Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3094 / 614 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 22:

Наборы инструментов, помогающие при судебном анализе

Аннотация: Получение копии - это первый шаг в двухступенчатом процессе успешного судебного расследования. Вторая фаза - это аналитическая составляющая расследования. В этой лекции обсуждаются инструментальные средства, используемые для анализа данных, которые мы получили ранее.

В лекциях "Коммерческие наборы инструментов для судебного дублирования" и "Некоммерческие наборы инструментов, предназначенные для судебного дублирования" мы рассматривали инструментальные средства, с помощью которых можно выполнить судебное дублирование исходного жесткого диска. Получение копии - это первый шаг в двухступенчатом процессе успешного судебного расследования. Вторая фаза - это аналитическая составляющая расследования. В этой лекции обсуждаются инструментальные средства, используемые для анализа данных, которые мы получили ранее. Все наборы инструментов, предназначенные для судебного анализа, которые мы рассматриваем, способны импортировать несколько форматов судебного изображения. Наиболее полезный формат, в котором изображение создается утилитой dd, может использоваться со всеми этими инструментальными средствами, и так как эта утилита имеет открытый исходный код, то создание копии ничего не стоит (кроме вашего времени).

Forensic toolkit

Судебный комплект инструментов Forensic Toolkit ( FTK ) от компании AccessData (http://www.accessdata.com) помогает аналитику, сокращая большие наборы данных до поднабора, содержащего важную информацию. FTK - коммерческий продукт. Он продается компанией AccessData. До конца прошлого года FTK поставлялся вместе с программой SnapBack, являющейся коммерческим инструментом судебного дублирования (см. лекцию "Коммерческие наборы инструментов для судебного дублирования" ).

Внимание. Для работы FTK требуется защитная заглушка ( dongle ). Если у вас нет защитной заглушки, вам нужно связаться с компанией AccessData, и это может задержать ваше расследование.

FTK может автоматически извлекать документы Microsoft Office, электронной почты, отслеживать деятельность, связанную с интернетом, и пр. Поскольку инструмент делает это автоматически, он экономит время, чтобы аналитик мог приступить сразу к анализу важных данных. Инструмент FTK полностью индексирует данные, поэтому поиск по ключевым словам происходит почти мгновенно. При работе с изображением жесткого диска в несколько гигабайт это свойство может сэкономить часы, проведенные за судебным компьютером.

Инструмент FTK анализирует только файловые системы Microsoft Windows. Поэтому, если система, которую вы расследуете, относится к системам Unix, то для ее анализа нужно использовать другие инструменты: EnCase или комплект инструментов Coroner.

Реализация

Инструмент FTK имеет графический интерфейс, так что для его использования не требуются опции командной строки. Первое, что вам надо сделать при запуске FTK - это решить, хотите ли вы создать новое дело или открыть уже существующее.


Мы создадим новое дело, а затем импортируем туда наши исходные файлы улик. Эти файлы улик были созданы с исходного диска, с помощью инструмента судебного дублирования EnCase (см. лекцию "Коммерческие наборы инструментов для судебного дублирования" ). Когда мы выбираем опцию Start A New Case, появляется экран, позволяющий описать специфику нашего дела.


Следующий экран позволяет задать параметры нашего дела. Аббревиатура KFF означает known-file filter (фильтр известных файлов). Эта опция отфильтровывает файлы, которые, предположительно, являются безопасными. Для корректной работы операционная система Windows требует сотни стандартных системных файлов. Эти файлы, если они не были изменены, в большинстве сценариев дадут аналитику очень узкую информацию. Опция KFF позволяет уменьшить количество файлов, которые требуется анализировать. Следовательно, при проведении расследования эта опция может сэкономить время, деньги и ресурсы.


Если вы предполагаете, что может потребоваться поиск по ключевым словам, то отметьте опцию Full Text Index (Индексирование всего текста). Процесс импорта займет значительно больше времени, но цена будет оправдана, если вы выполните поиск более одного раза.

На следующем экране, FTK просит, чтобы мы добавили к делу улики. Уликами могут быть файлы, созданные с помощью инструмента EnCase или файлы изображений, созданные в dd. Файлы улик, создаваемые в EnCase были описаны в лекции "Коммерческие наборы инструментов для судебного дублирования" , а получение копии жесткого диска с помощью dd рассматривалось в лекции "Некоммерческие наборы инструментов, предназначенные для судебного дублирования" .

Когда мы выбираем Add Evidence (Добавление улик), нам предоставляются несколько опций, касающихся типа улик, которые нужно добавить.


Мы можем импортировать файл улик, анализировать локальный диск, содержание каталога или индивидуальный файл. Обычно, нам требуется импортировать файл улик (опция Acquired Image Of Drive ), но стоит рассмотреть также и другие методы анализа. Например, нам нужно подключить диск к судебному компьютеру вместо ввода в FTK файла улик (опция Local Drive ). Если мы имеем только логическую копию зависимой машины, нам может понадобиться проанализировать содержание каталога, и этот каталог мог бы содержать логическую копию интересующей нас машины (опция Contents Of A Folder ). Или у нас может быть единственный очень большой файл, который требуется проиндексировать для дальнейшего поиска (опция Individual File ).

Поскольку чаще всего используется импортирование файлов улик, то в этой книге мы обсуждаем именно этот метод. Мы создали копию, используя инструмент EnCase (лекция "Коммерческие наборы инструментов для судебного дублирования" ). Теперь добавьте эти файлы к недавно созданному делу, выбрав Continue (Продолжение) на последнем экране.


Затем мы выбираем любые окончательные опции и вводим информацию, характеризующую улики этого конкретного элемента, в дело:


Примечание. Индексирование всего текста в процессе импорта потребует много времени. Однако если вы сейчас не создадите индекс, то потребуется создавать его позже, когда вы захотите выполнить быстрый поиск по ключевым словам.
Марина Дайнеко
Марина Дайнеко
Россия, Moscow, Nope, 2008
Александр Климов
Александр Климов
Россия, Московское высшее техническое училище им. Н. Э. Баумана, 1989