5 alapvető eszköz a SIFT munkaállomáson
- Médiakezelő réteg
- Fájlrendszer réteg
- Fájl réteg (“Az emberi felület”)
- Metaadat (“Inode”) réteg
- Tartalom (“Block”) réteg
Kényelmes módon minden eszköz neve megfelel a céljának egy következetes prefix/suffix formátumon keresztül. Vegyük például az “mmls” eszközt, amely egy kötetrendszer partíciós elrendezésének megjelenítésére szolgál. Az “mm” előtag azt jelzi, hogy az eszköz a médiakezelési rétegben működik, míg az “ls” utótag egyszerűen a Linux “ls” parancsát jelenti, amely a fájlok és könyvtárak listázására szolgál. Az “mmls” valójában egy kötetrendszer partícióinak listás elrendezését adja meg, amely tartalmazza a partíciós táblákat és a lemezcímkéket.
Az “icat” eszközzel kapcsolatban azonban az “i” előtag azt jelzi, hogy az inode rétegben (metaadatok) működik, míg az utótag egyszerűen a “cat” Linux parancs, és egy fájl tartalmának megjelenítésére szolgál. Már az eszköz neve alapján is pontosan következtethetünk arra, hogy az “icat” az inode-szám alapján adja ki egy fájl tartalmát. Még jobb, hogy a SIFT Workstation az “Autopsy”-t is tartalmazza, egy GUI felületet, amely absztrahálja és leegyszerűsíti a TSK programjaival és bővítményeivel való interakciót.
Akár a parancssorból, akár egy webböngésző felületen keresztül szeretne dolgozni, a TSK/Autopsy biztosítja a részletes és megbízható törvényszéki vizsgálat elvégzéséhez szükséges eszközöket.
Volatilitás
A modern kibertámadások egyre kifinomultabban kerülik ki a felderítést, és gyakran nem hagynak törvényszéki leleteket az áldozat gépének merevlemezén. Ez, valamint a teljes lemezes titkosítás széleskörű használata még nagyobb jelentőséget tulajdonít a számítógépes rendszer memóriadumpjának kinyerésére és részletes elemzésére való képességnek.
A Volatility használata lehetővé teszi a vizsgáló számára, hogy memóriával kapcsolatos törvényszéki vizsgálatokat végezzen, és nagy mennyiségű értékes információt állapítson meg. A Volatility képes azonosítani a gazember folyamatokat és rootkiteket, valamint jelszóhasheket és rosszindulatú kódok befecskendezésének bizonyítékait. A Volatility keretrendszert az incidensek elhárítására és a rosszindulatú programok elemzésére szabták, és véleményem szerint a modern digitális törvényszéki vizsgálónak kötelezően meg kell tanulnia.
RegRipper
A vállalati világban az Active Directory és a Windows gépek szinte mindenütt jelen vannak. Hasonlóképpen a Windows-alapú operációs rendszerek teszik ki az otthoni felhasználók piaci részesedésének nagy részét. Ezért nem lenne megdöbbentő, ha megtudnánk, hogy a számítógépes bűncselekmények nagy részét Windows-gépeken követik el, és mint ilyen, egy Windows-specifikus elemzőeszköz valóban nagy értéket jelentene egy digitális törvényszéki vizsgáló számára.
A Windows registry egy hierarchikus adatbázis, amely kulcsokból, alkulcsokból és értékekből áll, és az operációs rendszer kritikus, alacsony szintű beállításait biztosítja. Melyik felhasználó mikor jelentkezett be? Mikor csatlakozott egy USB-meghajtó az eszközhöz? Mi volt az USB-meghajtó sorozatszáma? Milyen fájlokhoz fértek hozzá? Melyik felhasználó mit keresett? Mindezeket az adatokat – és még sok mást is – a nyilvántartás rögzíti. Egyszerűen fogalmazva, ez egy abszolút aranybánya a törvényszéki leletek felfedezéséhez.
