5 základních nástrojů pro výuku na SIFT Workstation
- Vrstva správy médií
- Vrstva souborového systému
- Vrstva souborů („Lidské rozhraní“)
- Vrstva metadat („Inode“)
- Vrstva obsahu („Blok“)
Výhodné je, že název každého nástroje odpovídá jeho účelu prostřednictvím jednotného formátu předpony/sufixu. Vezměme si například nástroj „mmls“, který se používá k zobrazení rozložení oddílů systému svazků. Předpona „mm“ říká, že pracuje ve vrstvě správy médií, zatímco přípona „ls“ je jednoduše linuxový příkaz „ls“ – slouží k výpisu souborů a adresářů. Ve skutečnosti vám „mmls“ poskytne rozvržení seznamu oddílů v systému svazků, které zahrnuje tabulky oddílů a popisky disků.
Co se týče nástroje „icat“, jeho předpona „i“ znamená, že pracuje ve vrstvě inodů (metadat), zatímco přípona je jednoduše linuxový příkaz „cat“ a používá se k zobrazení obsahu souboru. Pouze na základě názvu nástroje můžeme přesně odvodit, že „icat“ vypíše obsah souboru na základě jeho čísla inodu. A co víc, pracovní stanice SIFT se dodává také s grafickým rozhraním „Autopsy“, které abstrahuje a zjednodušuje interakci s programy a zásuvnými moduly TSK.
Ať už dáváte přednost práci z příkazového řádku nebo prostřednictvím rozhraní webového prohlížeče, TSK/Autopsy vám poskytne nástroje potřebné k provedení podrobného a důkladného forenzního zkoumání.
Volatilita
Současné kybernetické útoky se stále sofistikovaněji vyhýbají detekci a často nezanechávají žádné forenzní artefakty na pevném disku počítače oběti. To spolu s rozšířeným používáním šifrování celého disku klade ještě větší důraz na schopnost získat a provést podrobnou analýzu výpisu paměti počítačového systému.
Použití Volatility umožňuje vyšetřovateli provést forenzní analýzu paměti a zjistit velký objem cenných informací. Volatility dokáže identifikovat podvodné procesy a rootkity, stejně jako získat hashe hesel a důkazy o injektáži škodlivého kódu. Framework Volatility je šitý na míru pro provádění reakce na incidenty a analýzy škodlivého softwaru a podle mého názoru je pro moderního digitálního forenzního vyšetřovatele nezbytností.
RegRipper
V podnikovém světě jsou služby Active Directory a počítače se systémem Windows téměř všudypřítomné. Stejně tak operační systémy se systémem Windows tvoří velkou většinu podílu na trhu pro domácí uživatele. Nebylo by proto šokující zjistit, že velká část počítačové kriminality je páchána na počítačích se systémem Windows, a proto by nástroj pro analýzu specifický pro systém Windows měl pro digitálního forenzního experta skutečně velkou hodnotu.
Registr systému Windows je hierarchická databáze klíčů, podklíčů a hodnot, které poskytují kritická nízkoúrovňová nastavení operačního systému. Který uživatel se kdy přihlásil? V kolik hodin byl k zařízení připojen disk USB? Jaké bylo sériové číslo této jednotky USB? K jakým souborům se přistupovalo? Který uživatel co vyhledával? Všechny tyto údaje – a mnohem více – jsou zaznamenány v registru. Jednoduše řečeno, je to naprostý zlatý důl pro objevování forenzních artefaktů.
RegRipper je nástroj s otevřeným zdrojovým kódem navržený tak, aby poskytoval snadný způsob, jak analyzovat cílené hodnoty zájmu z registru za účelem provedení forenzní analýzy. Za tímto účelem zadá zkoušející příslušný rejstříkový blok, na který se chce zaměřit, například System nebo SAM, a název zásuvného modulu potřebného k provedení určité akce na cíli.
Například předáním rejstříkového bloku System ve spojení se zásuvným modulem Shutdown program RegRipper rychle analyzuje a vrátí příslušné informace týkající se doby posledního vypnutí systému. Jak už asi tušíte, RegRipper je neuvěřitelně silný nástroj a nezbytná součást pracovní stanice SIFT.
Wireshark
Žádný seznam by nebyl úplný bez zařazení známého analyzátoru paketů Wireshark. Tento nástroj je v síťové komunitě proslulý svými schopnostmi ladění a řešení problémů, dokáže nahlédnout do hloubky a rozklíčovat detaily všech dat procházejících po vedení. Pro účely síťové forenzní analýzy poskytuje Wireshark vyšetřovateli možnost identifikovat narušení a škodlivý provoz a také shromáždit informace, které pomohou vytvořit kontextový základ kolem potenciálního zločinu.
Předpokládejme, že šikovný zločinec pronikne do sítě, ale postará se o vymazání všech souborů protokolu a důkazů o své přítomnosti na cílovém počítači. Jediný zbývající záznam o tom, že se tak vůbec stalo, může ležet v provozu zaznamenaném analyzátorem paketů. Wireshark poskytuje sadu funkcí, které pomáhají izolovat a identifikovat potenciálně „zajímavý“ provoz, včetně filtrování podle zdrojové adresy, čísla portu a typu protokolu.
Síťová forenzní analýza se nakonec postupně stala důležitým pododvětvím vyšetřování digitálních zločinů a Wireshark se osvědčil jako neocenitelný doplněk forenzní sady nástrojů.
Plaso/Log2Timeline
Forenzní analýza vyžaduje mimořádný smysl pro detail a sestavení přesné časové osy událostí má při vyhodnocování důkazů, které máte k dispozici, zásadní význam. Chybná časová osa může být doslova rozdílem mezi objevením usvědčujících nebo vyviňujících důkazů. Místo toho, abyste se trápili ručním zkoumáním protokolů událostí, prefetchů, shellbagů a srovnáváním těchto dat z různorodých zdrojů, nabízí aplikace SIFT Workstation možnost vytvořit „super časovou osu“ pomocí jediného nástroje.
Přístroj Log2Timeline, postavený na backendovém enginu známém jako Plaso, má schopnost analyzovat všechny tyto informace a sestavit je v časovém pořadí – to vše přehledně v rámci jednoho zdroje dat. Log2Timeline vám pomůže poskytnout bohatý kontext vašich zjištění a je vynikající při eliminaci falešně pozitivních výsledků.
Log2Timeline vám nejen usnadní práci, ale také zlepší kvalitu vaší práce a často může vést k objevení nepolapitelného „posledního dílku skládačky“ potřebného k rozluštění případu. Je to skutečně vynikající nástroj.
Závěrečné myšlenky
SIFT Workstation je forenzní framework profesionální úrovně a nabízí množství vysoce kvalitních nástrojů s otevřeným zdrojovým kódem, které máte k dispozici. Doporučuji vám, abyste potěšili svou zvědavost a prozkoumali vše, co nabízí. Těchto pět nástrojů je bezpochyby mými nejoblíbenějšími z celé skupiny a podle mého názoru představují naprosto zásadní učivo digitální forenziky.