учебники, программирование, основы, введение в,

 

Судебные средства

Все средства и методы, ранее описанные в этой книге, при правильной реализации и бдительной поддержке сделают вашу сеть весьма безопасной. Но даже если все сделать верно, нельзя гарантировать абсолютную безопасность сети. Если атакующий достаточно настойчив или удачлив, он иногда сможет проникнуть внутрь. Внешние злоумышленники способны эксплуатировать еще не опубликованные уязвимости или поймать вас в окне между объявлением уязвимости и наложением корректирующей заплаты. Коварный сотрудник может применить для проникновения физические средства, такие как физический доступ к серверу или кража пароля. Могут использоваться и средства морально-психологического воздействия, чтобы с помощью излишне предупредительного сотрудника обойти все ваши меры безопасности и получить несанкционированный доступ. Что же делать, если, несмотря на все ваши приготовления, сеть или система оказались скомпрометированы?
При условии, что вас не выгнали с работы, это еще не конец света. Взломам подвергаются даже информационные системы самых крупных в мире компаний с огромным персоналом компьютерной безопасности, поэтому в этом нет ничего постыдного. Однако, теперь ваша задача - решить головоломку, определить, как все произошло, заделать дыры в безопасности и, если необходимо, выследить злоумышленников и принять дополнительные меры. В этом может помочь ряд средств с открытыми исходными текстами. Они называются судебными средствами, так как вы пытаетесь определить, что произошло, на основе доступных вам свидетельств.
 Применение компьютерных судебных средств
После атаки на систему вы захотите определить, как все происходило, чтобы предотвратить подобное в будущем. Если хакеры смогли обойти существующие электронные средства защиты, то, очевидно, где-то в броне имеется дыра. Сразу может быть неочевидно, где она находится, особенно, если злоумышленники хорошо замели следы. Судебные средства помогают обнаружить эти цифровые следы и найти дыры, чтобы их можно было залатать.
Очистка и восстановление
Если атакующие нанесли повреждения, следует точно определить, что они сделали, узнать, насколько обширны повреждения, и произвести необходимые восстановительные работы. Естественно, не в ваших интересах оставлять в сети взломанные хакерами серверы или созданные ими счета для тайного входа. Судебные средства помогают все это определить и, если атакующий удалил файлы, восстановить некоторые из них.
Уголовное расследование
Если ущерб, нанесенный атакующим, достаточно серьезен, может возникнуть желание начать его уголовное преследование. Простое искажение Web-страницы или вторжение обычно не стоят преследования из-за высоких издержек. Однако, если существенно пострадала ваша инфраструктура или корпоративная репутация, возможно, имеет смысл выдвинуть уголовное обвинение против атакующего. Ваша страховая компания может потребовать, чтобы вы представили полицейский отчет, чтобы вчинить иск. Судебные средства помогут идентифицировать атакующих, так что вы сможете представить отчет и доказательства для их судебного преследования.
Есть несколько вопросов, которые необходимо рассмотреть, прежде чем ступить на этот путь. При незначительном ущербе вы можете подать заявление в местное отделение полиции. Помните, что на местном уровне у них зачастую нет ресурсов для надлежащего расследования компьютерных преступлений, и вам, возможно, придется проводить большую часть расследования самостоятельно. Для этого можно применять средства из данной лекции. Только будьте осторожны, чтобы не испортить улики, иначе в суде они окажутся бесполезными (см. врезку о компьютерном расследовании).
Если ущерб велик или злоумышленные действия попадают в разряд федеральных преступлений (связанных, например, с межштатной или международной торговлей), можно передать дело в ФБР. Контактную информацию местного отделения ФБР можно найти в телефонном справочнике или в Web на сайте http://www.fbi.gov . Если нарушены федеральные законы или материальные потери превысили $25000, ФБР, скорее всего, займется вашим делом. В противном случае вас могут переадресовать в местные правоохранительные органы. Если вы сможете показать некую связь с терроризмом, межштатным мошенничеством (таким как кража номеров кредитных карт или маскарад), или некоторые другие элементы, которым ФБР уделяет особое внимание, вашим делом могут заняться и при меньшем ущербе. Большинство атак едва ли будет серьезно расследоваться; каждый день сообщается о слишком большом числе инцидентов, поэтому в ФБР реально уделяют внимание только по-настоящему серьезным случаям.
Если вы сумели добиться успеха и на злоумышленников заведено уголовное дело, то правильно проведенное расследование становится еще более важным. Применительно к компьютерным преступлениям очень трудно что-либо доказать. В суде весьма сложно обосновать связь между некими действиями, выполненными от имени пользователя с определенным идентификатором, и конкретным человеком. Обычно обвинители должны доказать, что человек действительно находился за клавиатурой и использовал этот системный счет, когда имела место атака. В противном случае найдется масса отговорок, таких как "Кто-то использовал мой пароль", "Меня взломали" и т.д. Повышенное внимание уделяется также режиму сохранения собранных свидетельств, то есть сведений о том, кто имел доступ к данным и мог их изменить или подменить. В подобных случаях обратитесь в правоохранительные органы, которые могут применить собственные средства сбора данных. Можно также воспользоваться услугами независимых организаций, способных оказать профессиональную помощь при взаимодействии с правоохранительными органами.


