Embed Size (px)
Citation preview
Digital forensics with open source tools
Vitaly Balashov head of digital forensics lab OSDN, 2016 Kyiv, Ukraine
Коротко о главном
ВСЁ. ОЧЕНЬ. ПЛОХО.
Что такое Digital Forensics?
Цифровая криминалистика – это сбор, научное исследование и анализ полученных данных с любого цифрового устройства (компьютер, телефон, сменные носители т.д.) таким образом, чтобы информация могла быть представлена в суде.
Основные Open Source инструменты
The Sleuth Kit.
Плюсы:
Консольный интерфейс.
Большая гибкость. Большие возможности.
Минусы:
Консольный интерфейс.
Основные Open Source инструменты
AutoPsy
Плюсы: Основан на The Sleuth Kit. Легко добавляються модули на Pythton. Имеется сообщество. Минусы: Написан на Java.
Главные представители отрасли
Основные Open Source инструменты
CAINE Live DVD
Плюсы: Содержит огромное количество утилит, необходимых при исследовании. Минусы: Нет единого комплексного решения. Весь функцинал представлен множеством свободных утилит, зачастую не связанных между собой.
Основные Open Source инструменты
Основные Open Source инструменты
Основные Open Source инструменты
KALI LINUX
Плюсы: Содержит много различных утилит из коробки. Добавляет +1 к навыку крутости +5 к загадочности. «Заточен» для pentest`а. Минусы: Просто сбор многих утилит в одном дистрибутиве, ничего более.
Основные Open Source инструменты
Главные представители отрасли
Kali Linux Forensic Tools
afflib-tools
apktool[amd64,i386]
autopsy
bulk-extractor
cabextract
capstone
chkrootkit
creddump
cuckoo
dc3dd
dcfldd
ddrescue
dff
dissy
distorm3
dumpzilla
edb-debugger
ewf-tools
exiv2
extundelete
fcrackzip
firmware-mod-kit
flasm
foremost
galleta
gdb
gparted
guymager[amd64,i386]
inetsim
iphone-backup-analyzer
jad
javasnoop
libewf1
libhivex-bin
lvm2
lynis
magicrescue
md5deep
mdbtools
memdump
missidentify
nasm
ollydbg[amd64,i386]
p7zip-full
parted
pasco
pdfid
pdf-parser
pdgmail
peepdf
pev
polenum
radare2
rdd
readpst
recoverjpeg
recstudio[i386]
reglookup
regripper[amd64,i386]
rifiuti
rifiuti2
safecopy
samdump2
scalpel
scrounge-ntfs
sleuthkit
smali
sqlitebrowser
tcpdump
tcpflow
tcpick
tcpreplay
truecrack
truecrypt
unrar
upx-ucl
vinetto
volafox
volatility
wce
wireshark
xplico
Главные представители отрасли
UALinux: Ubuntu CyberPack
Плюсы: собран отечественным производителем под нужды отечественных же практиков, что вылилось в наличие только действительно необходимых утилит. Минусы: Live only Снова сборка разрозненных утилит.
Volatility framework
Мощь. Жесть. Жир. True. Open Source. Free.
Создавался долго, из маленьких скриптов от разных практиков отрасли цифровой криминалистики. Каждый модуль изначально
сделан кем-то для себя.
Впервые в виде готового фреймворка представлен в 2007 году на конференции Black Hat.
Один из мощнейших инструментов современности для
анализа памяти.
Volatility framework
Volatility framework
Volatility framework
- Image identification - Process Information - Process Listing - PE file extraction - Logs / Histories - Network Information - Kernel Memory - Injected code - Registry - Dump conversion - Api Hooks - Yara Scanning
- Strings - Password recovery - Disk encrypton - Malware Specific - Filesystem resources - GUI Memory - Volshell - Command history - TrueCrypt passphrase recovery
