10 удивительных методов криминалистики будущего

Содержание

Обзор

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было выявлено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и преступления, связанные с компьютерами, выросли, и в период с 2002 по 2003 год их количество увеличилось на 67%. Сегодня они используются для расследования широкого спектра преступлений, включая детскую порнографию , мошенничество, шпионаж , киберпреследование , убийства и изнасилования. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное раскрытие ).

Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель данных (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение в формате JPEG). Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий. В книге 2002 года « Компьютерная криминалистика» авторы Круз и Хайзер определяют компьютерную криминалистику как «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». Далее они описывают дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания в предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и им не хватает гибкости, характерной для гражданского мира.

Про компьютерную криминалистику, математиков и цифровые следы

С ноября прошлого года я руковожу Лабораторией компьютерной криминалистики в нашем европейском офисе в Амстердаме. В Европе работать и легче, и сложнее одновременно. С одной стороны, здесь меньше бюрократии —  если происходит инцидент, например, атака программы-шифровальщика, клиенту достаточно прислать нам письменное подтверждение: “Согласны на ваши условия — начинайте работать!” и все сразу закрутится-завертится без долгих этапов согласований.  С другой стороны, в Европе сильнее конкуренция и более строгие требования к Incident Response (Incident Response – это мероприятия по реагированию на инцидент информационной безопасности). Ещё один плюс в том, что полиция европейских стран работает быстрее и, как мне кажется, больше заинтересована в раскрытии каждого дела, поэтому довольно легко идет на взаимодействие с нами. Это ситуация win-win: если мы на месте получаем новые данные о локальных киберугрозах, группах и инструментах, то улучшаем наши продукты для сбора данных об атакующих, проактивной охоты за хакерами и защиты сетевой инфраструктуры, а, значит, можем предотвращать ещё больше новых преступлений.

Любое новое дело для меня это — задачка, а математики любят сложные задачи

Если какого-то элемента в моем пазле не хватает, это сводит меня с ума: «Вдруг я что-то упустил? Вдруг где-то не доработал?». Важно собрать пазл целиком — до последнего кусочка. Каждая найденная цифровая улика приносит новую дозу адреналина, и дофамина, и эндорфина.  Разгадывать загадки — всегда интересно, но еще большее удовольствие  доставляет, когда доводишь дело до конца

Моя основная задача как компьютерного криминалиста — исследование цифровых носителей. Ноутбуки, смартфоны, диски, флешки… все, что угодно. Даже умный холодильник, подключенный к интернету, тоже оставляет цифровые следы. Вот вы можете не знать, как за вами следят потихоньку, что вы едите. Проще говоря, наша задача — найти улики, следы преступников в цифровом мире. Если раньше криминалистика занималась расследованием преступлений в материальном мире — офлайне: эксперты снимали отпечатки пальцев, анализировали следы пепла или пороха, образцы тканей и так далее, то в век развития информационных технологий появилось новое направление. Теперь мы ищем цифровые «отпечатки» в киберпространстве. Мы — киберкриминалисты.

Представьте, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от нее попадаем на какой-то левый сервер, начинаем копать и буквально минут за сорок находим следы заражения и куски знакомого кода. Несколько дней ты находишься буквально в прострации, и вдруг наступает озарение!  Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И все совпадает: к офису подруливает машина, человек внутри открывает ноутбук и в это время идет подключение к сети организации через их wi-fi точку. Да, да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определенное время вся коммуникация заканчивается, машина уезжает. Щелк. Пазл сложился. Мы сделали это! 

Пытаться делать все одним специалистом

Напомню, что есть следующие виды компьютерно-технической экспертизы:

  • аппаратно-компьютерная;

  • программно-компьютерная;

  • информационно-компьютерная;

  • компьютерно-сетевая.

