Засоби збору даних комп'ютерно-технічної експертизи

forensics data acquisition
У цій статті я розповім про деякі особливості різних способів створення копій (образів) носіїв інформації у комп'ютерній криміналістиці (форензике). Стаття буде корисна співробітникам відділів інформаційної безпеки, які реагують на інциденти ІБ і проводять внутрішні розслідування. Сподіваюся, що і судові експерти, які проводять комп'ютерно-технічну експертизу (далі ТКЕ), знайдуть у ній щось нове.
Для початку цитата:
Автор вважає (і багато дослідників з цим згодні), що дослідити в ході ТКЕ оригінал носія взагалі небажано. Щоб гарантувати незмінність інформації, а також залишити можливість проведення повторної або додаткової експертизи, треба залишити оригінал недоторканим. А всі дослідження проводити з його копією. Це не тільки надійніше, але і зручніше, оскільки копію можна зробити на такому носії, який краще пристосований для наявних у експерта інструментів, надійніше, швидше.
Н.Н. Федотов. Форензика – комп'ютерна криміналістика
Щоб створений образ був криміналістично достовірний, потрібно, по-перше, в процесі створення не змінити вмісту досліджуваного носія, по-друге, після вилучення образ повинен побитово відповідати досліджуваному носія. Такий спосіб буде містити не тільки живі файли, але і службові дані, вільні області файлових систем та області без тегів файловими системами.
Якщо ви, подібно слона в посудній лавці, підключіть досліджуваний носій до звичайної операційній системі (ОС), то відбудеться необоротне: у стандартній конфігурації ОС активує пристрій відразу після виявлення, змонтує файлові системи і, не питаючи вас, змінить його вміст. Windows, наприклад, без попиту змінює тимчасові мітки в атрибутах файлів (в деяких випадках), створює приховані папки Кошика, зберігає інформацію про конфігурації.
Запобігти зміна інформації на носії можна двома способами: апаратно або програмно.
Апаратні блокатори запису
З апаратними рішеннями я не працював, але наведу трохи теорії з інтернетів. Бувають блокатори запису (bridge), через які досліджувані носії інформації підключаються до комп'ютера, а бувають дубликаторы (duplicator), які вміють автономно створювати повні копії і образи досліджуваних дисків.
Блокатори запису перехоплюють команди запису від ОС і запобігають їх передачу на носій інформації. Коли це можливо, вони повідомляють ОС, що пристрій підключено в режимі «тільки читання», інакше просто повідомляють про помилки ОС запису. Деякі пристрої використовують вбудовану пам'ять для кешування записаних даних і створюють для ОС видимість того, що дані на диску дійсно змінилися.
TD2u Forensic Duplicator
Апаратні рішення безумовно мають свої плюси, але є в них і недоліки:
  • Вони недешеві. Для прикладу, блокіратор запису T35u має рекомендовану роздрібну ціну $349.00, дублікатор Tableau TD2u — $1,599.00.
  • І вони небездоганні. Бували випадки, коли апаратні пристрої пропускали команди запису на пристрій (пример).
Завантажувальні диски для комп'ютерної криміналістики
Софтверизация неминуча в компаніях з розподіленою територіальною структурою (особливо, якщо у вас немає бажання пиляти половину бюджету ІТ на залізяки, які можуть ніколи не знадобитися). Програмні рішення заощадять вам час у разі масових інцидентів: ви можете створити стільки завантажувальних флешок, скільки вам потрібно досліджувати комп'ютерів, а після запустити створення образів на всіх комп'ютерах одночасно. Залишилося тільки визначитися, що за софт повинен бути на цих завантажувальних флешках.
Linux дистрибутиви
Зняти образ можна одним з численних спеціалізованих дистрибутивів Linux, ось деякі з них: Rip Linux, DEFT Linux, CAINE, Paladin, Helix, Kali. У деяких при завантаженні потрібно вибрати режим forensic mode (або щось в цьому дусі). Частина з цих дистрибутивів вже містять ПО для аналізу образів.
Деякі проблеми режиму «тільки для читання» у Linux дистрибутивів описані тут. Але найголовніша проблема Linux — відносна складність у використанні, і, як наслідок, відсутність персоналу, який володіє достатньою експертизою. В Linux для зняття образу доведеться використовувати командний рядок (наприклад, ftk imager під linux існує тільки в консольної версії), де одна помилка може знищити всі свідоцтва (нехай історія і виявилася вірусною рекламою, але не просто так у неї багато повірили).
Windows завантажувальні диски
Щоб можна було довірити створення образу будь-якому пересічному співробітнику ІТ, потрібно скоротити до мінімуму ймовірність помилки. З цим добре справляється спеціальна збірка Windows Forensic Environment (WinFE), яка має графічний інтерфейс багато в чому схожий на звичайний Windows, при цьому обмежений тільки необхідними функціями. WinFE була створена комп'ютерним криміналістом, які працюють в Microsoft. Збірка заснована на WinPE і працює за аналогією з «forensically sound» дистрибутивами Linux, які не монтують розділи в процесі завантаження.
