В предыдущей статье мы познакомили тебя с форензикой — наукой о расследовании киберинцидентов. В этой — научимся применять конкретные утилиты и техники для обнаружения, сбора и анализа артефактов, оставшихся после взлома жертвы. Своими руками мы проведем поиск удаленных файлов и их восстановление, анализ неразмеченной области памяти файла, дамп любых процессов в Windows для обнаружения малвари или эксплоита, а также анализ истории URL и извлечение cookie из браузера.
 

Наш лабораторный стенд

Нашим основным форензик-дистрибутивом, содержащим пак со всеми необходимыми утилитами, будет легендарный BackTrack. В качестве анализируемой машины мы используем образ с установленной Windows XP. BackTrack рекомендуется запускать как хостовую ОС, а для XP вполне можно довольствоваться бесплатными Oracle VirtualBox или VMware Player.

WARNING

Всегда ясно и четко осознавай, что именно, как и зачем ты делаешь. Звучит банально, но неправильное использование описанных в тексте статьи программ может привести к потере или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.

 

Кейс 1. Поиск и восстановление удаленного файла JPEG с помощью Autopsy

Суть данного кейса в том, чтобы найти артефакты удаленного файла (JPEG-картинка) на жестком диске целевой машины и восстановить его в другую директорию для дальнейшего изучения.

Основным инструментом для нас в этой задачке будет Autopsy — это цифровая платформа для проведения форензик-процедур и одновременно графический интерфейс для CLI-версии известного кита The Sleuth Kit. В частности, программа позволяет анализировать дисковые устройства, находить и восстанавливать файлы, извлекать EXIF из картинок, находить и просматривать отдельные видеофрагменты. Более подробная информация об инструменте доступна здесь, а также еще здесь и в одной из наших прошлых статей.

Итак, начнем.

Первым делом запускаем BackTrack с GUI-интерфейсом. Открываем браузер и по указанной ссылке скачиваем архив JPEG Search Test #1, дополнительную информацию по файлу можно почитать тут. После жмем Ctrl + T и в появившемся окне терминала выполняем следующие команды.

Создаем директории:

# mkdir -p /var/forensics/images
# ls -ld /var/forensics/images

Распакуем наш архив:

# cd /var/forensics/images
# ls -lrta
# unzip 8-jpeg-search.zip
# cd 8-jpeg-search
# ls -lrta
Распаковка скачанного архива JPEG Search Test #1
Распаковка скачанного архива JPEG Search Test #1

И продолжаем набирать команды в терминале:

 # cd /var/forensics/images/8-jpeg-search
 # ls -l
 # md5sum 8-jpeg-search.dd

Теперь нужно посчитать хеш-сумму файла в md5sum.

Хеш-сумма MD5 распакованного файла
Хеш-сумма MD5 распакованного файла

После этого запускаем в GUI-оболочке нашу тулзу: Applications → BackTrack → Forensics → Forensic Suites → setup Autopsy. После появления окна на вопрос Have you purchased or downloaded a copy of the NSRL (y/n) жмем n. Затем переходим в /pentest/forensics/autopsy и запускаем скрипт ./autopsy. Скрипт стартует локальный web-сервер с интерфейсом для работы с Autopsy.

Запуск скрипта ./autopsy из терминала
Запуск скрипта ./autopsy из терминала

Как написано в тексте, мы открываем в браузере адрес http://localhost:9999/autopsy. После этого перед нами во всей красе предстает HTML-оболочка нашего инструмента. Все, что нам нужно, — это создать «новый кейс», ввести имя хоста, название кейса, другую дополнительную информацию и сохранить получившийся шаблон.

Создаем кейс JPEG-8-Inquiry
Создаем кейс JPEG-8-Inquiry

Переходим в терминал и выполняем команды

# cd /var/forensics/images/8-jpeg-search
# ls -l
# ls $PWD/8-jpeg-search.dd

Копируем строчку

/var/forensics/images/8-jpeg-search/8-jpeg-search.dd
Копируем указанную строчку в окне терминала
Копируем указанную строчку в окне терминала

Далее возвращаемся в браузер и жмем «Добавить локацию/картинку».

Скопированную ссылку вставляем в указанную форму
Скопированную ссылку вставляем в указанную форму

После этого традиционно смело нажимаем кнопку Next и на новой странице мастера щелкаем вариант Partition.

В окне мастера выбираем опцию Partition
В окне мастера выбираем опцию Partition

На следующем шаге нам нужно сделать три действия, а именно щелкнуть Ignore the hash value for this image, указать в качестве литеры диска С и тип файловой системы NTFS.

Заполняем поля указанными данными
Заполняем поля указанными данными

В конце пошагового мастера нажимаем единственную кнопку Calculate.

Закрытие мастера по кнопке Calculate
Закрытие мастера по кнопке Calculate

Наш следующий шаг связан с анализом файла, определением его структуры и содержания. Процесс запускается по кнопке Analysis.

