDF, Adobe InDesign і SVG.
 
ІНСТРУМЕНТИ ДЛЯ MAC
 
macOS Artifact Parsing Tool - комплект для обробки образів дисків Mac і вилучення даних, корисних для розслідування. Являє собою фреймворк на основі Python, і плагіни для обробки окремих артефактів, наприклад, історії Safari.
 
ESF Playground - інструмент для перегляду подій в Apple Endpoint Security Framework (ESF) в режимі реального часу.
 
Knockknock - виводить повний список елементів (програм, скриптів, команд, двійкових файлів), які автоматично виконуються в macOS.
 
ІНСТРУМЕНТИ ДЛЯ СМАРТФОНІВ

MobSF - автоматизована система для аналізу шкідливих програм і оцінки безпеки мобільних додатків (Android/iOS/Windows), здатна виконувати статичний і динамічний аналіз. Підтримує бінарні файли мобільних застосунків (APK, XAPK, IPA та APPX) разом із заархівованим вихідним кодом і надає REST API для безшовної інтеграції з конвеєром CI/CD або DevSecOps.
 
Andriller - утиліта для збору даних з Android-пристроїв. Може бути використана для зняття блокування зі смартфона.
 
ALEAPP - парсер журналів подій і Protobuf для Android.
 
iLEAPP - парсер журналів подій для iOS.
 
РІЗНІ ІНСТРУМЕНТИ
 
Bitscout - інструмент для створення LiveCD/LiveUSB пристосованих для цифрової криміналістики тощо.
 
Digital Forensics Artifact Repository - машино зчитувальна база знань з цифрової криміналістики.
 
Sherloq - набір інструментів для судової експертизи цифрових фотографій.
 
Swap_digger - bash - скрипт, що автоматизує вилучення файлу підкачки Linux і пошук облікових даних користувачів, адрес електронної пошти, вмісту вебформ, WiFi SSID ключів та інших чутливих даних.
 
Bulk extractor - сканує образи дисків, каталоги або окремі файли та витягує з них корисну інформацію, наприклад, адреси електронної пошти, JPEG або JSON snippets.
 
LaZagne - додаток з відкритим вихідним кодом для вилучення паролів, що зберігаються на комп'ютері.
 
Fibratus - інструмент для дослідження і трасування ядра Windows.
 
Fflib - розширюваний відкритий формат для зберігання образів дисків і криміналістичної інформації.
 
Sigma - відкритий формат підпису для SIEM-систем.

За більш детальними консультаціями або зустрічами, звертайтесь до нас по телефону

Якорь 1

ВІДПРАВИТИ ЗАПИТ

Інформація відпрвалена. Дякую!

Цей вебсайт призначений виключно для інформаційних цілей. Присутню на вебсайті інформацію можна використовувати лише в інформаційних цілях. Будь-яке копіювання, дуплікація, дублювання, передрук та подальше поширення інформації, для використання у будь-якій іншій власності, заборонено. Всі опубліковані на цьому сайті матеріали не підлягають подальшому відтворенню та/або розповсюдженню в будь-якій формі без письмового дозволу власника цього сайту. Цей вебсайт може збирати інформацію про своїх відвідувачів. Ця інформація обмежена, та вона ніколи не розголошується та використовується для внутрішнього використання. З подальшим перебуванням на цьому вебсайті Відвідувачі погоджуються, що Cyber Consulting, Inc може збирати цю інформацію та використовувати її на свій розсуд. Cyber Consulting, Inc надає своїм клієнтам індивідуальні консультаційні послуги, що зосереджені на технологічному консультуванні та наданню послуг в галузі цифрової криміналістики, збору цифрових артефактів, ІТ-безпеки, ІТ-аудиту.

© 2016-2025 | Всі права захищені, CYBER-CONSULTING

bottom of page