Флэми Тех советует:
Недостаток знаний опасен!
Если вы думаете о предъявлении уголовных обвинений, то не следует немедленно применять средства из этой книги. Кроме деятельности по блокированию и восстановлению, вы никоим образом не должны искажать свидетельства. Неумелый человек с помощью этих средств может стереть доказательства или сделать их бесполезными в суде. Представьте себе сыщика-новичка, бродящего на месте убийства. Никуда не годится! Пусть этим занимаются профессионалы из правоохранительных органов, а вы сможете им помочь, если понадобится, воспользовавшись инструментарием и знаниями из этой лекции.

Карьера в судебной информатике
Рост компьютерной преступности создал многообещающую область - судебную информатику с отличными перспективами карьерного роста для тех, кто ей интересуется. Потребность в компьютерно грамотных копах никогда не была столь острой. Если вас привлекает подобная деятельность, есть несколько направлений, по которым можно выдвинуться.
Местные правоохранительные органы
В полицейских управлениях крупных городов обычно имеются отделы компьютерных преступлений. Чтобы туда устроиться, может потребоваться диплом, где в большей или меньшей степени фигурирует юриспруденция или нечто аналогичное. Однако порой в полиции возникает столь острая нужда в технических специалистах, что они готовы смягчить требования к опыту работы в полиции в обмен на технические знания.
Федеральные правоохранительные органы
Наиболее перспективны должности в области судебной информатики в ФБР. Здесь вам придется работать с особо важными делами национального или международного уровня. Обычно ФБР продвигает сотрудников из собственных рядов, однако иногда делаются исключения для людей с определенным талантом или положением. Работая в ФБР, вы сможете реально влиять на компьютерную преступность.
Вооруженные силы
Если у вас склонность к военной службе, то во всех видах и родах вооруженных сил имеется персонал для борьбы с компьютерной преступностью. В этом ряду выделяется Отдел специальных расследований Военно-Воздушных Сил США. Хотя этот отдел ориентирован на преступления и инциденты в вооруженных силах, его часто привлекают и к гражданским делам, поскольку разные компьютерные преступления могут быть взаимосвязаны.
Министерство национальной безопасности
Имеется множество новых вакансий и отделов, созданных как часть Министерства национальной безопасности. Работа в правоохранительных органах или вооруженных силах зачастую оплачивается хуже, чем аналогичная деятельность в коммерческой организации, однако многие считают эти должности более престижными. Есть также крупные организации, имеющие собственный персонал для компьютерных расследований. Государственная служба может существенно повысить ваш статус, если вы захотите затем перейти к частной практике или попасть в отдел судебной информатики крупной организации.

Гражданский иск
Если вы решите, что уголовное преследование не оправдано, вы можете возбудить против хакера гражданское дело. Иногда это единственный способ заставить злоумышленника прекратить атаки. Если нападение исходит из другой организации, санкционированно, как в случае промышленного шпионажа, либо несанкционированно, как в случае неуправляемого сотрудника, обстоятельства могут вынудить вас подать гражданский иск и собрать достаточно доказательств. Хотя в случае гражданских дел требования к доказательствам не столь строги, вы все равно обязаны обосновать свои претензии. Средства из данной лекции помогут вам сделать это. Однако в случае серьезных проблем все равно лучше нанять специалиста по судебной информатике, чем пытаться сделать все самому.
Внутренние расследования
Если вы подозреваете, что источник вторжения - внутренний, его следует обязательно проследить, поскольку он крайне опасен для производственной деятельности. Внутренний хакер может нанести значительно больший ущерб, чем внешний, поскольку зачастую он знает персонал и системы, ему известна информация, раскрытие или компрометация которой может принести максимальный вред организации. Применяя судебные средства, вы можете его выследить и предоставить подтверждающие свидетельства, чтобы оправдать дисциплинарное воздействие. Ведь вы не хотите отвечать перед судом на заявление бывшего служащего о незаконном увольнении?
Жалобы поставщику Интернет-услуг
Если вы решили не возбуждать уголовного или гражданского дела, или если человек, напавший на вашу сеть, продолжает это делать, вы можете подать жалобу его поставщику Интернет-услуг и попробовать по крайней мере его отключить. Часто это единственное реальное средство, не требующее больших расходов от организации, подвергшейся атаке хакера. С помощью судебных средств из этой лекции можно проследить нарушителя по крайней мере до его поставщика Интернет-услуг, после чего вы можете подать последнему формальную жалобу с требованием принять дополнительные меры. Большинство поставщиков Интернет-услуг имеют политику надлежащего поведения для своих пользователей, которая, естественно, не санкционирует взлом чужих сетей. Если вы сможете продемонстрировать достаточно доказательств, скорее всего, будут предприняты некоторые действия, от предупреждения до ликвидации счета этого пользователя. В связи с необходимостью сохранения тайны персональных данных пользователей, они обычно раскрываются лишь по решению суда, но некоторые поставщики Интернет-услуг охотно идут на сотрудничество для обеспечения информационной безопасности. Большинство крупных поставщиков имеет специальный электронный адрес для сообщений о ненадлежащем поведении, по которому можно направить свою жалобу.
Вы должны убедиться, что собранной информации достаточно, для того чтобы они могли найти вашего противника. Имеются в виду прежде всего IP-адреса, связанные с определенными моментами времени. Большинство поставщиков Интернет-услуг выделяют IP-адреса динамически и они меняются всякий раз, когда кто-то входит в сеть. Без информации о времени, соответствующей их журналам, вам, вероятно, не смогут помочь. Если возможно, предоставьте несколько значений времени доступа, чтобы можно было скоррелировать пользователя по нескольким точкам данных, так как их файлы журналов могут быть не синхронизированы с вашими, и время не будет в точности совпадать. Включите также любые другие имеющиеся у вас данные, такие как протоколы выполнения команд, места, куда копировались файлы, и т.д. Поставщик Интернет-услуг также может быть жертвой и ему могут потребоваться эти данные для последующего расследования.

