В предыдущей статье мы познакомили тебя с форензикой — наукой о расследовании киберинцидентов. В этой — научимся применять конкретные утилиты и техники для обнаружения, сбора и анализа артефактов, оставшихся после взлома жертвы. Своими руками мы проведем поиск удаленных файлов и их восстановление, анализ неразмеченной области памяти файла, дамп любых процессов в Windows для обнаружения малвари или эксплоита, а также анализ истории URL и извлечение cookie из браузера.
 

Наш лабораторный стенд

Нашим основным форензик-дистрибутивом, содержащим пак со всеми необходимыми утилитами, будет легендарный BackTrack. В качестве анализируемой машины мы используем образ с установленной Windows XP. BackTrack рекомендуется запускать как хостовую ОС, а для XP вполне можно довольствоваться бесплатными Oracle VirtualBox или VMware Player.

WARNING

Всегда ясно и четко осознавай, что именно, как и зачем ты делаешь. Звучит банально, но неправильное использование описанных в тексте статьи программ может привести к потере или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.

 

Кейс 1. Поиск и восстановление удаленного файла JPEG с помощью Autopsy

Суть данного кейса в том, чтобы найти артефакты удаленного файла (JPEG-картинка) на жестком диске целевой машины и восстановить его в другую директорию для дальнейшего изучения.

Основным инструментом для нас в этой задачке будет Autopsy — это цифровая платформа для проведения форензик-процедур и одновременно графический интерфейс для CLI-версии известного кита The Sleuth Kit. В частности, программа позволяет анализировать дисковые устройства, находить и восстанавливать файлы, извлекать EXIF из картинок, находить и просматривать отдельные видеофрагменты. Более подробная информация об инструменте доступна здесь, а также еще здесь и в одной из наших прошлых статей.

Итак, начнем.

Первым делом запускаем BackTrack с GUI-интерфейсом. Открываем браузер и по указанной ссылке скачиваем архив JPEG Search Test #1, дополнительную информацию по файлу можно почитать тут. После жмем Ctrl + T и в появившемся окне терминала выполняем следующие команды.

Создаем директории:

# mkdir -p /var/forensics/images
# ls -ld /var/forensics/images

Распакуем наш архив:

# cd /var/forensics/images
# ls -lrta
# unzip 8-jpeg-search.zip
# cd 8-jpeg-search
# ls -lrta
Распаковка скачанного архива JPEG Search Test #1
Распаковка скачанного архива JPEG Search Test #1

И продолжаем набирать команды в терминале:

 # cd /var/forensics/images/8-jpeg-search
 # ls -l
 # md5sum 8-jpeg-search.dd

Теперь нужно посчитать хеш-сумму файла в md5sum.

Хеш-сумма MD5 распакованного файла
Хеш-сумма MD5 распакованного файла

После этого запускаем в GUI-оболочке нашу тулзу: Applications → BackTrack → Forensics → Forensic Suites → setup Autopsy. После появления окна на вопрос Have you purchased or downloaded a copy of the NSRL (y/n) жмем n. Затем переходим в /pentest/forensics/autopsy и запускаем скрипт ./autopsy. Скрипт стартует локальный web-сервер с интерфейсом для работы с Autopsy.

Запуск скрипта ./autopsy из терминала
Запуск скрипта ./autopsy из терминала

Как написано в тексте, мы открываем в браузере адрес http://localhost:9999/autopsy. После этого перед нами во всей красе предстает HTML-оболочка нашего инструмента. Все, что нам нужно, — это создать «новый кейс», ввести имя хоста, название кейса, другую дополнительную информацию и сохранить получившийся шаблон.

Создаем кейс JPEG-8-Inquiry
Создаем кейс JPEG-8-Inquiry

Переходим в терминал и выполняем команды

# cd /var/forensics/images/8-jpeg-search
# ls -l
# ls $PWD/8-jpeg-search.dd

Копируем строчку

/var/forensics/images/8-jpeg-search/8-jpeg-search.dd
Копируем указанную строчку в окне терминала
Копируем указанную строчку в окне терминала

Далее возвращаемся в браузер и жмем «Добавить локацию/картинку».

Скопированную ссылку вставляем в указанную форму
Скопированную ссылку вставляем в указанную форму

После этого традиционно смело нажимаем кнопку Next и на новой странице мастера щелкаем вариант Partition.

В окне мастера выбираем опцию Partition
В окне мастера выбираем опцию Partition

На следующем шаге нам нужно сделать три действия, а именно щелкнуть Ignore the hash value for this image, указать в качестве литеры диска С и тип файловой системы NTFS.

Заполняем поля указанными данными
Заполняем поля указанными данными

В конце пошагового мастера нажимаем единственную кнопку Calculate.

Закрытие мастера по кнопке Calculate
Закрытие мастера по кнопке Calculate

Наш следующий шаг связан с анализом файла, определением его структуры и содержания. Процесс запускается по кнопке Analysis.

