Статья Форензика. Что это и как это.

Здравствуйте дорогие пользователи и гости этого замечательного форума) Сегодня с этой статьи возможно начнется цикл публикаций по такой теме как "Компьютерная криминалистика" ака "Форензика", а пока просто рассмотрим что это и как это. Поехали)

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

forensic.jpg


А теперь что такое форензика простыми словами, это сбор цифровых доказательств.
Что мы понимаем под словосочетанием Цифровые доказательства?
Под цифровыми доказательствами подразумевается наличие следов преступления на любых носителях информации, жесткие диски, смартфоны, планшеты, флешки, любые предметы где может храниться информация в электронном виде. Из самых не обычных это могут быть утюги, холодильники и прочая умная бытовая техника))

Существует несколько видов криминалистических экспертиз:
  • Аппаратно-компьютерная экспертиза;
  • Программно-компьютерная экспертиза
  • Компьютерно-сетевая экспертиза;
  • Информационно-компьютерная экспертиза.
Перед специалистом в основном ставятся вопросы:
  • о наличии на объектах информации, которая относится к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
  • о возможности использования исследуемых объектов для определённых целей (например, для доступа в сеть);
  • о действиях, совершённых с использованием объектов;
  • о свойствах программ, в частности, о принадлежности их к вредоносным;
  • об идентификации найденных электронных документов, софта, пользователей компьютера.
Еще есть понятие как експресс анализ, то есть на месте быстренько все проверяется и делается заключение. Например ты сидишь дома хакаешь сайт какого нибудь департамента, и тут в дверь позвонили, ты пошел открывать не выключив ноут зашли ребята посмотрели твой комп и все, как говориться Happy End my freinds)) По средствам експресс анализа быстро выявят твое причастие к взлому и заберут с собой))

Какими инструментами пользуются специалисты по криминалистическому анализу

Есть дистрибутив специально под задачи форензики:

deft-4.2.png


Разработан на Lubuntu, имеет удобный графический интерфейс. OS оснащена набором профильных утилит, антивирусы, системы поиска в кэше браузера, сканеры и утилитаы для выявления руткитов и другими инструментами необходимыми при поиске скрытых на диске данных.

В основном эта система применяется для анализа последствий взлома систем, определения потерянных и скомпрометированных данных, и конечно для сбора цифровых доказательств совершения киберпреступлений.

Имеются отдельные фреймворки:
Volatility Framework -- исследование образов, содержимого оперативной памяти и извлечение цифровых артефактов из энергозависимой памяти

DFF (Digital Forensics Framework) -- используется для исследования жестких дисков и энергозависимой памяти, создание отчетов о действиях в системе.
это не все)

Для тренировок есть специализированные платформы и образы для анализа, представленные на визуализированой .

__004.png


Кроме всего этого, есть разделы с инструментарием для форензики в таких ОС как Kali Linux и BlackArch.
В противовес всему этому существуют контр-криминалистические системы, к примеру Linux Kodachi.

Для тех кому интересна тема форензики и он хотел бы ее изучить то могу посоветовать старенькую, но очень хорошую книгу:

Еще хочу сказать что форензика как ответвление в ИБ менее развито, нежели Тестирование на проникновение, но не менее интересное и обширное.

На этом я пожалуй закончу) может быть в будущем, если эта тема кого то заинтересует, то мы углубимся в познания
форензики. Всем спасибо кто прочитал сие, и прошу прощения за ошибки, ибо под конец написания время поджимало и не успевал все проверить)
 

Spy

One Level
17.04.2017
3
1
BIT
0
Хотелось бы услышать про построение таймлайнов и их анализ, а так же об атрибутах файлов, их изменении и выявлении изменений
 

Superbia

One Level
20.02.2018
7
6
BIT
0
CTF по форензике клево конечно, но больше практических задач бы побольше было бы nice
 
A

ANdreGS

Здравствуйте, материал действительно интересный, меня как и большинство интересует продолжение... когда ждать? И спасибо за отличный материал!
 

