5 olennaista työkalua SIFT-työaseman oppimiseen
- Medianhallintakerros
- tiedostojärjestelmäkerros
- tiedostokerros (”The Human Interface”)
- Metadata (”Inode”) Layer
- Content (”Block”) Layer
Käytännöllisesti katsoen jokaisen työkalun nimi vastaa sen käyttötarkoitusta johdonmukaisen etuliite/suffix-muodon kautta. Otetaan esimerkiksi työkalu ”mmls”, jota käytetään tilavuusjärjestelmän osioiden asettelun näyttämiseen. Etuliite ”mm” kertoo, että se toimii Media Management -tasolla, kun taas loppuliite ”ls” on yksinkertaisesti Linuxin komento ”ls”, jota käytetään tiedostojen ja hakemistojen luettelointiin. Tosiasiassa ”mmls” antaa sinulle luettelon levyjärjestelmän osioiden asettelusta, joka sisältää osiotaulukot ja levyjen merkinnät.
Työkalun ”icat” etuliite ”i” kertoo, että se toimii inode-kerroksessa (metatiedot), kun taas loppuliite on yksinkertaisesti Linux-komento ”cat” ja sitä käytetään tiedoston sisällön näyttämiseen. Pelkästään työkalun nimen perusteella voimme päätellä, että ”icat” näyttää tiedoston sisällön sen inode-numeron perusteella. Vielä parempaa on, että SIFT Workstationin mukana toimitetaan myös ”Autopsy”, graafinen käyttöliittymä, joka abstrahoi ja yksinkertaistaa vuorovaikutusta TSK:n ohjelmien ja lisäosien kanssa.
Työskentelitpä sitten mieluummin komentoriviltä tai web-selainkäyttöliittymän kautta, TSK/Autopsy tarjoaa sinulle tarvittavat työkalut yksityiskohtaisen ja vankan rikosteknisen tutkimuksen suorittamiseen.
Vaihtelevuus
Nykyaikaiset verkkohyökkäykset ovat yhä kehittyneempiä havaitsemisen välttämisessä, eivätkä ne usein jätä rikosteknisiä artefakteja uhrikoneen kiintolevylle. Tämä yhdistettynä koko levyn salauksen laajamittaiseen käyttöön on lisännyt entisestään tietokonejärjestelmän muistidumppien poimimisen ja yksityiskohtaisen analysoinnin tärkeyttä.
Volatilityn avulla tutkija voi suorittaa muistitutkimuksia ja saada selville suuren määrän arvokasta tietoa. Volatility voi tunnistaa rogue-prosessit ja rootkitit sekä hakea salasanojen hasheja ja todisteita haitallisen koodin injektoinnista. Volatility-kehys on räätälöity vaaratilanteisiin vastaamiseen ja haittaohjelmien analysointiin, ja mielestäni se on nykyaikaisen digitaalisen rikostutkijan pakko-opiskeltava.
RegRipper
Yritysmaailmassa Active Directory ja Windows-koneet ovat lähes kaikkialla läsnä. Samoin Windows-pohjaiset käyttöjärjestelmät muodostavat suurimman osan kotikäyttäjien markkinaosuudesta. Siksi ei olisi järkyttävää kuulla, että suuri osa tietokonerikoksista tehdään Windows-koneilla, ja siksi Windows-kohtainen analyysityökalu tosiaan tarjoaisi suuren arvon digitaalisen rikostutkinnan tekijälle.
Windowsin rekisteri on hierarkkinen tietokanta, joka koostuu avaimista, aliavaimista ja arvoista, jotka tarjoavat kriittisiä matalan tason asetuksia käyttöjärjestelmälle. Kuka käyttäjä kirjautui sisään milloin? Mihin aikaan laitteeseen oli liitetty USB-asema? Mikä oli kyseisen USB-aseman sarjanumero? Mitä tiedostoja käytettiin? Mikä käyttäjä haki mitä? Kaikki nämä tiedot – ja paljon muuta – tallennetaan rekisteriin. Yksinkertaisesti sanottuna se on ehdoton kultakaivos rikosteknisten artefaktien löytämiseksi.
