Форензика - компьютерная криминалистика. Ч.3. Заключительная.

Нихау, бегущие в тенях! Привет, случайный подписчик. Большой FAQ по компьютерной криминалистике подходит к концу. Если вам когда-нибудь приходилось разбираться в чужом компьютере, а не просто форматировать его, — это значит вы уже занимались компьютерной криминалистикой, т.е. форензикой! Если вы внимательно прочитали и изучили предыдущие части нашей статьи, а тем паче, начали действовать и хотите совершенствоваться в данном направлении - эта статья для вас.

Поехали:

Собираем свою лабораторию

Для анализа и сбора артефактов нам будет нужна специальная лаборатория. Поскольку мы будем акцентироваться только на софтовой составляющей экспертизы, то есть без ковыряния железок, нам в качестве основы вполне хватит пула из нескольких виртуальных машин и специализированных дистрибутивов с необходимым софтом. Гипервизор я вам предлагаю выбрать на свой вкус, это может быть и бесплатный VirtualBox, и VMware.

Подробнее о том, какие бывают дистрибутивы, читайте в нашей статье «Дистрибутивы для криминалистического анализа». Ясное дело, можно собрать и свой, но зачем, если есть специализированные? Лично я предпочитаю DEFT или, как вариант, Remnux, но CAINE и Parrot OS тоже достойны внимания, не говоря уже о платных Encase и SMART Linux.

Материалы для изучения компьютерной криминалистики:

Книги:

Так вышло, что русскоязычной литературы по компьютерной криминалистики практически нет. Да оно и неудивительно, форензика как прикладная деятельность, стала популярна в РФ относительно недавно.

• Н. Н. Федотов. Форензика — компьютерная криминалистика с материалами книги и PDF, доступная для загрузки. Это единственный на русском языке и наиболее полный труд, системно рассказывающий о форензике. Из минусов — многие вещи, описанные в книге, на сегодня устарели. Однако это все-таки must read как для начинающих, так и для тех, кто уже занимается криминалистикой в сфере высоких технологий.
• Network Forensics 1st Edition — этот труд посвящен особенностям экспертизы систем на сетевом уровне. Хорошее пособие, с основ и по шагам рассказывающее о сетевом стеке и методах его анализа.
• File System Forensic Analysis 1st Edition — труд, аналогичный предыдущему, но посвященный исключительно анализу файлов и файловой системы взломанных машин.
• Practical Mobile Forensics — хороший вариант для новичков, желающих заняться мобильной форензикой.
• The Basics of Digital Forensics:The Primer for Getting Started in Digital Forensics — еще одна книга, которую можно порекомендовать новичкам для уверенного старта.
• Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8 — само название книги говорит о продвинутых техниках экспертизы и особенностей применения именно в Windows 8.
• Practical Windows Forensics Paperback — неплохое пособие по форензике ОС, файловой системы, реестра, сети и съемных носителей.
• Digital Forensics with Kali Linux — можно сказать, это гайд по встроенным утилитам из раздела форензики дистрибутива Kali Linux.
• Windows Registry Forensics: Advanced Digital Forensic Analysis — книга концентрируется на особенностях парсинга системного реестра Windows, извлечении данных и особенностях, появившихся с Windows 8.
• Computer Forensics: Investigating File and Operating Systems, Wireless Networks, and Storage (CHFI) by EC-Council — официальный мануал по курсу обучения CHFI с уклоном на исследование артефактов Wi-Fi-сетей и носителей данных.
• Malware Forensics Field Guide for Windows Systems — хоть эта книга и не имеет прямого отношения к «классической» форензике, но все же стоит ее почитать, особенно если ты расследуешь инциденты с уклоном в сторону малвари.
• CHFI Computer Hacking Forensic Investigator Certification All-in-One Exam Guide 1st Edition — официальное издание по курсу обучения CHFI. Рассмотрены все основные темы и вопросы с экзамена.
• Practical Forensic Imaging: Securing Digital Evidence with Linux Tools — книга, целиком посвященная правильному подходу к созданию корректного образа взломанной системы для ее дальнейшего ресерча в лабораторных условиях. Считаю, что это must read для тех, кто начинает заниматься ремеслом криминалистической хай-тек-экспертизы.

Материалы и курсы:

• FOR500: Windows Forensic Analysis — курс обучения основам форензики от авторитетного института SANS.
• Free Online Computer Forensics Training Class — CHFI — еще один вариант курса по программе CHFI.
• Android Forensics & Security Testing — материалы к курсу обучения по мобильной форензике.
• Computer Forensics Fundamentals — базовый курс обучения на площадке Udemy, заявленная стоимость — 50 долларов, однако по акции — 14 долларов.
• Computer Hacking Forensic Investigator (CHFI) — еще один курс на площадке Udemy для продвинутых, стоимость 200 долларов, в дни распродаж — всего 14.
• Certified Cyber Forensics Professional (CCFP) and Certified Hacking Forensics Investigator (CHFI) exams — курс профессиональной подготовки с дальнейшей сертификацией по программе CHFI.

Для тех, кто хочет проверить свои знания в деле форензики, доступен бесплатный онлайновый тест Computer Forensics Fundamentals.

Полезные ссылки:

• Флеш-память: проблемы для компьютерной криминалистики

Площадки для тренировки

После изучения матчасти, я уверен, некоторые из вас готовы ринуться в бой, чтобы проверить свои навыки. Но вряд ли у каждого будет возможность сразу попасть на «живое» расследование. Начинать тренировки лучше, как говорилось в классическом фильме, «на кошках». В данном случае в роли фарфоровых кошек из «Операции Ы» выступают заранее подготовленные образы с артефактами, которые нужно извлечь и проанализировать.

• Memory samples — набор дампов памяти от Windows до Linux с зашитыми в них артефактами.
• p0wnlabs Sample Challenges — набор свободно скачиваемых заданий на темы web sleuthing и deleted file recovery.
• Wireshark Sample Captures — репозиторий дампов сетевого трафика.

Краткие руководства и примеры парсинга дампов сетевого трафика можно найти тут, и вот тут.

• Computer Forensic Reference Data Sets (CFReDS) — репозиторий образов для тренировки навыков криминалистической экспертизы.
• Digital Forensics Tool Testing Images — еще один архив снимков ФС.
• Digital Corpora — портал организации Digital Corpora, созданный для энтузиастов киберфорензики, с семплами для тестирования своих навыков.
• BlackLight — коммерческий набор инструментов и демопак для тестирования навыков.

Другие полезные ресурсы:

• Огромный архив ссылок, материалов, описаний по теме форензики на GitHub.
• Cheat Sheets & Posters — чит-листы и шпаргалки по форензике, созданные в институте SANS, и не только!
• Forensic Computer Analyst Salary — статья о том, сколько зарабатывают эксперты по форензике за рубежом. Согласитесь, недурно!
• Forensic Workstations, Forensic Hardware, Forensic Duplicators_Bridges, Forensic Software — железо для аппаратной форензики.

Заключение

Вот так, бегущие в тенях, наш довольно сжатый ликбез по форензике и подошел к финалу. Надеюсь, что вам было интересно, вы узнали что-то новое о расследовании инцидентов, заинтересовались темой компьютерной криминалистики и получили хороший импульс прокачивать матчасть, свои скиллы и развиваться дальше!