SearcherSlava

Red Team
10.06.2017
943
1 260
BIT
199
 1.png


 1.jpg













































 
Последнее редактирование модератором:
  • Нравится
Реакции: IioS, BBOYMIG и Superbia
A

AtlantWS

Слушайте это супер, никогда не думал что криминалистика и на этом уровне есть!? Круть, спасибо что просветили )
 

SearcherSlava

Red Team
10.06.2017
943
1 260
BIT
199
NETWORK-FORENSICS.jpg






























 
  • Нравится
Реакции: Superbia

Domino-Designer

Людям надо поморгать!
Lotus Team
06.12.2011
617
223
BIT
22
На этом я пожалуй закончу
Не не, не закончите. Рассказывайте.

@Viacheslav, кто вас учил так оформлять материал? Им же пользоваться невозможно, а найти - так вообще не реально. Два ваших поста в Лотусовой тематике вогнали меня в грусть и депрессию :)
 
  • Нравится
Реакции: lmike и Vertigo

SearcherSlava

Red Team
10.06.2017
943
1 260
BIT
199
Не не, не закончите. Рассказывайте.

@Viacheslav, кто вас учил так оформлять материал? Им же пользоваться невозможно, а найти - так вообще не реально. Два ваших поста в Лотусовой тематике вогнали меня в грусть и депрессию :)

Не печалься, не сердись!
В день уныния смирись:)

Воистину, когда Ученик готов, приходит Учитель. Благодарю Вас за конструктивную критику. Не могли бы Вы указать причину невозможности пользования и нереальности нахождения материала? С наилучшими, жму руку профи. В
 

Superbia

One Level
20.02.2018
7
6
BIT
0
@Viacheslav дело в том, что захлебываемся материалом, в разнобой идут разные года и направления, скорее всего много дублирующей себя информации, не ясно как материал использовать и какая его ценность. Если Вы действительно читали все перечисленные статьи, то возможно можно указать краткое ревью по типу "тут чувак пишет кратко и по делу об обпределении типов файлов, а вот это преза с какой-то конфы, можно просто полистать". Из подробного описания к избранному из Вашей библиотеке может получиться вполне себе годный пост :)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 980
611
BIT
429
Не не, не закончите. Рассказывайте.

@Viacheslav, кто вас учил так оформлять материал? Им же пользоваться невозможно, а найти - так вообще не реально. Два ваших поста в Лотусовой тематике вогнали меня в грусть и депрессию :)
я испытал чувство - просто подборка без попыток анализа (и, возможно - без прочтения оной)
 
  • Нравится
Реакции: Domino-Designer и Vertigo

SearcherSlava

Red Team
10.06.2017
943
1 260
BIT
199
@Viacheslav дело в том, что захлебываемся материалом, в разнобой идут разные года и направления, скорее всего много дублирующей себя информации, не ясно как материал использовать и какая его ценность. Если Вы действительно читали все перечисленные статьи, то возможно можно указать краткое ревью по типу "тут чувак пишет кратко и по делу об обпределении типов файлов, а вот это преза с какой-то конфы, можно просто полистать". Из подробного описания к избранному из Вашей библиотеке может получиться вполне себе годный пост :)

Доброго времени! Благодарю Вас за обстоятельное разъяснение вопроса и рекомендации. Пока что только дополнил разделы тематическими ссылками, которые, надеюсь, окажутся полезны, а исследование столь многомерного массива данных и извлечение знаний из оного только предстоит:) С наилучшими, жму руку профи. В
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 980
611
BIT
429
е могли бы Вы указать причину невозможности пользования и нереальности нахождения материала?
а это смахивает на троллинг, приведите анализ, хотя бы, 3-х статей
со ссылками и пояснениями в применимости приведенных методик, в практическом смысле, с примерами из реального расследования
 
  • Нравится
Реакции: Domino-Designer и Vertigo
A

arfaxad

Выделение сущностей в криминалистическом анализе источников данных.
dspace.spbu.ru/handle/11701/4061

&
&
oxygensoftware.ru
 
  • Нравится
Реакции: Vertigo
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!