Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2942 / 490 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Лекция 11:

Судебные средства

Установка The Forensic Toolkit

  1. Загрузите соответствующий файл с Web-сайта (версию 1.4 или 2.0, в зависимости от того, нужны ли вам открытые исходные тексты).
  2. Распакуйте файл в его собственный каталог. Это завершает установку.

Применение The Forensic Toolkit

Инструментарий включает различные утилиты командной строки, генерирующие статистические данные и информацию об исследуемой файловой системе. Чтобы выполнить команду, наберите ее в окне командной строки (вы должны находиться в соответствующем каталоге). В последующих разделах описаны отдельные средства.

Afind

Эта утилита ищет файлы по времени доступа к ним, не изменяя информацию о доступе, что отличает ее от обычных утилит Windows. Основной формат команды таков

afind каталог_поиска опции

Основные опции перечислены в табл. 11.6.

Таблица 11.6. Основные опции поиска для Afind
Опция Описание
-f имя_файла Выдает информацию о времени доступа к файлу с заданным именем
-s X Отыскивает файлы, к которым обращались в течение последних X секунд
-m X Отыскивает файлы, к которым обращались в течение последних X минут
-d X Отыскивает файлы, к которым обращались в течение последних X дней
-a d/m/y-h:m:s Отыскивает файлы, к которым обращались после указанной даты и времени

Hfind

Это - средство поиска скрытых файлов в операционной системе Windows. Выдаются файлы, у которых установлен бит атрибута скрытости, а также файлы, скрытые с помощью специального атрибутного метода каталога/системы Windows NT. Формат таков:

hfind каталог_поиска

Команда выдает список скрытых файлов и дату и время последнего доступа к ним. Будьте осторожны при поиске по всему жесткому диску, так как на это может потребоваться много времени.

Sfind

Средство поиска на жестком диске скрытых потоков данных. Они отличаются от скрытых файлов, так как не становятся видны на жестком диске, когда вы щелкаете мышью на опции показа скрытых файлов. Скрытые потоки данных - особенность NTFS, предоставляющая определенным программам доступ к альтернативным потокам данных. Эти файлы связываются с видимым родительским файлом, но не удаляются, когда файловая система удаляет последний. Они могут применяться для сокрытия данных или вредоносного программного обеспечения. Формат команды sfind таков:

sfind каталог_поиска

Если вы ищете, отправляясь от корневого каталога большого диска, поиск может быть весьма длительным.

FileStat

Эта команда выдает полную распечатку атрибутов файла, включая информацию о безопасности. В каждый момент времени она работает только с одним файлом. Вывод можно направить по каналу в текстовый файл для дальнейшей обработки. Эта команда выдает довольно много информации, включая подробные сведения о файловом дескрипторе, которые обычно не сообщаются. На листинге 11.5 показан пример этой информации для файла с именем test.txt.

Creation Time - 01/10/2004 03:18:40
Last Mod Time - 01/10/2004 03:18:40
Last Access Time - 01/10/2004 03:18:40
Main File Size - 11
File Attrib Mask - Arch
Dump complete:Dumping C:\temp\test.txt:
SD is valid.
SD is 188 bytes long.
SD revision is 1 ==SECURITY_DESCRIPTOR_REVISION1
SD's Owner is Not NULL
SD's Owner-Defaulted flag is FALSE
  SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460
SD's Group-Defaulted flag is FALSE
  SID = TONYVPRDESKTOP/None S-1-5-21--181663460--953405037-
SD's DACL is Present
SD's DACL-Defaulted flag is FALSE
    ACL has 4 ACE(s), 112 bytes used, 0 bytes free
    ACL revision is 2 == ACL_REVISION2
  SID = BUILTIN/Administrators S-1-5-32-544
    ACE 0 is an ACCESS_ALLOWED_ACE_TYPE
    ACE 0 size = 24
    ACE 0 flags = 0x00
    ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
  SID = NT AUTHORITY/SYSTEM S-1-5-18
    ACE 1 is an ACCESS_ALLOWED_ACE_TYPE
    ACE 1 size = 20
    ACE 1 flags = 0x00
    ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
  SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460-
    ACE 2 is an ACCESS_ALLOWED_ACE_TYPE
    ACE 2 size = 36
    ACE 2 flags = 0x00
    ACE 2 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
  SID = BUILTIN/Users S-1-5-32-545
    ACE 3 is an ACCESS_ALLOWED_ACE_TYPE
    ACE 3 size = 24
    ACE 3 flags = 0x00
    ACE 3 mask = 0x001f01ff -R -X
SD's SACL is Not Present
Stream 1:
  Type: Security
  Stream name = ?? ??Size: 188

Stream 2:
  Type: Data
  Stream name = ?? ??Size: 11

Stream 3:
  Type: Unknown
  Stream name = ?? ??Size: 64
Листинг 11.5. Выдача команды FileStat

Hunt

Это средство можно применять для получения детальной информации о системе с помощью возможностей пустого сеанса Windows. При определенной степени вседозволенности в вашей системе может выдаваться важная информация, такая как списки пользователей, разделяемых ресурсов и запущенных служб. Команда имеет следующий формат:

hunt имя_исследуемого_хоста

На листинге 11.6 приведен пример выдачи команды Hunt.

share  =  IPC$  -  Remote IPC

share  = print$ -  Printer Drivers

share = SharedDocs -

share = Printer3 - Acrobat Distiller

share = Printer2 - Acrobat PDFWriter

User = Administrator, , ,  Built-in account for administrating the computer/domain

Admin is TONYVPRDESKTOP\Administrator
User = Howlett, , ,

User = Guest, , , Built-in account for guest access to the computer/domain

User = HelpAssistant, Remote Desktop Help Assistant Account,
     Account for Providing Remote Assistance

User = SUPPORT_388945a0,   CN=Microsoft
     Corporation, L=Redmond, S=Washington, C=US,  , This is a vendor's
     account for the Help  and Support Service

User = Tony Howlett,
Листинг 11.6. Выдача команды hunt

В списке можно видеть двух пользователей, которые обычно не отображаются в разделе User Account системы Windows: HelpAssistant и SUPPORT (возможности удаленной помощи и раздражающая возможность "уведомите службу поддержки", выскакивающая всякий раз, когда программа отдает концы). Это пользователи системного уровня для внутренних программ. С помощью данного средства можно раскрыть других скрытых пользователей, спрятанных квалифицированным нарушителем.

Эта лекция не претендует на полноту описания всех возможных судебных средств, однако представленных средств достаточно, чтобы выполнять основные судебные действия практически на любой системе. Для тех, кто профессионально работает в данной области или оказался вовлеченным в расследование, имеется много других средств. Хороший список судебных средств с открытыми исходными текстами можно найти по адресу http://www.opensourceforensics.org/.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?