Выработка плана реагирования на инциденты
Подобно планам резервного копирования и восстановления после аварий (они ведь у вас имеются, не так ли?), у вас должен быть план реагирования на проявления компьютерной преступности. Это поможет вам действовать правильно, как до инцидента, так и после него, чтобы иметь надежный фундамент и не создавать себе лишних проблем. Это большая тема, которой посвящены специальные книги, но по сути вы должны задокументировать последовательность действий при возникновении инцидента, чтобы вы могли ее выполнить без лишних сомнений, когда что-то произойдет.
С ведома руководства создайте план, который описывает ваши действия, если происходят определенные события. Позаботьтесь о том, чтобы высшее руководство санкционировало некоторые действия, такие как привлечение правоохранительных органов, иначе ваша работа может оказаться под угрозой. В крупных организациях в реагировании, вероятно, примут участие юристы и отдел по связям с общественностью; тогда дело может быстро уйти из ваших рук, и это хорошо, если вы понимаете свою роль в этом процессе, и другие тоже ее понимают. План действий в общих чертах может выглядеть примерно так:

  1. Локализуйте проблему. Убедитесь, что ваш противник не сможет нанести дополнительный ущерб.
  2. Начните предварительные операции восстановления, не забывая должным образом сохранять все свидетельства.
  3. Оцените размер ущерба. Попробуйте быстро определить его денежный эквивалент. Руководство обычно реагирует быстрее, когда речь идет о деньгах.
  4. Сообщите о проблеме высшему руководству для принятия решения о передаче дела в правоохранительные органы или о проведении внутреннего расследования.
  5. Решите, проводить ли расследование собственными силами или привлечь сторонних профессионалов.
  6. Продолжите вашу деятельность, проводя внутреннее расследование или помогая официальным лицам из правоохранительных органов.

Предварительная подготовка для получения доброкачественных судебных данных
Как и в любом деле, должные предварительные действия до того, как случится беда, могут значительно облегчить вашу работу. Если протоколирование и аудит организованы плохо, то ваша судебная деятельность по меньшей мере существенно усложнится или вообще станет невозможной. Конечно, никому не нравится планировать несчастья, однако выполнение следующих рекомендаций впоследствии поможет найти необходимую информацию.
Степень подробности журналов
Если у вас достаточно дискового пространства и процессорного времени, включите протоколирование с самым высоким уровнем детализации, разумным для ваших серверов. Это предоставит значительно больше информации в случае, если необходимо извлечь что-то из журналов, и будет полезно также для устранения серверных проблем. Вы захотите, вероятно, отрегулировать настройки, чтобы найти разумный уровень детализации протоколов. В Windows степень детализации журналов задается с помощью Event Viewer в Administrative Tools. Щелкните мышью на свойствах каждого типа журналов (application, security, system), и вы сможете задать уровень детализации каждого объекта.
Используйте центральный сервер журналирования
Сохранение всех файлов журналов локально на каждом сервере плохо с нескольких точек зрения. Если атакующий сможет проникнуть в машину, то он получит доступ к файлам журналов и сможет изменить их или стереть полностью. Имеются утилиты, которые помогают взломщикам выборочно стирать файлы журналов с протоколами их деятельности. Если журналы находятся на другом сервере, то взломщик должен будет взломать по крайней мере еще одну машину, чтобы до них добраться. Популярная утилита сервера журналов syslog - хорошее средство, и большинство серверов, маршрутизаторов, межсетевых экранов и других устройств поддерживают этот формат. С точки зрения управления значительно легче иметь все журналы на одном сервере для регулярного просмотра, и, кроме того, вы будете знать, что все они синхронизированы по одним часам. Это подводит нас к следующему пункту.
Синхронизация времени серверов
Вы должны сделать так, чтобы все ваши серверы брали время с центрального сервера, а не полагались на внутренние часы. Часы ПК известны своей неточностью и склонны к дрейфу. Можно применять сетевой протокол времени (Network Time Protocol - NTP), чтобы брать время с центрального сервера, подписаться на атомные часы в Интернете или поддерживать собственный внутренний сервер времени, чтобы иметь точное время. В этом случае протокольное время будет одинаково для всех серверов, что позволяет правильно отслеживать последовательность событий. Нет ничего более разочаровывающего, чем попытка восстановить последовательность событий атаки по журналам с множеством несогласованных часов. Настоятельно рекомендуется использовать общедоступный сервер времени. Большинство из них бесплатны и используют атомные часы для повышения точности. В этом случае ваши журналы, скорее всего, будут соответствовать внешним файлам журналов, таким как протоколы поставщика Интернет-услуг. Время общедоступных часов можно брать на следующих Web-сайтах:

  • clock.isc.org
  • clock.via.net
  • clock.sgi.net
  • ttp.nasa.gov
  • tick.gpsclock.org

Где искать судебные данные
Имеются очевидные места для поиска информации после компьютерной атаки. Начинать надо с машины или машин, которые были атакованы. Протоколы и ключевые системные файлы часто содержат улики, такие как методы и идентификация нарушителя. Следует также справиться во всех задействованных системах обнаружения вторжений. Эти средства могут первыми просигнализировать об инциденте. Такие средства, как Tripwire, могут быть бесценны при выяснении того, что было сделано, и была ли скомпрометирована система.
Важная информация нередко располагается и в самых невероятных местах, таких как каталог пользователя в случае взлома системного счета или во временных каталогах, созданных вашим противником. Если возможно, поместите систему в карантин и прочешите частым гребнем. Описанные далее в этой лекции средства помогут выполнить этот процесс.
Не ограничивайтесь только подозрительными компьютерами. Часто есть смысл поискать в других местах, помимо атакованных машин, чтобы найти информацию о злоумышленниках. Хотя они могут стереть локальные журналы на скомпрометированных машинах, иногда можно найти их следы на соседних серверах или устройствах. Атака редко бывает успешной с первого раза. Обычно атакующий вынужден проверить несколько машин, чтобы найти уязвимую. Эта активность отражается в файлах журналов соседних машин, где вы можете найти свидетельства зондирующего сканирования. Признаки нетипичной активности можно обнаружить также на маршрутизаторах и межсетевых экранах. Проверьте журналы в окрестности времени вторжения (здесь-то как раз и важна синхронизированность журнальных файлов), в том числе журналы вашего общедоступного web-сервера. Когда хакеры находят уязвимый сервер, они часто заходят на web-сайт, ассоциированный с этим доменом, чтобы проверить, кого они взломали. Попробуйте выявить IP-адреса, фигурирующие в различных журналах.


Догматы надлежащего судебного анализа
Существуют различные приемы и методы выполнения судебного анализа информационных систем и множество программных средств, способных помочь в этой деятельности. Однако можно дать некоторые основополагающие рекомендации, которым желательно следовать всегда.
Оперируйте с системой, отсоединенной от сети
Если возможно, полностью отсоедините исследуемую систему от сети во время сбора данных. Если система соединена с сетью, при сборе данных вы можете иметь дело с движущейся целью. Файлы журналов могут заполняться, дисковые области - перезаписываться, а сервисы - отключаться. В худшем случае, если атакующие все еще имеют доступ к системе (а вы никогда не можете быть полностью уверены в обратном), они могут обнаружить вашу активность и замести следы, став неуловимыми.
Если система была отключена в результате атаки, вы можете оказаться под сильным давлением требующих вернуть ее в сеть как можно быстрее. Для производственных систем, продолжающих работать, также возможно сопротивление их отключению. Мера, конечно, непопулярная, но попробуйте отключить систему от сети, по крайней мере на время сбора данных. Подождите окончания рабочего дня, если необходимо, и объявите это периодом обслуживания системы. Сделайте копию подозрительных данных (если можно, скопируйте весь жесткий диск). Затем вы можете вернуть систему в эксплуатацию и свести к минимуму длительность ее отключения для пользователей на время выполнения вашей работы. Это подводит нас к следующему пункту.
Работайте с копиями свидетельств
Применяйте программное обеспечение создания образов данных, такое как средство dd, представленное далее в этой лекции, чтобы сделать копии свидетельств для работы с ними. Если вы планируете возбудить судебное дело, уголовное или гражданское, сделайте две копии и запечатайте одну из них в защищенный контейнер. Это обеспечит целостность свидетельств и сделает ваше дело менее уязвимым для обвинений в незаконных свидетельствах. Кроме того, если вы случайно сделаете ошибку и удалите некоторые важные свидетельства, вы всегда сможете вернуться к заведомо полноценной копии. Если можно, выполните эти начальные действия в присутствии свидетелей. Лучше всего, если это будет беспристрастная третья сторона. Отпечатайте сопроводительную записку с указанием имени создателя, даты и времени, а затем фиксируйте каждый момент передачи материалов в другие руки, с подписью и датой.
Применяйте хэши для обеспечения свидетельств целостности
При создании копий данных и получении других свидетельских файлов есть смысл создавать MD5 хэши данных и записывать их. Некоторые средства, такие как The Coroner's Toolkit (см. раздел о Sleuth Kit далее в этой лекции), делают это автоматически. Можно также применить одно из средств шифрования, рассмотренных в, такое как PGP или GnuPG. Помимо всего прочего, если аутентичность ваших данных будет оспариваться, вы сможете доказать, что копия, с которой вы работали, являлась электронной копией содержимого атакованной машины. Это поможет также выявить различия между файлами и увидеть, не были ли внесены какие-либо изменения утилитами системного уровня.
Применяйте доверенные загрузочные носители и исполнимые файлы
При проверке системы целесообразно применять для загрузки доверенные носители, такие как загрузочный флоппи-диск или компакт-диск. Их можно создать в процессе установки ОС. Некоторые из рассматриваемых средств создают собственную загрузочную среду. Это особенно важно, если вы работаете на взломанной системе. Если атакующий с помощью специальных средств сумел скомпрометировать системные бинарные файлы, то все результаты, получаемые от утилит на этом жестком диске, должны считаться подозрительными. Помимо возможной перезаписи дат файлов и других критичных данных, атакующий мог оставить некоторые временные бомбы или выполняющиеся демоны, способные вызвать дальнейшие повреждения или стереть свидетельства.
Можно создать загрузочный компакт-диск для реагирования на инциденты, содержащий все необходимые программы. Вам понадобятся диски для систем Windows и UNIX, если у вас разнородная среда.