WinFE Interface
Ось кілька сильних сторін WinFE:
  • ви Можете використовувати Windows-додатку для криміналістики (портативні версії)
  • Більшість судових експертів вже використовують Windows
  • Безкоштовно (якщо у вас є ліцензія на Windows)
  • Відносно легко зібрати і кастомизировать
  • Менше можливостей для серйозних помилок в процесі використання
найпростіший спосіб зібрати WinFE — утиліта з проекту WinBuilder Mini-WinFE. Вам знадобляться дистрибутив Windows та ПЗ, яке ви захочете включити в збірку. На виході ви отримаєте ISO файл, який можна записати на CD або USB (з допомогою Rufus).
Основний сценарій використання WinFE:
  1. Створення завантажувального диска з WinFE.
  2. Завантаження WinFE на досліджуваному комп'ютері.
  3. Зняття образу дисків досліджуваного комп'ютера. Образи записуються на носій з WinFE або на будь-який інший носій.
Список ПО, яке може бути вбудовано в WinFESupported applications include — CloneDisk (included)
DMDE (included)
Forensic Acquisition Utilities (included)
FTK Imager (copied from local install)
HWiNFO (included)
LinuxReader (downloaded automatically)
MW Snap (included)
NT Password Edit (included)
Opera (included)
Sumatra PDF Reader (included)
WinHex (copied from local install)
X-Ways Forensics (copied from local install)
Write Protect Tool (included)
За особливу поведінку WinFE у процедурі підключення дисків відповідають два параметра реєстру:
  • HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MountMgr. Параметр NoAutoMount DWord приймає значення 1. Після цього сервіс Mount-Manager не виконує автоматичного монтування будь-яких storage device.
  • HKEY_LOCAL_MACHINE\system\ControlSet001\Services\partmgr\Parameters параметр SanPolicy приймає значення "3" або "4" залежно від версії Windows.
Існують як мінімум сім версій WinFE, кожна доступна у варіанті 32 і 64 біта.
Windows FE 2.0 (6.0.6000 - Vista)
Windows FE 2.1 (6.0.6001 - Vista SP1/Server 2008)
Windows FE 3.0 (6.1.7600 - 7/Server 2008 R2)
Windows FE 3.1 (6.1.7601 - 7 SP1/Server 2008 R2 SP1)
Windows FE 4.0 (6.2.9200 - 8/Server 2012)
Windows FE 5.0 (6.3.9600 - 8.1)
Windows FE 5.1 (6.3.9600 - 8.1 Update 1)

Кожна з версій має свій набір можливостей, докладне порівняння, але я рекомендую 32-бітну версію Windows FE 5.x (подробиці нижче).
Отже, під час завантаження WinFE не монтує розділи, а пропонує зробити це користувачеві самостійно за допомогою спеціальної утиліти Write Protect Tool (WProtect.exe автор Colin Ramsden). Як випливає з назви, ця утиліта запобігає запис на диск.
Write Protect Tool Interface
Втім, і у WinFE були випадки ненавмисної запису. Важливо, що ці випадки добре вивчені, відносяться до старих версій Windows <4.0 і не впливають на користувацькі дані, т. к. зачіпають тільки, так звану, підпис диска — це 4 байта в головною завантажувального запису (MBR), які Windows додає при підключенні диска, якщо він раніше не підключався до NT-системах. Дізнатися детальніше про те, що таке disk signature можна цієї статті Марка Руссиновича, а в цьому пості докладно описується, в яких випадках Windows змінює підпис диска.
Основний блог WinFE зараз розташовується тут.
Створення образу
Після того як ми завантажили нашу довірену ОС, можна приступати до створення образу. Жовта майка лідера перебуває у формату E01 (Encase) і цьому є кілька причин:
  • визнаний експертами формат — це важливо, якщо справа дійде до суду.
  • більшість форензик-утиліт мають підтримку цього формату — на етапі аналізу вам не доведеться конвертувати образ.
  • довільна ступінь стиснення — від неї залежить підсумковий розмір і необхідне для створення образу час, ви зможете вибрати потрібну ступінь в залежності від ситуації.
  • довільний розмір фрагмента — щоб образ було зручно копіювати по мережі або зберігати образ на файлових системах FAT32 можна розбити образ на фрагменти по 4000 Мб.
  • службові поля, в яких можна зберігати різні дані (наприклад, ПІБ експерта, який виконує зняття образу, розбіжність часу на досліджуваному комп'ютері з дійсним часом, серійний номер диска, з якого знімається образ, тощо).
  • контроль цілісності — на етапі створення виконується підрахунок контрольної суми образу.
Для створення образу в форматі E01 краще всього використовувати перевірений часом і безкоштовний FTK Imager Lite, який можна включити в завантажувальний диск WinFE. До речі, немає особливого сенсу використовувати функцію Use AD Encryption (захист способу паролем), оскільки ця захист легко знімається.
Висновок
Обов'язкова частина для тих, кому ніколи читати цю статтю: для зняття образу з досліджуваного комп'ютера використовуйте WinFE в комплекті з FTK Imager Lite і зберігайте образ у форматі E01.
P. S. За рамками даної статті залишився інструментарій для накопичувачів з флеш-пам'яттю (Флеш-пам'ять: проблеми для комп'ютерної криміналістики, Стерти не можна відновити), а також інструментарій для зняття дампа пам'яті з працюючої системи.
Якщо Хабру буде цікаво, то я розповім про те, як можна аналізувати отримані образи з допомогою ПЗ з відкритим вихідним кодом.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.