A RegRipper egy nyílt forráskódú eszköz, amelyet úgy terveztek, hogy egyszerű módot biztosítson az érdekes értékek célzott elemzésére a Registry-ből a törvényszéki elemzés elvégzése érdekében. Ehhez a vizsgáló megadja a megcélozni kívánt Registry Hive-ot, például a System-et vagy a SAM-et, valamint a célponton egy adott művelet végrehajtásához szükséges plugin nevét.
A System Hive és a Shutdown plugin együttes megadásával a RegRipper például gyorsan elemzi és visszaadja a rendszer utolsó leállításának időpontjára vonatkozó információkat. Amint azt valószínűleg láthatja, a RegRipper egy hihetetlenül hatékony eszköz, és a SIFT Workstation nélkülözhetetlen összetevője.
Wireshark
Nem lenne teljes a lista a jól ismert csomagelemző, a Wireshark nélkül. A hálózati közösségen belül a hibakeresési és hibaelhárítási képességeiről híres eszköz képes mélyen belelátni a vezetékeken áthaladó összes adat részleteibe. A Wireshark a hálózati törvényszéki szakértő számára lehetővé teszi a behatolások és a rosszindulatú forgalom azonosítását, valamint olyan információk gyűjtését, amelyek segítenek a lehetséges bűncselekmények kontextusának megteremtésében.
Tegyük fel, hogy egy ügyes bűnöző betör a hálózatba, de gondoskodik arról, hogy törölje az összes naplófájlt és a célgépen való jelenlétére utaló bizonyítékot. Az egyetlen fennmaradt adat, hogy ez valaha is megtörtént, a csomagelemző által rögzített forgalomban lehet. A Wireshark számos olyan funkciót kínál, amelyek segítenek a potenciálisan “érdekes” forgalom elkülönítésében és azonosításában, beleértve a forráscím, a portszám és a protokolltípus szerinti szűrést.
A hálózati törvényszéki vizsgálat fokozatosan a digitális bűncselekmények nyomozásának létfontosságú alágazatává nőtte ki magát, és a Wireshark a törvényszéki eszköztár felbecsülhetetlen értékű kiegészítőjének bizonyult.
Plaso/Log2Timeline
A kriminalisztikai elemzés rendkívüli figyelmet igényel a részletekre, és a birtokában lévő bizonyítékok kiértékelésekor elsődleges fontosságú az események pontos idővonalának felépítése. Egy hibás idővonal szó szerint különbséget jelenthet a terhelő vagy a felmentő bizonyítékok felfedezése között. Ahelyett, hogy az eseménynaplók, prefetchek, shellbagek kézi vizsgálatának és ezen adatok különböző forrásokból történő összeválogatásának fáradalmait kellene elszenvednie, a SIFT Workstation lehetőséget kínál egy “szuper idővonal” létrehozására egyetlen eszközzel.
A Plaso nevű backend motorra épülő Log2Timeline képes mindezen információk elemzésére és időbeli sorrendbe állítására – mindezt szépen egy adatforráson belül. A Log2Timeline segít gazdag kontextust biztosítani a megállapításokhoz, és kiválóan alkalmas a hamis pozitív eredmények kiküszöbölésére.
A Log2Timeline nemcsak megkönnyíti a munkát, hanem javítja a munka minőségét is, és gyakran vezethet az ügy megfejtéséhez szükséges “kirakós utolsó darabkájának” felfedezéséhez. Ez valóban egy kiváló eszköz.
Végső gondolatok
A SIFT Workstation egy professzionális szintű kriminalisztikai keretrendszer, és rengeteg kiváló minőségű, nyílt forráskódú eszközt kínál az Ön rendelkezésére. Arra bátorítanám, hogy engedjen a kíváncsiságának, és fedezze fel mindazt, amit kínál. Kétségtelen, hogy ez az öt eszköz a kedvencem a csoportból, és véleményem szerint abszolút nélkülözhetetlen digitális törvényszéki tanulást jelentenek.