5 viktiga verktyg för att lära sig på SIFT Workstation
- Media Management Layer
- File System Layer
- File Layer (”The Human Interface”)
- Metadata (”Inode”) Layer
- Innehåll (”Block”) Layer
Praktiskt nog motsvarar varje verktygs namn dess syfte via ett konsekvent prefix/suffix-format. Ta till exempel verktyget ”mmls”, som används för att visa partitionslayouten för ett volymsystem. Prefixet ”mm” talar om att det arbetar på Media Management-lagret, medan suffixet ”ls” helt enkelt är Linuxkommandot ”ls” – som används för att lista filer och kataloger. I själva verket kommer ”mmls” att ge dig en listlayout över partitionerna i ett volymsystem, vilket inkluderar partitionstabeller och disketiketter.
Men när det gäller verktyget ”icat” anger prefixet ”i” att det arbetar på inodeskiktet (metadata), medan suffixet helt enkelt är Linuxkommandot ”cat” och används för att visa innehållet i en fil. Enbart utifrån verktygets namn kan vi dra slutsatsen att ”icat” kommer att visa innehållet i en fil baserat på dess inodnummer. Ännu bättre är att SIFT Workstation också levereras med ”Autopsy”, ett GUI-gränssnitt som abstraherar och förenklar interaktionen med TSK:s program och plugins.
Oavsett om du föredrar att arbeta från kommandoraden eller via ett gränssnitt i en webbläsare kommer TSK/Autopsy att förse dig med de verktyg som krävs för att utföra en detaljerad och robust kriminalteknisk undersökning.
Volatilitet
Moderna cyberattacker blir alltmer sofistikerade när det gäller att undvika upptäckt och lämnar ofta inga kriminaltekniska artefakter på offrets maskins hårddisk. Detta, tillsammans med den utbredda användningen av kryptering av hela hårddiskar, har gjort det ännu viktigare att kunna extrahera och genomföra en detaljerad analys av ett datorsystems minnesdump.
Användning av Volatility gör det möjligt för en undersökare att genomföra minnesforensiska undersökningar och få fram en stor mängd värdefull information. Volatility kan identifiera oseriösa processer och rootkits samt hämta lösenordshashar och bevis på injicering av skadlig kod. Volatility-ramverket är skräddarsytt för att utföra incidentrespons och analys av skadlig kod, och enligt min mening är det ett måste att lära sig för den moderna digitala kriminaltekniska undersökaren.
RegRipper
I företagsvärlden är Active Directory och Windows-maskiner nästan allestädes närvarande. På samma sätt står Windows-baserade operativsystem för en stor majoritet av marknadsandelen för hemanvändare. Det skulle därför inte vara chockerande att få veta att en stor del av datorbrotten begås på Windows-maskiner och att ett Windows-specifikt analysverktyg därför skulle vara av stort värde för en digital kriminalteknisk undersökare.
Windows-registret är en hierarkisk databas med nycklar, undernycklar och värden som tillhandahåller kritiska inställningar på låg nivå för operativsystemet. Vilken användare loggade in när? När var en USB-enhet ansluten till enheten? Vilket var USB-enhetens serienummer? Vilka filer har man haft tillgång till? Vilken användare sökte vad? Alla dessa uppgifter – och mycket mer – registreras i registret. Enkelt uttryckt är det en absolut guldgruva för att upptäcka kriminaltekniska artefakter.
RegRipper är ett verktyg med öppen källkod som är utformat för att tillhandahålla ett enkelt sätt att analysera riktade värden av intresse från registret för att utföra en kriminalteknisk analys. För att göra detta tillhandahåller undersökaren den relevanta Registry Hive de vill rikta in sig på, t.ex. System eller SAM, och namnet på en Plugin som krävs för att utföra en viss åtgärd på målet.
Till exempel, genom att skicka in System Hive i samband med Shutdown Plugin, kommer RegRipper snabbt att analysera och återge den relevanta informationen om när systemet senast stängdes ner. Som du säkert förstår är RegRipper ett otroligt kraftfullt verktyg och en viktig del av SIFT Workstation.
Wireshark
Ingen lista skulle vara komplett utan att inkludera den välkända paketanalysatorn Wireshark. Verktyget, som är känt inom nätverksvärlden för sina möjligheter till felsökning och felsökning, har förmågan att titta på djupet och lösa upp detaljerna i alla data som passerar kabeln. För nätverksforensiker ger Wireshark en undersökare möjlighet att identifiera intrång och skadlig trafik samt samla in information för att hjälpa till att skapa ett sammanhang kring ett potentiellt brott.
Antag att en skicklig brottsling bryter sig in i nätverket men ser till att radera alla loggfiler och bevis på sin närvaro på målmaskinen. Det enda kvarvarande dokumentet om att detta någonsin har hänt kan finnas i den trafik som registrerats av paketanalysatorn. Wireshark tillhandahåller en uppsättning funktioner som hjälper till att isolera och identifiera potentiellt ”intressant” trafik, inklusive filtrering efter källadress, portnummer och protokolltyp.
Nätverksforensik har gradvis vuxit till att bli en viktig undergren av utredningen av digitala brott och Wireshark har visat sig vara ett ovärderligt tillskott till den forensiska verktygslådan.
Plaso/Log2Timeline
Forensisk analys kräver en extrem uppmärksamhet på detaljer och att bygga upp en korrekt tidslinje över händelserna är av principiell betydelse när man utvärderar bevisen i sin ägo. En felaktig tidslinje kan bokstavligen vara skillnaden mellan att upptäcka bevis som är belastande eller urskuldande. SIFT Workstation erbjuder ett alternativ för att skapa en ”supertidslinje” med hjälp av ett enda verktyg.
Byggd på en backendmotor som kallas Plaso har Log2Timeline förmågan att analysera all denna information och sammanställa den i tidsmässig ordning – allt snyggt i en datakälla. Log2Timeline bidrar till att ge en mängd sammanhang till dina resultat och är utmärkt för att eliminera falska positiva resultat.
Log2Timeline underlättar inte bara ditt arbete, utan förbättrar också kvaliteten på ditt arbete och kan ofta leda till att du upptäcker den svårfångade ”sista pusselbiten” som behövs för att lösa ett fall. Det är verkligen ett enastående verktyg.
Sluttliga tankar
SIFT Workstation är ett forensiskt ramverk av professionell kvalitet och erbjuder ett överflöd av högkvalitativa verktyg med öppen källkod till ditt förfogande. Jag vill uppmuntra dig att ge efter för din nyfikenhet och utforska allt den har att erbjuda. Utan tvekan är de här fem verktygen mina favoriter och enligt min åsikt är de absolut nödvändiga för att lära sig digital kriminalteknik.