При этом сотрудники, отвечающие за экспертизы и исследования, должны разбираться в аппаратном обеспечении компьютерных средств и систем, криптографии, сетевых технологиях, уметь исследовать базы данных, мобильные устройства и оперативную память различных устройств. Еще им нужны навыки восстановления данных, криминалистического анализа различных операционных систем и приложений, навыки в программировании и обратной разработке программных средств и так далее.

Один человек — хоть разбейся в лепешку — не может обладать всеми этими компетенциями. Поэтому специалист, занимающийся форензикой, может эффективно решать задачи только в определенной ее области. Для полного охвата всех задач форензики нужна команда, в которой каждый участник имеет узкую специализацию в определенной области форензики и отвечает за соответствующее направление.

Наши рекомендации:

Как сказано выше, необходимо специализироваться в какой-то определенной области компьютерной криминалистики. Оцените, что вам больше всего подходит и развивайтесь в этом направлении.

Поиск артефактов на HDD и периферии

  • FastIR Collector
    — мощный функциональный сборщик информации о системе Windows (реестр,
    файловая система, сервисы, процессы, настройка окружения, автозагрузка и
    так далее).
  • FRED — кросс-платформенный быстрый анализатор реестра для ОС Windows.
  • NTFS USN Journal parser — парсер журналов USN для томов NTFS.
  • RecuperaBit — утилита для восстановления данных NTFS.

Специализированные паки и фреймворки

  • Digital Forensics Framework — платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI.
  • The Sleuth Kit и Autopsy — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков.
  • Oxygen Forensic Detective
    — универсальный криминалистический инструмент для исследования данных
    мобильных устройств. Пак входящих в него утилит позволяет выполнять
    полное извлечение данных, проводить исчерпывающий анализ данных,
    хранящихся на телефонах и в облачных хранилищах. В наличии есть Forensic
    Cloud Extractor — встроенная служебная программа, собирающая данные из
    облачных служб хранения данных; средство Forensic Maps — программа,
    работающая с данными геоинформационных систем (GPS); Forensic Call Data
    Expert — программа для импорта записей данных о вызовах (так называемые
    CDR-файлы) любого поставщика услуг беспроводной связи и визуального
    анализа соединений абонентов.

Статья Особенности работы программ с iOS 12.4.9

lass=»message-cell porta-article-date with—text»>

Ноя 28

Попал мне в руки iPhone 6 А1549 с iOS 12.4.9, проблем с checkra1n для получения jailbreak не возникает, но как всегда есть но, вот эти версии трехзначные с мелкими исправлениями безопасности типа Пример — 12.4.5 … 12.4.9 несут в себе всякие не понятные моменты с которыми не весь софт или устройства хотят работать.
Как проявляется не хотение и не понимание некоторого ПО к таким версиям.
Первое с чем я столкнулся UFED Touch2 не отработал эту модель, жаль но факт, дальше интереснее.
iOS-Toolkit-6.52-Win снял как положенно физику и Keychain и Phone Breaker замечательно расшифровал пароли

Так же без вопросов и нареканий сработал и Phone Viewer

Хоть UFED Touch2 не отработал за то софт Cellebrite Physical Analyzer справился с образом сделанным Elcomsoft справился просто на Ура
Magnet AXIOM к сожалению себя не проявил, но зато он умеет восстанавливать удаленные из…

Аппаратные блокираторы записи

С аппаратными решениями я не работал, но приведу немного теории из интернетов. Бывают блокираторы записи (bridge), через которые исследуемые носители информации подключаются к компьютеру, а бывают дубликаторы (duplicator), которые умеют автономно создавать полные копии и образы исследуемых дисков.

Блокираторы записи перехватывают команды записи от ОС и предотвращают их передачу на носитель информации. Когда это возможно, они сообщают ОС, что устройство подключено в режиме «только чтение», иначе просто сообщают ОС об ошибках записи. Некоторые устройства используют встроенную память для кэширования записанных данных и создают для ОС видимость того, что данные на диске действительно изменились.

