• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Реальные примеры Цифровой Криминалистики. Что происходит с Вашими устройствами?

f3807f2a2ee94586b7a4adb261cb2543_00000.jpg

Введение
Всем привет, Кодебай! Сегодня я хочу рассказать и показать, реальные примеры работы специалистов из области Форензики. Смотря фильмы или сериалы по IT-тематике, встречал такое, что главный герой открывает крышку своего системного блока и достает некоторые компоненты (процессор, жесткий диск и оперативную память), а затем они оказываются либо в микроволновках, или под работой дрели. К чему я это? Для этого я и пишу данную статью. Новички, которые только узнали об этой сфере, будет идеально ознакомиться! Статья получится очень легкой для восприятия, я не буду здесь использовать сложную терминологию.


На столе Компьютер и Телефон, но данный человек совершил преступление, используя Технологии
Представим такое, что человек, используя некие цифровые технологии, совершил преступление в сфере денежных махинаций. Специальные службы изначально должны понять, в какое время данный человек использует свои устройства и время неактивности для того, чтобы застать его с включенными устройствами, чтобы работа была легче.
Например:
~8:00 - 21:00 (примерное время использования),
~21:00 - 8:00 (примерное время неактивности).

В один из дней (8:00 - 21:00), специальные службы работают по месту жительства преступника, где и ловят его с включенным устройством (ПК). Даже если он и будет находиться в режиме блокировки, то это не повлияет - им нужны некие дампы.

*Перезагрузка или выключение устройства влечет за собой нулевой Процент получения информации*

MSD (Дамп оперативной памяти) - содержимое некоторых данных из процессора (или процессоров), ядер и информации о системе, содержимого стэка (чего - либо из перечисленного), удаленные файлы.

Как это происходит?
Первое, что у меня в голове, это снятие 'снимка' физическим методом (запоминающие устройство), в котором используется заморозка. Выглядит очень эффектно! Не знаю, насколько этот вариант используется широко в реалиях. Используется IEEE 1394 (FireWire порт)
Высокоскоростная шина, которая обменивает информацию с компьютером и другими иными устройствами.
Могут использоваться некие платы расширения, но об этом я планирую поговорить позже.
Идеальная выходная информация должна выглядеть так:

1676558297418.png


1676558282909.png


Так выглядит MSD (1) Линукса (в случае с Windows (2) - они практически не отличаются)

hdd.png


HDD? HDD. SSD? SSD. Здесь все зависит от владельца (+ОС) и от исследователя. Диск же может быть зашифрован, правда? Слишком много слухов ходит вокруг темы 'Аппаратные взломы', 'Перебор', и так далее. Никогда не угадаешь, что будет дальше.

Сетевая Криминалистика в случае с нашей ситуацией
Все мы прекрасно знаем про каноничные ситуации с VPN и PROXY, когда человек просто забыл его включить или один из этих сервисов в режиме 'down'. Здесь подключается сетевая криминалистика (не в этом именно случае, она много где используется). Сетевая криминалистика занимается анализом траффика пользователя. Конечно, данный подраздел является очень динамичным, ведь данные всегда изменчивы, но в нашем случае это имеет право на жизнь.

Что с телефоном?
Главная задача мобильной криминалистики заключается в поиске и извлечении информации с носителя. 'Открыть - Забрать - Уйти'. Но все зависит от методов и защиты устройства, навыков исследователя (старые/уязвимые версии Android и иное ПО, установленные вредоносные программы).

Заключение
Сегодня мы рассмотрели несколько случаев работы в области форензики. На данный момент в мире второй дом - это интернет и всю личность человека можно найти именно там. С каждым днем работа в этой сфере становится еще сложней, технологии развиваются и методы тоже. Статья получилась очень легкая для восприятия. Надеюсь, что вам понравилось, но делал акцент на новичков в этой сфере. В следующих статьях рассмотрим некоторые задачи. Храните свои данные с головой, ведь форензика рядом с вами! Спасибо, что прочитали.
 
Последнее редактирование модератором:

ConnectionDrill

Green Team
27.07.2022
39
37
BIT
9
коллега, нам нужно больше информации чем просто поверхностный обзор. Рассказывай подробно про каждую тематику
спасибо за вашу критику! посмотрел еще комментарии в тг, как я понял, мало кому понравилось. следующие статьи будут писаться на полный и информативный максимум
 
  • Нравится
Реакции: larchik, Festeinfo и Dzen
02.03.2021
554
399
BIT
252
спасибо за вашу критику! посмотрел еще комментарии в тг, как я понял, мало кому понравилось. следующие статьи будут писаться на полный и информативный максимум
форум который плавно перешел в один из лучших сайтов по инфобезу, стал им благодаря развернутым статьям.
Причем не просто поверхостное описание, а развернутая статья в области которой Вы являетесь профессионалом, описывайте те кейсы о которых можно рассказать и они будут интересны
 

lean_been

New member
12.11.2022
1
0
BIT
0
коллега, нам нужно больше информации чем просто поверхностный обзор. Рассказывай подробно про каждую тематику
я соглашусь, даже мне, как новичку показалось очень поверхностным и несвязным. Удачи автору в будущем и в любой случае спасибо за его время и желание писать.
 

BAO

Red Team
11.09.2019
71
57
BIT
31
Интерфейс IEEE1394 имел прямой доступ к оперативной памяти, поэтому можно было использовать несложные устройства для её дампа(можно было самому собрать). Сейчас встретить на рынке такое железо крайне сложно.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!