5 niezbędnych narzędzi do nauki na SIFT Workstation
- Warstwa zarządzania mediami
- Warstwa systemu plików
- Warstwa plików. („The Human Interface”)
- Metadata („Inode”) Layer
- Content („Block”) Layer
Wygodnie każda nazwa narzędzia odpowiada jego przeznaczeniu poprzez spójny format prefiksu/sufiksu. Weźmy na przykład narzędzie „mmls”, które jest używane do wyświetlania układu partycji w systemie woluminów. Przedrostek „mm” informuje, że działa ono w warstwie zarządzania mediami, natomiast przyrostek „ls” to po prostu linuksowe polecenie „ls” – używane do listowania plików i katalogów. W efekcie, „mmls” dostarczy Ci listę partycji w systemie woluminów, która zawiera tablice partycji i etykiety dysków.
Jednakże, w odniesieniu do narzędzia „icat”, jego przedrostek „i” oznacza, że działa w warstwie inode (metadanych), podczas gdy przyrostek jest po prostu linuksowym poleceniem „cat” i jest używany do wyświetlania zawartości pliku. Na podstawie samej nazwy narzędzia możemy dokładnie wywnioskować, że „icat” wyświetli zawartość pliku na podstawie jego numeru inode. Co więcej, SIFT Workstation dostarcza również „Autopsy”, interfejs GUI, który abstrahuje i upraszcza interakcję z programami i wtyczkami TSK.
Niezależnie od tego, czy wolisz pracować z wiersza poleceń, czy poprzez interfejs przeglądarki internetowej, TSK/Autopsy dostarczy Ci narzędzi niezbędnych do przeprowadzenia szczegółowego i solidnego badania kryminalistycznego.
Wolność
Nowoczesne cyberataki stają się coraz bardziej wyrafinowane w unikaniu wykrywania i często nie pozostawiają żadnych artefaktów kryminalistycznych na dysku twardym maszyny ofiary. To, w połączeniu z powszechnym stosowaniem szyfrowania całego dysku, sprawiło, że jeszcze większe znaczenie ma możliwość wyodrębnienia i przeprowadzenia szczegółowej analizy zrzutu pamięci systemu komputerowego.
Użycie narzędzia Volatility umożliwia badaczowi przeprowadzenie kryminalistycznych badań pamięci i uzyskanie dużej ilości cennych informacji. Volatility może zidentyfikować nieuczciwe procesy i rootkity, jak również odzyskać hashe haseł i dowody wstrzyknięcia złośliwego kodu. Framework Volatility jest dostosowany do wykonywania reakcji na incydenty i analizy złośliwego oprogramowania, i moim zdaniem jest obowiązkową lekcją dla nowoczesnego badacza cyfrowego kryminalistyki.
RegRipper
W świecie przedsiębiorstw, Active Directory i maszyny Windows są prawie wszechobecne. Podobnie, systemy operacyjne oparte na Windows stanowią znaczną większość udziału w rynku użytkowników domowych. Nie byłoby zatem szokujące, gdybyśmy dowiedzieli się, że duża część przestępstw komputerowych jest popełniana na maszynach z systemem Windows i w związku z tym narzędzie do analizy specyficzne dla systemu Windows rzeczywiście stanowiłoby dużą wartość dla eksperta ds. cyfrowego kryminalistyki.
Rejestr systemu Windows jest hierarchiczną bazą kluczy, podkluczy i wartości, które zapewniają krytyczne ustawienia niskiego poziomu dla systemu operacyjnego. Który użytkownik kiedy się zalogował? O której godzinie dysk USB był podłączony do urządzenia? Jaki był numer seryjny tego dysku USB? Do jakich plików uzyskano dostęp? Który użytkownik co wyszukiwał? Wszystkie te szczegóły – i wiele więcej – są zapisane w Rejestrze. Mówiąc prościej, jest to absolutna kopalnia złota do odkrywania artefaktów kryminalistycznych.