Аппаратные решения безусловно имеют свои плюсы, но есть у них и недостатки:

  • Они недешевы. Для примера, блокиратор записи T35u имеет рекомендованную розничную цену $349.00, дубликатор Tableau TD2u — $1,599.00.

  • И они небезупречны. Бывали случаи, когда аппаратные устройства пропускали команды записи на устройство ().

Где используется анализ отпечатков пальцев

Нейросеть уже научилась подделывать отпечатки пальцев

Хотя компьютеры ускоряют поиск отпечатков пальцев в базе данных на предмет схожести с полученными на месте преступления, именно аналитик делает окончательное заключение относительно того, соответствует ли отпечаток в должной степени. Если подходящего отпечатка в базе данных нет, сопоставление не может быть проведено в принципе, независимо от качества отпечатка пальцев с места преступления. Но даже если совпадения нет или же два аналитика не сойдутся во мнении, отпечаток пальца будет иметь доказательную ценность.

Аннемике ван Дам из академического медицинского центра при Университете Амстердама отмечает, что отпечатки пальцев состоят, в частности, из «белков и жиров, секретируемых нашей кожей», которые «могли бы раскрыть много информации о человеке, который их оставил», включая рацион питания. В будущем, предсказывает ван Дам, отпечатки пальцев смогут даже определить, был ли их владелец мясоедом или вегетарианцем.

Другие исследователи обнаружили, что отпечатки пальцев могут также показать, надевал ли их носитель презерватив, и если да, какого производителя. Ван Дам уверена, что в будущем такой анализ отпечатков пальцев станет заурядным. Но это не все. В будущем отпечатки ДНК позволят составить «генетический профиль» подозреваемого человека, на основе которого криминалисты смогут воссоздать его физический облик.

Полезные ссылки

Мобильная форензика

  • Извлекаем и анализируем данные из устройств на Android
  • Яблочный forensic. Извлекаем данные из iOS-устройств при помощи open source инструментов

Остальные направления

  • Флеш-память: проблемы для компьютерной криминалистики
  • Техническое обеспечение компьютерной криминалистики — продолжение

Площадки для тренировки

После изучения матчасти, я уверен, вы готовы ринуться в бой, чтобы проверить свои навыки. Но вряд ли у каждого будет возможность сразу попасть на «живое» расследование. Начинать тренировки лучше, как говорилось в классическом фильме, «на кошках». В данном случае в роли фарфоровых кошек из «Операции Ы» выступают заранее подготовленные образы с артефактами, которые нужно извлечь и проанализировать.

  • Memory samples — набор дампов памяти от Windows до Linux с зашитыми в них артефактами.
  • p0wnlabs Sample Challenges — набор свободно скачиваемых заданий на темы web sleuthing и deleted file recovery.
  • Wireshark Sample Captures — репозиторий дампов сетевого трафика.

Краткие руководства и примеры парсинга дампов сетевого трафика можно найти тут, вот тут и на русском вот еще тут.

  • Computer Forensic Reference Data Sets (CFReDS) — репозиторий образов для тренировки навыков криминалистической экспертизы.
  • Digital Forensics Tool Testing Images — еще один архив снимков ФС.
  • Digital Corpora — портал организации Digital Corpora, созданный для энтузиастов киберфорензики, с семплами для тестирования своих навыков.
  • BlackLight — коммерческий набор инструментов и демопак для тестирования навыков.

Другие полезные ресурсы

  • Огромный архив ссылок, материалов, описаний по теме форензики на GitHub.
  • Cheat Sheets & Posters — чит-листы и шпаргалки по форензике, созданные в институте SANS, и не только!
  • Forensic Computer Analyst Salary — статья о том, сколько зарабатывают эксперты по форензике за рубежом. Согласитесь, недурно!
  • Forensic Workstations, Forensic Hardware, Forensic Duplicators_Bridges, Forensic Software — железо для аппаратной форензики.

