5 Instrumente esențiale de învățat pe SIFT Workstation
- Capa de management media
- Capa de sistem de fișiere
- Capa de fișiere („Interfața umană”)
- Stratul de metadate („Inode”)
- Stratul de conținut („Block”)
În mod convenabil, numele fiecărui instrument corespunde scopului său prin intermediul unui format coerent de prefix/sufix. Să luăm, de exemplu, instrumentul „mmls”, care este utilizat pentru a afișa aspectul partițiilor unui sistem de volume. Prefixul „mm” vă spune că funcționează la nivelul Media Management, în timp ce sufixul „ls” este pur și simplu comanda Linux „ls” – utilizată pentru a lista fișierele și directoarele. De fapt, „mmls” vă va furniza o listă a aspectului partițiilor dintr-un sistem de volume, care include tabelele de partiții și etichetele discurilor.
Cu toate acestea, în ceea ce privește instrumentul „icat”, prefixul „i” denotă faptul că acesta operează la nivelul inode (metadate), în timp ce sufixul este pur și simplu comanda Linux „cat” și este utilizat pentru a afișa conținutul unui fișier. Numai pe baza numelui instrumentului, putem deduce cu exactitate că „icat” va afișa conținutul unui fișier pe baza numărului de inode al acestuia. Și mai bine, SIFT Workstation este livrat și cu „Autopsy”, o interfață GUI care abstractizează și simplifică interacțiunea cu programele și plugin-urile TSK.
Dacă preferați să lucrați din linia de comandă sau prin intermediul unei interfețe web-browser, TSK/Autopsy vă va oferi instrumentele necesare pentru a efectua o examinare criminalistică detaliată și robustă.
Volatilitate
Atacurile cibernetice moderne devin din ce în ce mai sofisticate în ceea ce privește sustragerea de la detectare și, adesea, nu lasă artefacte criminalistice pe hard disk-ul mașinii victime. Acest lucru, coroborat cu utilizarea pe scară largă a criptării integrale a discului, a conferit o importanță și mai mare capacității de a extrage și de a efectua o analiză detaliată a memory dump-ului unui sistem informatic.
Utilizarea Volatility permite unui examinator să efectueze analiza criminalistică a memoriei și să afle un volum mare de informații valoroase. Volatility poate identifica procese necinstite și rootkit-uri, precum și să recupereze hashes de parole și dovezi de injectare de cod malițios. Cadrul Volatility este făcut pe măsură pentru a efectua răspunsuri la incidente și analize malware și, în opinia mea, este un lucru pe care trebuie să-l învețe neapărat examinatorul modern de criminalistică digitală.
RegRipper
În lumea întreprinderilor, Active Directory și mașinile Windows sunt aproape omniprezente. În mod similar, sistemele de operare bazate pe Windows reprezintă o mare majoritate a cotei de piață pentru utilizatorii casnici. Prin urmare, nu ar fi șocant să aflăm că o mare parte din infracțiunile informatice sunt comise pe mașini cu Windows și, ca atare, un instrument de analiză specific Windows ar fi, într-adevăr, de mare valoare pentru un examinator de criminalistică digitală.
Registrul Windows este o bază de date ierarhică de chei, sub-chei și valori care furnizează setări critice de nivel scăzut pentru sistemul de operare. Care utilizator s-a conectat când? La ce oră a fost conectată o unitate USB la dispozitiv? Care a fost numărul de serie al acestei unități USB? Ce fișiere au fost accesate? Ce utilizator a căutat ce? Toate aceste detalii – și multe altele – sunt înregistrate în registru. Pur și simplu, este o mină de aur absolută pentru descoperirea de artefacte criminalistice.
RegRipper este un instrument open-source conceput pentru a oferi o modalitate ușoară de a extrage valorile de interes vizate din Registru pentru a efectua o analiză criminalistică. Pentru a face acest lucru, un examinator furnizează Registry Hive-ul relevant pe care dorește să îl vizeze, cum ar fi System sau SAM, și numele unui Plugin necesar pentru a efectua o anumită acțiune asupra țintei.
De exemplu, trecând System Hive împreună cu Plugin-ul Shutdown, RegRipper va extrage rapid și va returna informațiile relevante referitoare la momentul în care sistemul a fost închis ultima dată. După cum probabil vă puteți da seama, RegRipper este un instrument incredibil de puternic și o componentă esențială a SIFT Workstation.
Wireshark
Nici o listă nu ar fi completă fără includerea binecunoscutului analizor de pachete, Wireshark. Celebru în cadrul comunității de rețele pentru abilitățile sale de depanare și de rezolvare a problemelor, instrumentul are capacitatea de a privi în profunzime și de a desluși detaliile tuturor datelor care traversează firul. În scopul analizei criminalistice a rețelelor, Wireshark oferă examinatorului capacitatea de a identifica intruziunile și traficul malițios, precum și de a aduna informații care să ajute la stabilirea unei baze contextuale în jurul unei potențiale infracțiuni.
Să presupunem că un infractor iscusit pătrunde în rețea, dar are grijă să șteargă toate fișierele jurnal și dovezile prezenței sale pe calculatorul țintă. Singura înregistrare rămasă a faptului că acest lucru s-a întâmplat vreodată poate să se afle în traficul înregistrat de analizorul de pachete. Wireshark oferă o suită de caracteristici pentru a ajuta la izolarea și identificarea traficului potențial „interesant”, inclusiv filtrarea în funcție de adresa sursă, numărul de port și tipul de protocol.
În cele din urmă, analiza criminalistică a rețelelor a crescut treptat pentru a deveni o subramură vitală a investigării infracțiunilor digitale, iar Wireshark s-a dovedit a fi o completare neprețuită a setului de instrumente criminalistice.
Plaso/Log2Timeline
Analiza criminalistică necesită o atenție extremă la detalii și construirea unei cronologii exacte a evenimentelor este de o importanță principală atunci când se evaluează probele aflate în posesia dumneavoastră. O cronologie eronată poate fi literalmente diferența dintre descoperirea unor probe incriminatorii sau disculpatorii. Decât să suferiți lasitudinile examinării manuale a jurnalelor de evenimente, a prefetch-urilor, a shellbag-urilor și a colaționării acestor date din surse disparate, SIFT Workstation oferă opțiunea de a crea o „Super Cronologie” cu ajutorul unui singur instrument.
Construit pe un motor de backend cunoscut sub numele de Plaso, Log2Timeline are capacitatea de a analiza toate aceste informații și de a le asambla în ordine temporală – totul în mod ordonat într-o singură sursă de date. Log2Timeline ajută la furnizarea unui context bogat pentru descoperirile dumneavoastră și este excelent la eliminarea falselor pozitive.
Log2Timeline nu numai că vă ușurează munca, dar îmbunătățește și calitatea muncii dumneavoastră și poate duce adesea la descoperirea acelei „piese finale de puzzle” evazive necesare pentru a rezolva un caz. Este cu adevărat un instrument remarcabil.
Gânduri finale
SIFT Workstation este un cadru criminalistic de nivel profesional și oferă o abundență de instrumente open-source de înaltă calitate la dispoziția dumneavoastră. V-aș încuraja să vă satisfaceți curiozitatea și să explorați tot ceea ce are de oferit. Fără îndoială, aceste cinci instrumente sunt preferatele mele și, din punctul meu de vedere, reprezintă învățarea absolut esențială în domeniul criminalisticii digitale.
.