Средства судебного анализа
Одна из проблем, с которой сталкиваются компьютерные следователи, состоит в том, что обычные файловые утилиты могут необратимо изменить файлы, фактически "смазывая" картину преступления и удаляя нужные вам свидетельства. Например, просмотр файлов с помощью обычного редактора изменит такие вещи, как временные метки. Представьте, что кто-нибудь топчется в грязных ботинках на месте реального преступления и двигает объекты по всему помещению. То же происходит при осмотре системы без подходящих средств. Вы не только лишитесь возможности принять какие-либо уголовные или гражданские меры, но можете также стереть цифровые следы атакующего. Хакеры часто применяют средства, скрывающие процессы и файлы от обычных системных утилит, поэтому вам нужны специальные инструменты, действующие вне обычной операционной системы, чтобы увидеть больше того, что видит ОС.
В последующих разделах представлены средства как для Linux, так и для Windows. Сначала мы рассмотрим несколько судебных средств уровня операционной системы, а затем - полнофункциональный инструментарий для более глубокого анализа. Помните, что применение средств уровня операционной системы может возвращать неверные или поддельные данные, если ваша ОС действительно была скомпрометирована.

Это небольшое добавление к системе может быть полезно при исследовании машины на предмет подозрительной активности. Нередко вирус, резидентный в памяти, или "троянская" программа проявляются как процесс, выполняющийся под странным именем или с необычным портом. Fport ищет открытые сетевые порты TCP или UDP и выдает их вместе с идентификатором ассоциированного процесса, именем процесса и маршрутным именем. Программа Fport аналогична собственной команде Windows netstat за исключением того, что предоставляет несколько больше информации и позволяет различным образом форматировать вывод для анализа. Это помогает отследить подозрительные программы, которые открывают сетевые порты на вашей машине. Подобное поведение служит признаком "троянской" программы.
Конечно, не каждый неопознанный процесс является вредоносной программой, но желательно понять, что делают странные на вид сервисы, особенно с нестандартными маршрутными префиксами (отличными от системных каталогов Windows и подобных), странными или хакерскими именами.
Программа Fport создана и распространяется компанией Foundstone Corporation, занимающейся разработкой защитного программного обеспечения и оказывающей консультационные услуги. Компания предлагает несколько других свободных средств безопасности, и их web-сайт в любом случае стоит посетить. Хотя исходные тексты программы Fport не вполне открыты (распространяются только бинарные файлы), она условно свободна, и для ее применения в коммерческих целях имеются лишь незначительные ограничения.
Установка Fport
Загрузите zip-файл с web-сайта Foundstone и распакуйте его в отдельном каталоге. Там появятся два файла - исполнимый файл Fport и небольшой информационный README.
Применение Fport
Программа Fport помогает определить, была ли машина взломана и откуда пришел нарушитель. Она должна выполняться на живой системе, то есть включенной и работающей: Fport не может выполняться на статических данных.
Для запуска Fport в каталоге с исполнимым файлом введите в командной строке fport. Будет распечатан список всех портов, открытых в данный момент, и ассоциированных с ними приложений (листинг 11.1).
Port v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid  Process      Port  Proto Path
940  svchost   -> 135   TCP C:\WINDOWS\system32\svchost.exe
4    System    -> 139   TCP
4    System    -> 445   TCP
1348 WCESCOMM  -> 990   TCP C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
4072 WCESMgr   -> 999   TCP C:\Program Files\Microsoft ActiveSync\WCESMsg.exe
1032 svchost   -> 1025  TCP C:\WINDOWS\System32\svchost.exe
1032 svchost   -> 1031  TCP C:\WINDOWS\System32\svchost.exe
1032 svchost   -> 1034  TCP C:\WINDOWS\System32\svchost.exe
4    System    -> 1042  TCP
4072 WCESMgr   -> 2406  TCP C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
2384 websearch -> 3008  TCP C:\Program Files\websearch\websearch.exe
1144           -> 54321 TCP C:\temp\cmd.exe
4072 WCESMgr   -> 5678  TCP C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
2384 websearch -> 8755  TCP C:\Program Files\websearch\websearch.exe
136  javaw     -> 8765  TCP C:\WINDOWS\System32\javaw.exe
1348 WCESCOMM  -> 123   UDP C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
2384 websearch -> 123   UDP C:\Program Files\websearch\websearch.exe
940  svchost   -> 135   UDP C:\WINDOWS\system32\svchost.exe
1144           -> 137   UDP
1932 svchost   -> 1026  UDP C:\WINDOWS\System32\svchost.exe
При просмотре этого листинга взгляд скользит по нормальным на вид выполняющимся службам и программам, пока где-то в середине не натыкается на программу cmd.exe, запущенную из каталога Temp. Это бинарный файл командного интерпретатора, и ему нечего делать в каталоге Temp. Тот факт, что у службы нет имени, также подозрителен. Наконец, номер входного порта не соответствует ни одному из известных сервисов. На самом деле, если поискать его в базе данных известных троянских программ в Интернете (http://www.simovits.com/trojans/trojans.html), можно обнаружить совпадение с номером порта документированной троянской программы. Это служит весомым свидетельством того, что система была взломана. Теперь вы должны решить, нужно ли выключить систему, чтобы провести дополнительный судебный анализ.
В табл. 11.1 перечислено несколько опций Fport для сортировки вывода. Можно также использовать опцию -h для вывода краткой справочной информации.