Плохо подготовиться к изъятию накопителей информации

Кроме систем экстренного уничтожения данных, современные электронные устройства зачастую имеют встроенные системы защиты, которые ограничивают доступ к пользовательским данным. Поэтому при попытках получить доступ к таким данным часто выясняется, что они находятся в зашифрованном виде, в защищенном контейнере, на спрятанном носителе (например, флешке или карте памяти) или в недоступном облачном хранилище. 

Поэтому перед изъятием носителей информации надо определить, на каких носителях может находиться нужная информация, как они защищены, где находятся физически, какие пароли и иные средства защиты использует человек, у которого они находятся, и т.п.

Наши рекомендации:

Необходимо тщательно готовиться к мероприятиям по изъятию носителей информации и продумывать действия, которые смогут нейтрализовать контрмеры владельца информации.

Статья Снятие парольной защиты с помощью Cellebrite UFED Touch 2 на примере «SM-J510H».

lass=»message-cell porta-article-date with—text»>

Май 25

К нам попал Samsung J5 «SM-J510H» на котором стоит парольная защита в виде пин кода, с заданием снять эту парольную защиту.
Для этого мы будем использовать Cellebrite UFED Touch 2.

Так же нам потребуются комплектные кабели и переходники:

  • A Adapter-USB
  • T-100
  • Phone Power-up Cable (необходим для стабильного питания во время работы)
  • T-133 (необходим если имеются проблемы с переводом смартфона в download mode)

ПРИСТУПИМ​

Запускаем Cellebrite UFED Touch 2.

Выбираем пункт мобильное устройство.

Выбираем пункт обзор устройств, после чего выбираем производителя.

Как мы видим модели SM-J510H…

Биомаркеры пыльцы

Пыльца с растений помогает, если преступления совершены в лесу

Палинология, изучение пыльцы, стала одной из новейших дисциплин, добавленных в растущую область судебной науки. Пыльца есть везде, где растут цветущие растения, в том числе пустыни и пещеры, а цветки расцветают в разное время. Эти два фактора определяют конкретную «сигнатуру» пыльцевых зерен, что делает их биомаркерами, связанными с конкретными временами и местами.

Новая методика идентификации пыльцы приведет к использованию палинологии для раскрытия преступлений, которые иначе могли бы остаться нераскрытыми. Хотя пыльца уже использовалась для определения того, где первоначально погибли люди, закопанные в братских могилах в Боснии, и позволила связать грабителя с его преступлением в Новой Зеландии, пока ее изучение не получило широкого распространения в криминалистике. Она может быть полезна при поиске пропавших без вести и в составлении истории путешествий преступника.

Правда, эта процедура ограничена тем фактом, что во всем мире не так много палинологов, а цветов очень много. Использование штрихового кодирования и секвенирования ДНК, хоть и дорогостоящее, может повысить точность идентификации определенного типа пыльцы. Вполне вероятно, что биомаркеры пыльцы будут широко использоваться в криминалистике будущего.

Как бороться с кибер-преступностью

Похоже, в современную эпоху развития технологий хакеры захватывают наши системы, и никто не может чувствовать себя в безопасности. Среднее время реакции, или время, необходимое компаниям для обнаружения кибер-нарушения, составляет более 200 дней. Большинство пользователей Интернета не задумываются о том, что их могут взломать, и многие редко меняют свои учетные данные или пароли

В результате этого многие люди становятся восприимчивыми к кибер-преступности, а потому крайне важно быть информированными. Обучите себя и других превентивным мерам, которые вы можете предпринять, чтобы защитить лично себя или свою компанию.

  1. Будьте бдительны при просмотре веб-сайтов.
  2. Отмечайте и сообщайте о подозрительных электронных письмах.
  3. Никогда не нажимайте на незнакомые ссылки или объявления.
  4. Используйте VPN везде, где это возможно.
  5. Убедитесь в безопасности веб-сайта прежде, чем вводить на нем свои учетные данные.
  6. Регулярно обновляйте ваш антивирус и другие программы на своих устройствах.
  7. Используйте сложные пароли с более чем 14 символами.