RegRipper on avoimen lähdekoodin työkalu, joka on suunniteltu tarjoamaan helppo tapa analysoida rekisteristä kiinnostavia arvoja rikosteknisen analyysin suorittamista varten. Tätä varten tutkija antaa rekisterihakemiston, johon hän haluaa kohdistua, kuten System tai SAM, ja sen liitännäisohjelman nimen, jota tarvitaan tietyn toiminnon suorittamiseen kohteessa.
Valitsemalla esimerkiksi System Hive -hakemiston yhdessä Shutdown-liitännäisohjelman kanssa RegRipper analysoi ja palauttaa nopeasti olennaiset tiedot, jotka liittyvät siihen, milloin järjestelmä on viimeksi sammutettu. Kuten varmaan huomaat, RegRipper on uskomattoman tehokas työkalu ja olennainen osa SIFT Workstationia.
Wireshark
Lista ei olisi täydellinen ilman tunnettua pakettianalysaattoria Wiresharkia. Verkkoyhteisössä debuggaus- ja vianmäärityskyvyistään tunnettu työkalu pystyy kurkistamaan syvälle ja purkamaan kaikkien johtojen kautta kulkevien tietojen yksityiskohdat. Verkkoteknistä rikostutkintaa varten Wireshark tarjoaa tutkijalle mahdollisuuden tunnistaa tunkeutumisia ja haitallista liikennettä sekä kerätä tietoja, jotka auttavat luomaan kontekstin mahdollisen rikoksen ympärille.
Oletetaan, että taitava rikollinen murtautuu verkkoon, mutta huolehtii siitä, että kaikki lokitiedostot ja todisteet hänen läsnäolostaan kohdekoneella poistetaan. Pakettianalysaattorin tallentamassa liikenteessä saattaa olla ainoa jäljellä oleva tieto tästä tapahtumasta. Wireshark tarjoaa joukon ominaisuuksia, jotka auttavat eristämään ja tunnistamaan mahdollisesti ”mielenkiintoisen” liikenteen, mukaan lukien suodatus lähdeosoitteen, porttinumeron ja protokollatyypin mukaan.
Verkkotekninen tutkimus on vähitellen kasvanut tärkeäksi digitaalisten rikosten tutkinnan osa-alueeksi, ja Wireshark on osoittautunut korvaamattomaksi lisäykseksi rikostekniseen työkalupakkiin.
Plaso/Log2Timeline
Rikostekninen analyysi vaatii äärimmäistä huomiota yksityiskohtiin, ja tarkan aikajanan luominen tapahtumista on ensiarvoisen tärkeää arvioitaessa hallussasi olevia todisteita. Virheellinen aikajana voi kirjaimellisesti olla ero raskauttavien tai vapauttavien todisteiden löytämisen välillä. Sen sijaan, että joutuisit kärsimään manuaalisesti tapahtumalokien, prefetchien, shellbägien tutkimisesta ja näiden tietojen kokoamisesta eri lähteistä, SIFT Workstation tarjoaa mahdollisuuden luoda ”super-aikajanan” yhdellä työkalulla.
Plaso-nimellä tunnetun backend-moottorin varaan rakennettu Log2Timeline pystyy jäsentämään kaikki nämä tiedot ja kokoamaan ne ajalliseen järjestykseen – kaikki siististi yhdestä ainoasta tietolähteestä. Log2Timeline auttaa tarjoamaan runsaasti kontekstia havainnoillesi ja on erinomainen väärien positiivisten tulosten eliminoimisessa.
Log2Timeline ei ainoastaan helpota työtäsi, vaan se myös parantaa työsi laatua ja voi usein johtaa siihen, että löydät sen vaikeasti tavoiteltavan ”palapelin viimeisen palasen”, jota tarvitaan tapauksen ratkaisemiseen. Se on todella erinomainen työkalu.
Loppuajatuksia
SIFT Workstation on ammattilaistason rikostekninen kehys, ja se tarjoaa runsaasti laadukkaita, avoimen lähdekoodin työkaluja käytettäväksi. Kehotan sinua hemmottelemaan uteliaisuuttasi ja tutkimaan kaikkea, mitä sillä on tarjota. Epäilemättä nämä viisi työkalua ovat joukon suosikkejani, ja mielestäni ne edustavat ehdottoman tärkeää digitaalisen rikostutkinnan oppimista.