Таблица 11.1. Опции сортировки Fport

Опция

Описание

-a

Сортировка вывода по имени приложения

-ap

Сортировка вывода по маршруту приложения

-i

Сортировка вывода по идентификатору процесса (PID)

-p

Сортировка вывода по номеру порта.

Если процессов много, можно использовать эти ключи для просмотра программ с большими номерами портов, характерными для вредоносного ПО. Можно также отсортировать вывод по маршруту приложения или имени, чтобы выявить нестандартные приложения.

Это средство аналогично только что рассмотренному Fport для Windows. LSOF (LiSt Open Files) ассоциирует открытые файлы с процессами и пользователями. Оно напоминает команду netstat, но выдает также сетевые порты, используемые сервисом. Это важно при попытке отследить активную программу в сети. Зачастую единственным способом найти неуловимые ошибки является наблюдение за тем, какие сетевые порты открываются.
Средство lsof предустанавливается в некоторых дистрибутивах UNIX и Linux и доступно в форме RPM на установочных дисках других, таких как Mandrake и RedHat Linux. Чтобы выяснить, установлено оно или нет, наберите lsof и посмотрите, каков будет ответ.
Установка lsof

  1. Загрузите tar-файл с прилагаемого к книге компакт-диска или с официального web-сайта. Если IP-адрес, с которого выполняется загрузка, не имеет обратной записи DNS, то основной FTP-сайт не позволит с ним соединиться. Попробуйте один из указанных зеркалирующих сайтов.
  2. Распакуйте tar-файл.
  3. Вы увидите несколько текстовых файлов и еще один tar-файл, что-нибудь вроде lsof_4.68_src. В этом файле содержатся исходные тексты. Распакуйте его и войдите в этот каталог.
  4. Прежде чем начинать процесс компиляции, необходимо выяснить сокращенный код вашего диалекта UNIX. Так как программа lsof переносима практически на любую версию UNIX, требуется сообщить, какая разновидность UNIX применяется, чтобы процедура конфигурирования могла настроить ее для вашей системы.

Чтобы выяснить коды различных версий UNIX, введите
./configure -h
Например, код Linux - linux (не правда ли, просто?)

  1. Когда вы будете готовы, наберите следующую команду

./configure код_диалекта_UNIX
Программа будет сконфигурирована для компиляции.

  1. Когда конфигурирование закончится, наберите:

make

  1. Это завершает процесс сборки.