Источники:

  • Techopedia
  • Florida Tech | Online
  • Juniper Research
  • SecurityIntelligence by IBM: Ponemon Institute Study
  • SecurityIntelligence by IBM: Cybercrime Statistics
  • CSO from IDG
  • MetaCompliance

Операционные системы, ориентированные на криминалистику

На основе Debian

Kali Linux — это производный от Debian дистрибутив Linux, разработанный для цифровой криминалистики и тестирования на проникновение, ранее известный как BackTrack .

Parrot Security OS — это облачный дистрибутив Linux, основанный на Debian и предназначенный для выполнения тестов безопасности и проникновения, проведения криминалистического анализа или анонимных действий. Он использует среду рабочего стола MATE, ядро ​​Linux 4.6 или выше и доступен в виде живого легкого устанавливаемого ISO-образа для 32-разрядных, 64-разрядных и ARM-процессоров с функциями судебной экспертизы при загрузке, оптимизацией для программистов и новыми настраиваемыми инструментами тестирования на проникновение.

На основе Ubuntu

CAINE Linux — это live CD / DVD на основе Ubuntu. CAINE расшифровывается как Computer Aided Investigative Environment.

На основе Pentoo

Pentoo Penetration Testing Overlay и Livecd — это live CD и Live USB, предназначенные для тестирования на проникновение и оценки безопасности. Pentoo, основанный на Gentoo Linux, поставляется как 32-разрядный, так и 64-разрядный устанавливаемый live CD. Pentoo также доступен как наложение для существующей установки Gentoo. Он включает в себя пропатченные драйверы Wi-Fi с пакетной инъекцией, программное обеспечение для взлома GPGPU и множество инструментов для тестирования на проникновение и оценки безопасности. Ядро Pentoo включает grsecurity и усиление PAX, а также дополнительные патчи — с двоичными файлами, скомпилированными из усиленной инструментальной цепочки с последними ночными версиями некоторых доступных инструментов.

дальнейшее чтение

  • Практическое руководство по компьютерной криминалистике, первое издание (в мягкой обложке) Дэвида Бентона (автора), Фрэнка Гриндстаффа (автора)
  • Реагирование на инциденты и компьютерная криминалистика, второе издание (в мягкой обложке) Криса Просиза (автор), Кевина Мандиа (автор), Мэтта Пепе (автор) «Правда страннее вымысла …» (подробнее)

Связанные журналы

  • IEEE Transactions по информационной криминалистике и безопасности
  • Журнал цифровой криминалистики, безопасности и права
  • Международный журнал цифровой преступности и криминалистики
  • Журнал цифровых исследований
  • Международный журнал цифровых доказательств
  • Международный журнал судебной компьютерной науки
  • Журнал цифровой судебной экспертизы
  • Криптология
  • Судебно-медицинский журнал малых цифровых устройств

Обзор [ править ]

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было выявлено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и компьютерной связанных с этим преступлений выросло, и подскочил на 67% в период с 2002 по 2003 год В настоящее время она используется для исследования широкого спектра преступлений, в том числе детской порнографии , мошенничество, шпионаж , киберпреследования, убийство и изнасилование. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное раскрытие ).

Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель данных (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение в формате JPEG). Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий. В книге « Компьютерная криминалистика» 2002 года авторы Круз и Хайзер определяют компьютерную криминалистику как «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». Далее они описывают дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания в предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и не обладают гибкостью, присущей гражданскому миру.