Запуск анализа файла кнопкой Analysis
Запуск анализа файла кнопкой Analysis

После нескольких секунд ожидания перед нами появится небольшой отчет о проанализированном файле — File information и Metadata information.

Сводка по File information и Metadata information
Сводка по File information и Metadata information

В качестве результата мы увидим окно со списком удаленных файлов и кое-какой дополнительной информацией.

Итоговое окно: удаленные файлы обнаружены
Итоговое окно: удаленные файлы обнаружены

Поздравляю, первый кейс решен!

Ты уже восстанавливал удаленные картинки?

Загрузка ... Загрузка ...
 

Кейс 2. Поиск скрытых данных в незаполненной области файла с bmap

Разумеется, все наши читатели слышали о стеганографии — способе скрыть передачу данных, добавив их в легитимный файл либо записав эту информацию в память, занимаемую легитимным файлом (с текстом, музыкой или картинкой), без нарушения работоспособности последнего.

INFO

Стеганография — очень надежный способ передачи секретной информации. А если исходную информацию еще и зашифровать, то восстановить ее будет очень затруднительно.

Для выполнения второго кейса нам понадобится утилита bmap-tools, здесь можешь почитать по ней дополнительную информацию. В моем дистрибутиве предустановленной версии bmap не оказалось, поэтому придется поставить ее ручками. Как и в прошлый раз, первым делом открываем терминал в BackTrack и пишем следующие команды:

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

6 комментариев

  1. inkognito.o

    28.04.2018 at 02:00

    маловато на тему Восстанавливаем историю посещения URL-адресов в браузере и вообще, IE прошлый век!
    Понимаю Edge, а это!
    Слабо!

  2. Иван Пискунов

    Иван Пискунов

    28.04.2018 at 10:04

    Замечания справедливы, спасибо за конструктивную критику. Материал безусловно не претендует на «топ» или уникальный эксклюзив. В этом выпуске рассмотрены самые простые кейсы с целью показать концерт «на пальцах». Далее в новом выпуске все кейсы подразумеваются только на Win10 и с использованием «реальных сценариев».

  3. Digital Forensic Examiner

    29.04.2018 at 10:28

    Автору, чувак, ты нихрена не понимаешь в форензике. Просто смирись с этим фактом.

    По теме статьи. Можно взять обычную R-Studio которая накарвит в 1,5-2 раза больше файлов чем все эти хваленые форенсик утилиты. Сделай тест. Сам увидишь.

    • baragoz

      03.05.2018 at 09:32

      https://xakep.ru/2017/12/16/the-chosen-one/

      Восемнадцать лет мы делаем лучшее во всем русскоязычном пространстве издание по IT и информационной безопасности. Те, кто начал читать наш журнал в старшей школе, за эти годы успели обрасти женой, бородой и рублевой ипотекой :). Традиционно раз в год мы посвящаем эту статью нашим дорогим читателям — а именно тем из них, которые не прочь бы стать нашими авторами!

      Как понять, что я вам нужен?
      Ты прочел «Хакер» и удивился, что тема N почему-то в нем не раскрыта. Мы об этом не написали, а должны были! И ты как раз можешь это сделать. Вот темы, на которые мы пишем. Пробегись, наверняка найдешь что-то по душе.

      Мсти у станка :))

  4. 0Nly Sterile Aleecce

    01.05.2018 at 13:48

    Не стоит наезжать на автора познавательной статьи;
    автор, Иван, человек нормальный и спасибо ему за
    интересные статьи. Материал у него в достаточной
    степени обучающий и побуждает читателя самостоятельно
    продолжить изучение вопроса. Так и должно быть. Если
    всё время публиковать в открытом доступе
    мега-актуальную информацию (готовую к бою), то такая
    информация «состарится» и потеряет цену намного
    быстрее, чем хотелось бы. Моё мнение, как анонимуса.
    Если у читателя есть методики более эффективные
    и он хочет ими поделиться — то лучше это сделать в
    культурной форме в виде комментария. Понятное дело,
    что какой бы ни был автор, всегда есть вероятность
    присутствия более осведомлённого читателя;
    это нормально.
    Вот у меня, например, свои методы и технологии решения
    определённых задач, которые нередко отличаются от тех,
    которые в статьях этого ресурса или вообще совсем
    другие, но это мне не мешает приятно проводить время
    на этом сайте. Есть вещи, которые для реальных
    мероприятий, и знание которых может помочь не сесть.
    Извиняюсь за много букв, просто редко разговариваю и
    общаюсь с умными людьми. Девяносто девять процентов
    времени не авторизован и в холиварах не участвую.

Оставить мнение

Check Also

WWW: Carbon — сервис для создания идеальных скриншотов кода

В теории сделать скриншот кода, чтобы кому-то показать, — задача несложная. В реальности р…