Программа lsof готова к употреблению.
Применение lsof
Программа lsof имеет множество применений и подробную оперативную справку, а также несколько информационных файлов README для различных приложений. Однако в данном разделе рассматривается лишь несколько специфических команд, полезных для судебных исследований.
Если вы хотите увидеть все открытые в данный момент файлы в системе и ассоциированные с ними процессы, наберите
lsof -n
Опция -n предписывает lsof не пытаться разрешать записи DNS для каждого IP-адреса, подключившегося к вашей машине. Это существенно ускоряет процесс. Примерный вид выдачи показан на листинге 11.2.
COMMAND  PID   USER  FD TYPE     DEVICE    SIZE   NODE NAME
xfs      903    xfs  0r  DIR        3,1    4096      2 /
atd      918 daemon rtd  DIR        3,1    4096      2 /
atd      918 daemon txt  REG        3,6   14384 273243 /usr/sbin/atd
sshd     962   root cwd  DIR        3,1    4096      2 /
sshd     962   root rtd  DIR        3,1    4096      2 /
sshd     962   root txt  REG        3,6  331032 274118 /usr/sbin/sshd
dhcpcd   971   root cwd  DIR        3,1    4096      2 /
dhcpcd   971   root rtd  DIR        3,1    4096      2 /
dhcpcd   971   root txt  REG        3,1   31576  78314 /sbin/dhcpcd
xinetd  1007   root cwd  DIR        3,1    4096      2 /
xinetd  1007   root  5u IPv4       1723            TCP 127.0.0.1:1024 (LISTEN)
xinetd  1007   root  8u unix 0xc37a8540           1716 socket
rwhod   1028   root cwd  DIR        3,1    4096  61671 /var/spool/rwho
rwhod   1028   root rtd  DIR        3,1    4096  61671 /var/spool/rwho
rwhod   1028    tim cwd  DIR        3,1    4096  61671 /var/spool/rwho
crond   1112   root cwd  DIR        3,1    4096     14 /var/spool
crond   1112   root  lw FIFO        0,5           1826 pipe
1112   root  2w FIFO        0,5           1827 pipe
nessusd 1166   root cwd  DIR        3,1    4096      2 /
nessusd 1166   root rtd  DIR        3,1    4096      2 /
nessusd 1166   root txt  REG        3,6 1424003 323952
init       1   root cwd  DIR        3,1    4096      2 /
init       1   root rtd  DIR        3,1    4096      2 /
init       1   root txt  REG        3,1   31384  75197 /sbin/init
Соединения на этом листинге выглядят нормально, вопросы вызывает лишь подключение через службу rwho. Стоит убедиться, что допустимый пользователь применяет команду законно. Если этот счет принадлежит кому-то из нетехнического персонала, может понадобиться дальнейшее расследование.
lsof можно также применять для поиска определенного файла. Если вы хотите увидеть, обращался ли кто-то к файлу паролей, можно воспользоваться следующей командой:
lsof маршрут/имя_файла
Замените маршрут/имя_файла маршрутом и именем файла, который вас интересует, в данном случае - /etc/passwd. Необходимо задать для lsof полное маршрутное имя, чтобы программа нашла этот файл.
Еще один вариант применения lsof - получение списка всех открытых сокетов. В этом случае можно будет увидеть работающий сервер, о котором вы не знаете. Формат этой команды таков:
lsof -i
В результате получается выдача, аналогичная представленной на листинге 11.3. На нем можно видеть все выполняющиеся программы, включая sshd и nessusd - демоны для SSH и Nessus. Можно даже видеть отдельные соединения с этими службами. Похоже, что кто-то использует в данный момент сервер Nessus. Проверив IP-адрес, можно понять, что это внутренний пользователь. На самом деле это ваша собственная машина! Поэтому беспокоиться не о чем.
COMMAND  PID USER FD TYPE DEVICE SIZE NODE NAME
portmap  733  rpc 3u IPv4   1417       UDP *:sunrpc
portmap  733  rpc 4u IPv4   1426       TCP *:sunrpc (LISTEN)
sshd     962 root 3u IPv4   1703       TCP *:ssh (LISTEN)
xinetd  1007 root 5u IPv4   1728       TCP localhost.localdomain:1024 (LISTEN)
rwhod   1028 root 3u IPv4   1747       UDP *:who
nessusd 1166 root 4u IPv4   1971       TCP *:1241 (LISTEN)
nessusd 1564 root 5u IPv4   1972       TCP 192.168.1.101:1024->192.168.1.2:1994 (ESTABLISHED)
Можно задать для просмотра определенный IP-адрес или хост, помещая знак @ и адрес после ключа -i. Например, команда
lsof -i@192.168.1.0/24
отображает все соединения, исходящие из вашей сети, при условии, что ваша внутренняя сеть в нотации с косой чертой задается как 192.168.1.0/24.
Просмотр файлов журналов
Необходимо внимательно просмотреть файлы журналов, когда вы ищете признаки беды. Файлы журналов Windows можно найти в разделе Event Viewer из Administrative Tools. В Linux и BSD-вариантах UNIX файлы журналов находятся в каталоге /var/log/. В других вариантах UNIX эти файлы также могут присутствовать, но их расположение может отличаться. В табл. 11.2 перечислены основные файлы журналов UNIX и их назначение.


Таблица 11.2. Файлы журналов UNIX

Файл журнала

Описание

/var/log/messages

Хранит общие системные сообщения

/var/log/secure

Хранит сообщения аутентификации и безопасности

/var/log/wtmp

Хранит историю входов в систему и выходов из нее

/var/run/utmp

Хранит динамический список пользователей, находящихся в данный момент в системе

/var/log/btmp

Только для Linux. Хранит все неудачные или неверные попытки входа.

Эти файлы могут располагаться несколько иначе или не существовать в других версиях UNIX. Программы также часто создают собственные файлы журналов, хранящиеся обычно в каталоге /var. Для просмотра этих файлов и поиска определенных цепочек символов или чисел (таких как IP-адреса и имена пользователей) можно воспользоваться текстовым редактором.
В табл. 11.3 перечислены несколько команд уровня операционной системы, которые можно применять в системах Linux и UNIX для быстрого просмотра этих файлов.