Следовать популярным тенденциям вопреки здравому смыслу

При проведении расследований хорошо зарекомендовали себя аналитические системы по поиску взаимосвязей. Их применение требует больших объёмов исходных данных и относительно небольших дата-центров для их хранения. Однако практически все производители форензик-продуктов зачем-то реализовали подобный функционал у себя. Причем изначально форензик-продукты не предназначены для обработки огромных массивов исходных данных, а на небольших объёмах исходных данных получить приемлемый результат крайне сложно. Кроме того, форензик-продукты часто сохраняют результаты исследований в проприетарных, несовместимых форматах, что усложняет обмен полученными данными и их использование в сторонних аналитических программах.

Поиск артефактов на HDD и периферии

  • FastIR Collector — мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее).
  • FRED — кросс-платформенный быстрый анализатор реестра для ОС Windows.
  • NTFS USN Journal parser — парсер журналов USN для томов NTFS.
  • RecuperaBit — утилита для восстановления данных NTFS.

Специализированные паки и фреймворки

  • Digital Forensics Framework — платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI.
  • The Sleuth Kit и Autopsy — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков.
  • Oxygen Forensic Detective — универсальный криминалистический инструмент для исследования данных мобильных устройств. Пак входящих в него утилит позволяет выполнять полное извлечение данных, проводить исчерпывающий анализ данных, хранящихся на телефонах и в облачных хранилищах. В наличии есть Forensic Cloud Extractor — встроенная служебная программа, собирающая данные из облачных служб хранения данных; средство Forensic Maps — программа, работающая с данными геоинформационных систем (GPS); Forensic Call Data Expert — программа для импорта записей данных о вызовах (так называемые CDR-файлы) любого поставщика услуг беспроводной связи и визуального анализа соединений абонентов.

Конечно, это далеко не все инструменты, которые могут пригодиться, а только известные и часто встречающиеся программы.

Ударим киберстрахованием по киберпреступности!

Вместо предисловия

Екатеринбург. Лихие 90-е. Иногда постреливают, но до киберпреступности еще, как до луны, разве что вирусы порой слегка пакостят, да техника пошаливает, да квалификация персонала оставляет желать большего.

В такой обстановке одна молодая, небольшая, но очень гордая уральская страховая компания «Белая Башня» решает, что ей пора замахнуться на крупные риски. Ну, какой же страховщик не мечтает застраховать завод, парк самолетов или запуск спутника? Но уставной фонд не позволяет, а перестраховщики вокруг такие же… И приглашает директор ни много, ни мало, представителей английского Ллойда  (Lloyd’s of London), и , как ни странно, они приезжают. Со своим переводчиком. И мы делаем вид, что без него ничего не понимаем.

Через пару дней подписываем договор о сотрудничестве. Под занавес англичане спрашивают, что у нас новенького, интересненького.

– Недавно мы разработали новый вид – страхование баз данных.

Немая сцена. Потом англичане между собой, не для перевода:

– Они сумасшедшие?

И мы, со смехом, на чистом английском:

– Мы достаточно безумны, чтобы быть первыми.

После этого пошел заинтересованный разговор: как? от чего? как подсчитать убыток… Напоследок подарили им правила страхования.

Прошло четверть века, сейчас это называется киберстрахованием, которое охватывает только в США 36% всех юридических лиц. А из всех киберпреступлений самым распространенным является фишинг – кража персональных и идентификационных данных (пинкодов, логинов и паролей).