RegRipper jest narzędziem open-source zaprojektowanym w celu zapewnienia łatwego sposobu na wyodrębnienie interesujących wartości z Rejestru w celu przeprowadzenia analizy kryminalistycznej. Aby to zrobić, egzaminator podaje odpowiedni ul Rejestru, który chce namierzyć, taki jak System lub SAM, oraz nazwę wtyczki wymaganej do wykonania określonego działania na celu.
Na przykład, przekazując ul System w połączeniu z wtyczką Shutdown, RegRipper szybko wyszuka i zwróci odpowiednie informacje odnoszące się do tego, kiedy system został ostatnio zamknięty. Jak zapewne możesz stwierdzić, RegRipper jest niewiarygodnie potężnym narzędziem i niezbędnym składnikiem SIFT Workstation.
Wireshark
Żadna lista nie byłaby kompletna bez uwzględnienia dobrze znanego analizatora pakietów, Wiresharka. Narzędzie to, znane w społeczności sieciowej z możliwości debugowania i rozwiązywania problemów, jest w stanie zajrzeć głęboko i wyodrębnić szczegóły wszystkich danych przechodzących przez sieć. Dla celów kryminalistyki sieciowej Wireshark zapewnia badaczowi możliwość identyfikacji włamań i złośliwego ruchu, jak również gromadzenia informacji, które pomogą ustalić kontekst potencjalnego przestępstwa.
Załóżmy, że bystry przestępca narusza sieć, ale dba o usunięcie wszystkich plików dziennika i dowodów swojej obecności na komputerze docelowym. Jedynym dowodem na to, że coś takiego miało miejsce, może być ruch rejestrowany przez analizator pakietów. Wireshark udostępnia zestaw funkcji pomagających wyizolować i zidentyfikować potencjalnie „interesujący” ruch, w tym filtrowanie według adresu źródłowego, numeru portu i typu protokołu.
W końcu, kryminalistyka sieciowa stopniowo urosła do rangi istotnej gałęzi badania przestępstw cyfrowych, a Wireshark udowodnił, że jest nieocenionym dodatkiem do zestawu narzędzi kryminalistycznych.
Plaso/Log2Timeline
Analiza kryminalistyczna wymaga niezwykłej dbałości o szczegóły, a budowanie dokładnej linii czasowej wydarzeń ma zasadnicze znaczenie przy ocenie posiadanych dowodów. Błędna oś czasu może dosłownie stanowić różnicę pomiędzy odkryciem dowodów obciążających lub uniewinniających. Zamiast męczyć się z ręcznym badaniem dzienników zdarzeń, prefetch, shellbagów i zestawianiem tych danych z różnych źródeł, SIFT Workstation oferuje opcję tworzenia „Super Timeline” za pomocą jednego narzędzia.
Zbudowany na silniku backendowym znanym jako Plaso, Log2Timeline ma możliwość parsowania wszystkich tych informacji i montowania ich w porządku czasowym – wszystko schludnie w jednym źródle danych. Log2Timeline pomaga zapewnić bogaty kontekst dla twoich ustaleń i jest doskonały w eliminowaniu fałszywych pozytywów.
Log2Timeline nie tylko sprawia, że twoja praca jest łatwiejsza, ale także poprawia jakość twojej pracy i często może prowadzić do odkrycia tego nieuchwytnego „ostatniego elementu układanki” potrzebnego do rozwiązania sprawy. Jest to naprawdę znakomite narzędzie.
Pomysły końcowe
SIFT Workstation jest profesjonalnej klasy frameworkiem kryminalistycznym i oferuje mnóstwo wysokiej jakości narzędzi open-source do Twojej dyspozycji. Zachęcam cię do zaspokojenia swojej ciekawości i zbadania wszystkiego, co ma do zaoferowania. Bez wątpienia, te pięć narzędzi jest moimi ulubionymi i, moim zdaniem, stanowią absolutnie niezbędną wiedzę z zakresu cyfrowej kryminalistyki.