5 vigtige værktøjer til at lære om SIFT Workstation
- Media Management Layer
- File System Layer
- File Layer
- File Layer (“The Human Interface”)
- Metadata (“Inode”) Layer
- Indhold (“Block”) Layer
Hjemmelighedsvis svarer hvert værktøjs navn til dets formål via et konsistent præfiks/suffiks-format. Tag f.eks. værktøjet “mmls”, som bruges til at vise partitionslayoutet for et volumensystem. Præfikset “mm” fortæller dig, at det arbejder i mediehåndteringslaget, mens suffikset “ls” ganske enkelt er Linux-kommandoen “ls” – der bruges til at liste filer og mapper. I realiteten vil “mmls” give dig et liste-layout af partitionerne i et volumensystem, som omfatter partitionstabeller og disketiketter.
Men med hensyn til værktøjet “icat” angiver dets præfiks “i”, at det opererer på inode-laget (metadata), mens suffikset simpelthen er Linux-kommandoen “cat” og bruges til at vise indholdet af en fil. Alene på baggrund af værktøjets navn kan vi præcist udlede, at “icat” vil vise indholdet af en fil baseret på dens inode-nummer. Endnu bedre er det, at SIFT Workstation også leveres med “Autopsy”, en GUI-grænseflade, som abstraherer og forenkler interaktionen med TSK’s programmer og plugins.
Hvorvidt du foretrækker at arbejde fra kommandolinjen eller via en web-browser-grænseflade, vil TSK/Autopsy give dig de nødvendige værktøjer til at udføre en detaljeret og robust kriminalteknisk undersøgelse.
Volatilitet
De moderne cyberangreb bliver mere og mere sofistikerede i forhold til at unddrage sig opdagelse og efterlader ofte ingen kriminaltekniske artefakter på offermaskinens harddisk. Dette kombineret med den udbredte brug af kryptering af hele disken har givet endnu større betydning for evnen til at udtrække og foretage en detaljeret analyse af et computersystems hukommelsesdump.
Med Volatility kan en undersøger foretage hukommelsesforskerundersøgelser og konstatere en stor mængde værdifulde oplysninger. Volatility kan identificere uautoriserede processer og rootkits samt hente hashes af adgangskoder og beviser for indføring af skadelig kode. Volatility-rammen er skræddersyet til at udføre incident response og malware-analyse og er efter min mening et must for den moderne digitale kriminalteknisk undersøger.
RegRipper
I virksomhedsverdenen er Active Directory og Windows-maskiner næsten allestedsnærværende. Tilsvarende tegner Windows-baserede operativsystemer sig for et stort flertal af markedsandelen for private brugere. Det ville derfor ikke være chokerende at erfare, at en stor del af computerkriminalitet begås på Windows-maskiner, og som sådan ville et Windows-specifikt analyseværktøj faktisk være af stor værdi for en digital kriminalteknisk undersøger.
Windows-registret er en hierarkisk database af nøgler, undernøgler og værdier, som giver vigtige indstillinger på lavt niveau til operativsystemet. Hvilken bruger loggede på hvornår? Hvornår blev der tilsluttet et USB-drev til enheden? Hvad var dette USB-drevets serienummer? Hvilke filer blev der tilgået? Hvilken bruger søgte hvad? Alle disse detaljer – og meget mere – er registreret i registret. Kort sagt er det en absolut guldgrube til at opdage retsmedicinske artefakter.
RegRipper er et open source-værktøj designet til at give en nem måde at parse målrettede værdier af interesse fra registreringsdatabasen med henblik på at udføre en retsmedicinsk analyse. For at gøre dette giver undersøgeren det relevante Registry Hive, som han/hun ønsker at målrette, f.eks. System eller SAM, og navnet på et plugin, der kræves for at udføre en bestemt handling på målet.
For eksempel vil RegRipper ved at indsende System Hive sammen med Shutdown-plugin’et hurtigt analysere og returnere de relevante oplysninger om, hvornår systemet sidst blev lukket ned, og returnere dem. Som du sikkert kan se, er RegRipper et utroligt potent værktøj og en vigtig komponent i SIFT Workstation.
Wireshark
Ingen liste ville være komplet uden medtagelse af den velkendte pakkeanalysator Wireshark. Værktøjet, der er berømt inden for netværksverdenen for sine evner til fejlfinding og fejlfinding, har evnen til at kigge dybt og udrede detaljerne i alle data, der passerer gennem ledningen. Med henblik på netværksforskning giver Wireshark en undersøger mulighed for at identificere indbrud og skadelig trafik samt indsamle oplysninger, der kan hjælpe med at etablere et kontekstuelt grundlag omkring en potentiel forbrydelse.
Sæt, at en dygtig kriminel bryder ind i netværket, men sørger for at slette alle logfiler og beviser for deres tilstedeværelse på målmaskinen. Den eneste tilbageværende dokumentation for, at dette nogensinde er sket, kan ligge i den trafik, der er registreret af pakkeanalysatoren. Wireshark indeholder en række funktioner til at hjælpe med at isolere og identificere potentielt “interessant” trafik, herunder filtrering efter kildeadresse, portnummer og protokoltype.
Netværkskriminaltekniske undersøgelser er efterhånden blevet en vigtig undergren i efterforskningen af digitale forbrydelser, og Wireshark har vist sig at være en uvurderlig tilføjelse til den kriminaltekniske værktøjskasse.
Plaso/Log2Timeline
Forensisk analyse kræver en ekstrem opmærksomhed på detaljer, og opbygning af en nøjagtig tidslinje over begivenhederne er af principiel betydning, når man vurderer de beviser, man er i besiddelse af. En fejlagtig tidslinje kan bogstaveligt talt være forskellen mellem at opdage beviser, der er inkulperende eller diskulperende. I stedet for at lide under de lassende kvaler ved manuelt at undersøge hændelseslogfiler, prefetch, shellbags og samle disse data fra forskellige kilder, tilbyder SIFT Workstation en mulighed for at oprette en “supertidslinje” ved hjælp af ét værktøj.
Bygget på en backend-motor kendt som Plaso, har Log2Timeline mulighed for at analysere alle disse oplysninger og samle dem i tidsmæssig rækkefølge – alt sammen pænt i én datakilde. Log2Timeline er med til at give et væld af kontekst til dine fund og er fremragende til at eliminere falske positiver.
Log2Timeline gør ikke kun dit arbejde lettere, det forbedrer også kvaliteten af dit arbejde og kan ofte føre til at opdage den undvigende “sidste brik i puslespillet”, der er nødvendig for at løse en sag. Det er virkelig et fremragende værktøj.
Sluttelige tanker
SIFT Workstation er et professionelt forensisk rammeværk i professionel kvalitet og tilbyder en overflod af open source-værktøjer af høj kvalitet til din rådighed. Jeg vil opfordre dig til at give efter for din nysgerrighed og udforske alt, hvad det har at tilbyde. Disse fem værktøjer er uden tvivl mine favoritter af slagsen og repræsenterer efter min mening absolut nødvendig digital kriminalteknisk læring.