Фреймворки

Volatility Framework

  • дата и время;
  • список запущенных процессов;
  • список открытых сетевых сокетов;
  • список открытых сетевых соединений;
  • список загруженных библиотек для каждого процесса;
  • имена открытых файлов для каждого процесса;
  • адреса памяти;
  • модули ядра ОС;
  • маппинг физических смещений на виртуальные адреса.
  • 32-bit Windows XP Service Pack 2 and 3
  • 32-bit Windows 2003 Server Service Pack 0, 1, 2
  • 32-bit Windows Vista Service Pack 0, 1, 2
  • 32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
  • 32-bit Windows 7 Service Pack 0, 1
  • 32-bit Windows 8, 8.1, and 8.1 Update 1
  • 32-bit Windows 10 (initial support)
  • 64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows Vista Service Pack 0, 1, 2
  • 64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
  • 64-bit Windows 2008 R2 Server Service Pack 0 and 1
  • 64-bit Windows 7 Service Pack 0 and 1
  • 64-bit Windows 8, 8.1, and 8.1 Update 1
  • 64-bit Windows Server 2012 and 2012 R2
  • 64-bit Windows 10 (including at least 10.0.14393)
  • 64-bit Windows Server 2016 (including at least 10.0.14393.0)
  • 32-bit Linux kernels 2.6.11 to 4.2.3
  • 64-bit Linux kernels 2.6.11 to 4.2.3
  • 32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn’t supported)
  • 32-bit 10.6.x Snow Leopard
  • 64-bit 10.6.x Snow Leopard
  • 32-bit 10.7.x Lion
  • 64-bit 10.7.x Lion
  • 64-bit 10.8.x Mountain Lion (there is no 32-bit version)
  • 64-bit 10.9.x Mavericks (there is no 32-bit version)
  • 64-bit 10.10.x Yosemite (there is no 32-bit version)
  • 64-bit 10.11.x El Capitan (there is no 32-bit version)
  • 64-bit 10.12.x Sierra (there is no 32-bit version)

образами RAMDFFPowerForensicsSleuth Kit (TSK)MIG: Mozilla InvestiGatorbulk_extractorPhotoRec

Переносная полицейская лаборатория

Полицейская лаборатория может выглядеть как-то так

По словам судебного доктора Питера Мэсси, «цель судебно-медицинской экспертизы состоит в вывозе лаборатории на место преступления». Портативные судебно-медицинские лаборатории уберут необходимость отправлять образцы и данные на удаленные объекты. Результаты исследований будут мгновенными.

Ряд новых методов поможет облегчить эту новую волну полевой криминалистики. Например, рамановская спектроскопия позволяет исследователям в полевых условиях определять, является ли подозрительный порошок взрывчатым, и не использовать вещества для уничтожения таких важных вещей вместе с потенциальными уликами. В течение многих лет судебно-медицинским лабораториям приходилось использовать большое тяжелое оборудование для идентификации наркотиков с использованием различных газов, жидкостей и твердых веществ, но теперь инфракрасная спектроскопия Фурье-преобразования (FTIR) может выполнить ту же задачу за меньшее время без необходимости применять подобные материалы.

«Ручные электронные нюхачи» могут заменить собак, обученных находить наркотики, а «ручные детекторы» могут заменить алкотестеры. Сканеры ближнего инфракрасного света визуализируют вены человека, выявляя потенциального нарушителя. Переносные судебно-медицинские лаборатории можно также оснастить устройствами, способными обмениваться данными с правительственными базами данными для прямого сравнения и сопоставления информации.

В некоторых странах эти технологии уже используются. Но в будущем их будут использовать все больше и больше. Место преступления становится настоящей лабораторией.

Микробиологическая идентификация человека

Новый ДНК-тест позволяет проверить подозреваемого

На нашей коже обитает множество микроскопических организмов. В будущем эти сообщества микроорганизмов, известных как микробиомы, будут помогать в поимке преступников. Помимо того что микробиомы превосходят в числе наши клетки двадцатикратно, не бывает двух человек с одинаковыми микробиомами, и эти сообщества остаются стабильными в течение длительного времени, разве что кроме полового акта.

Хотя лобковые волосы, восстановленные от подозреваемых в сексуальных нападениях, могут не содержать корней, в которых находится собственная ДНК подозреваемого, микробиомы в волосах могут помочь осудить его. Микробная ДНК отличается у мужчин и женщин, поскольку разные микробные сообщества живут на лобковых волосах мужчин и женщин. И поскольку эти сообщества уникальны для каждого индивида, они определяют причастность к преступлению. После секса микробиомы как мужчин, так и женщин передаются от одной стороны к другой, делая обычно стабильные сообщества микроорганизмов более похожими друг на друга. Это указывает на то, что между мужчиной и женщиной состоялся половой акт.