Запуск анализа файла кнопкой Analysis
Запуск анализа файла кнопкой Analysis

После нескольких секунд ожидания перед нами появится небольшой отчет о проанализированном файле — File information и Metadata information.

Сводка по File information и Metadata information
Сводка по File information и Metadata information

В качестве результата мы увидим окно со списком удаленных файлов и кое-какой дополнительной информацией.

Итоговое окно: удаленные файлы обнаружены
Итоговое окно: удаленные файлы обнаружены

Поздравляю, первый кейс решен!

Ты уже восстанавливал удаленные картинки?

Загрузка ... Загрузка ...
 

Кейс 2. Поиск скрытых данных в незаполненной области файла с bmap

Разумеется, все наши читатели слышали о стеганографии — способе скрыть передачу данных, добавив их в легитимный файл либо записав эту информацию в память, занимаемую легитимным файлом (с текстом, музыкой или картинкой), без нарушения работоспособности последнего.

INFO

Стеганография — очень надежный способ передачи секретной информации. А если исходную информацию еще и зашифровать, то восстановить ее будет очень затруднительно.

Для выполнения второго кейса нам понадобится утилита bmap-tools, здесь можешь почитать по ней дополнительную информацию. В моем дистрибутиве предустановленной версии bmap не оказалось, поэтому придется поставить ее ручками. Как и в прошлый раз, первым делом открываем терминал в BackTrack и пишем следующие команды:

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


6 комментариев

  1. inkognito.o

    28.04.2018 at 02:00

    маловато на тему Восстанавливаем историю посещения URL-адресов в браузере и вообще, IE прошлый век!
    Понимаю Edge, а это!
    Слабо!

  2. Иван Пискунов

    Иван Пискунов

    28.04.2018 at 10:04

    Замечания справедливы, спасибо за конструктивную критику. Материал безусловно не претендует на «топ» или уникальный эксклюзив. В этом выпуске рассмотрены самые простые кейсы с целью показать концерт «на пальцах». Далее в новом выпуске все кейсы подразумеваются только на Win10 и с использованием «реальных сценариев».

  3. Digital Forensic Examiner

    29.04.2018 at 10:28

    Автору, чувак, ты нихрена не понимаешь в форензике. Просто смирись с этим фактом.

    По теме статьи. Можно взять обычную R-Studio которая накарвит в 1,5-2 раза больше файлов чем все эти хваленые форенсик утилиты. Сделай тест. Сам увидишь.

    • baragoz

      03.05.2018 at 09:32

      https://xakep.ru/2017/12/16/the-chosen-one/

      Восемнадцать лет мы делаем лучшее во всем русскоязычном пространстве издание по IT и информационной безопасности. Те, кто начал читать наш журнал в старшей школе, за эти годы успели обрасти женой, бородой и рублевой ипотекой :). Традиционно раз в год мы посвящаем эту статью нашим дорогим читателям — а именно тем из них, которые не прочь бы стать нашими авторами!

      Как понять, что я вам нужен?
      Ты прочел «Хакер» и удивился, что тема N почему-то в нем не раскрыта. Мы об этом не написали, а должны были! И ты как раз можешь это сделать. Вот темы, на которые мы пишем. Пробегись, наверняка найдешь что-то по душе.

      Мсти у станка :))

  4. 0Nly Sterile Aleecce

    01.05.2018 at 13:48

    Не стоит наезжать на автора познавательной статьи;
    автор, Иван, человек нормальный и спасибо ему за
    интересные статьи. Материал у него в достаточной
    степени обучающий и побуждает читателя самостоятельно
    продолжить изучение вопроса. Так и должно быть. Если
    всё время публиковать в открытом доступе
    мега-актуальную информацию (готовую к бою), то такая
    информация «состарится» и потеряет цену намного
    быстрее, чем хотелось бы. Моё мнение, как анонимуса.
    Если у читателя есть методики более эффективные
    и он хочет ими поделиться — то лучше это сделать в
    культурной форме в виде комментария. Понятное дело,
    что какой бы ни был автор, всегда есть вероятность
    присутствия более осведомлённого читателя;
    это нормально.
    Вот у меня, например, свои методы и технологии решения
    определённых задач, которые нередко отличаются от тех,
    которые в статьях этого ресурса или вообще совсем
    другие, но это мне не мешает приятно проводить время
    на этом сайте. Есть вещи, которые для реальных
    мероприятий, и знание которых может помочь не сесть.
    Извиняюсь за много букв, просто редко разговариваю и
    общаюсь с умными людьми. Девяносто девять процентов
    времени не авторизован и в холиварах не участвую.

Оставить мнение

Check Also

FPGA. Создаем хардверный счетчик в Xilinx Vivado, чтобы освоить инструменты разработки ПЛИС

Если ты хочешь превратить код в микросхему, используя FPGA, то эта статья поможет тебе осв…