Хотя эта передовая технология пока не готова к использованию в зале суда, потому что сперва необходимо довести ее до «низких ложноположительных и ложноотрицательных показателей», ученые прогнозируют, что ее использование в осуждении лиц, совершивших сексуальное насилие, скоро станет обычным делом. И предоставит следователям и прокурорам эффективный новый инструмент борьбы с сексуальным насилием.

Модели анализа цифровых данных

Существует несколько моделей, описывающих процесс анализа цифровых данных для судебных целей. Было предложено порядка 12 разных моделей, но в настоящее время одной из наиболее общепринятых является так называемая улучшенная модель цифрового процесса, предложенная Брайаном Керером и Юджином Паффаром в 2003 г.

Компьютер, цифровые устройства, мобильные телефоны, iPad, iPod и так далее рассматриваются как отдельное место преступления. После того, как вы извлекли и сохранили данные, хранящиеся на этих устройствах, вы точно так же проводите изначальный анализ того, что же находится на жестком диске или в мобильном телефоне, документируете и после этого определяете зоны дальнейшего осмотра, которые уже углубленно изучаются.

Судебно-медицинский процесс

Портативный блокировщик записи Tableau, подключенный к жесткому диску

Цифровое судебно-медицинское расследование обычно состоит из 3 этапов: получение или доказательств, анализ и составление отчетов. В идеале получение включает в себя захват образа энергозависимой памяти (RAM) компьютера и создание точной копии на уровне сектора (или «судебной копии») носителя, часто с использованием устройства блокировки записи для предотвращения модификации оригинала. Однако рост размера носителей данных и такие разработки, как облачные вычисления, привели к более широкому использованию «живых» захватов, посредством которых получается «логическая» копия данных, а не полный образ физического запоминающего устройства. И полученное изображение (или логическая копия), и исходный носитель / данные (с использованием такого алгоритма, как SHA-1 или MD5 ), и значения сравниваются для проверки точности копии.

Альтернативный (и запатентованный) подход (получивший название «гибридная судебная экспертиза» или «распределенная судебная экспертиза») сочетает в себе процессы цифровой криминалистики и электронного обнаружения. Этот подход был воплощен в коммерческом инструменте под названием ISEEK, который был представлен вместе с результатами тестирования на конференции в 2017 году.

На этапе анализа следователь собирает вещественные доказательства, используя ряд различных методологий и инструментов. В 2002 году в статье в Международном журнале цифровых доказательств этот шаг был назван «углубленным систематическим поиском улик, связанных с предполагаемым преступлением». В 2006 году судебно-медицинский исследователь Брайан Кэрриер описал «интуитивно понятную процедуру», в которой сначала выявляются очевидные доказательства, а затем «проводятся исчерпывающие поиски, чтобы начать заполнение дыр».

Фактический процесс анализа может варьироваться в зависимости от исследования, но общие методологии включают поиск по ключевым словам на цифровых носителях (в файлах, а также в нераспределенном и ), восстановление удаленных файлов и извлечение информации из реестра (например, для составления списка учетных записей пользователей или подключенные USB-устройства).

Собранные свидетельства анализируются для реконструкции событий или действий и для вывода выводов — работы, которая часто может выполняться менее специализированным персоналом. Когда расследование завершено, данные представляются, обычно в форме письменного отчета, в условиях непрофессионала .

Статья Keychain в iOS — что внутри?

class=»message-cell porta-article-date with—text»>

Окт 06

Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).
Советую к прочтению теории «Extracting and Decrypting iOS Keychain»
Рассмотрим что же мы можем получить из связки ключей Keychain
Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате «*.xml»
Загрузив полученный образ и связку ключей я увидел всего ничего вот этим…