Таблица 11.3. Команды просмотра Linux и UNIX

Команда

Описание

users

Извлекает из файла utmp и выдает список пользователей, находящихся в данный момент в системе

w

Выдает детальную информацию о пользователях, находящихся в системе, в том числе: как они вошли (локально или удаленно), IP-адрес, если вход удаленный, какие команды они выполняют. Эта команда очень полезна для поимки нарушителя "с поличным".

last

Выдает наиболее свежие записи файла wtmp. Это также может быть весьма полезно, чтобы увидеть, кто, когда и насколько входит в систему. На листинге 11.4 приведен пример подобной выдачи

lastb

Только для Linux. Делает то же, что и предыдущая команда, но для файла btmp - протокола неправильных входов. Здесь нарушитель может проявиться в первую очередь, если он совершил много неудачных попыток входа

tony    pts/0  10.1.1.1         Sun Sep 5  23:06  still logged in
tony    pts/0  10.1.1.1         Sun Sep 5  22:44 - 23:04 (00:20)
tony    pts/0  10.1.1.1         Sun Sep 5  21:08 - 21:16 (00:07)
tony    pts/0  10.1.1.1         Sun Sep 5  20:20 - 20:36 (00:16)
reboot  system boot 2.4.18-14   Sun Sep 5  17:32 (05:34)
tony    tty1                    Sun Sep 5  17:29 - down (00:01)
tony    pts/2  10.1.1.1         Sat Sep 4  23:02 - 23:34 (00:32)
tony    pts/2  10.1.1.1         Sat Sep 4  22:36 - 22:36 (00:00)
hank    pts/0  10.1.1.200       Sat Sep 4  12:13 - 12:22 (00:08)
hank    pts/0  adsl-66-141-23-1 Fri Sep 3  23:53 - 23:53 (00:00)
hank    pts/0  192.168.1.100    Fri Sep 3  14:47 - 14:47 (00:00)
tony    pts/3  192.168.1.139    Fri Sep 3  09:59 - down (00:01)
larry   pts/3  adsl-65-67-132-2 Thu Sep 2  22:59 - 23:11 (00:12)
tony    pts/3  10.1.1.1         Thu Sep 2  21:33 - 21:49 (00:16)
brian   pts/3  adsl-65-68-90-12 Thu Sep 2  18:23 - 18:31 (00:07)
hank    pts/5  192.168.1.139    Thu Sep 2  14:29 - 15:35 (01:06)
sam     pts/   dialup-207-218-2 Wed Sep 1  22:24 - 00:40 (02:16)
Следует учитывать, что если ваша система была скомпрометирована, эти программы могут быть заменены "троянскими" копиями. Такие программы, как Tripwire , способны помочь определить, были ли искажены системные бинарные файлы. Вы должны сделать заведомо хорошие копии этих бинарных файлов, чтобы было возможным исполнение с безопасного загрузочного носителя, а не из системы. Помните также, что атакующие часто будут выборочно редактировать файлы журналов, чтобы стереть все следы своей деятельности. Однако если они просто удалят файлы журналов, вы, возможно, сумеете их восстановить. Кроме того, следует проверить все файлы журналов, так как некоторые новички удаляют лишь часть из них.

Создание копий судебных свидетельств
Если вы убедились, что ваша система была атакована или взломана, то в первую очередь следует немедленно остановить атаку или ограничить риски, которым подвергается эта машина. В идеале это означает отсоединение машины от сети для проведения дальнейшего анализа. Если это невозможно, все равно желательно отключить все подозрительные системные счета, терминировать все незаконные процессы, и, возможно, заблокировать на межсетевом экране IP-адреса нарушителей, пока вы не уясните, что происходит.
После устранения непосредственной опасности необходимо сделать копии всех важных данных для просмотра в автономном режиме в соответствии с догматами надлежащего судебного анализа, сформулированными выше. Нежелательно применять ваши средства к живым данным, сделайте их полноценную копию. Для этого требуется создать образ данных, а не просто их скопировать. Нежелательно применять встроенные в операционную систему функции копирования, так как они могут изменять временные метки файлов и вставлять другую нежелательную информацию. Имеются специальные средства для получения зеркальных копий образов. К сожалению, в настоящее время не существует хорошего варианта подобных средств с открытыми исходными текстами для платформы Windows (кто-нибудь хочет включиться в хороший проект с открытыми исходными текстами для Windows?). Наиболее популярной программой для Windows является Norton Ghost компании Symantec, которая продается примерно за $50. В UNIX для этого существует прекрасная программа с открытыми исходными текстами dd, что означает дамп данных.

Программу dd можно применять для буквального чтения блоков данных непосредственно с жесткого диска и создания их точных копий. Она напрямую обращается к носителю, без посредничества файловой системы, поэтому способна извлечь удаленные данные и другие вещи, которых файловая система не может видеть. Ее можно применять для создания побитных копий данных файловых систем UNIX. Поскольку UNIX трактует устройства как файлы, то можно взять весь жесткий диск и тиражировать его путем простого копирования файла устройства с помощью такого средства, как dd.
Установка dd
В большинстве операционных систем UNIX устанавливать программу dd не требуется, поскольку она является частью любой файловой системы UNIX. Наберите man dd, чтобы убедиться в ее наличии. Если по какой-то причине ее нет, можно взять ее с прилагаемого к книге компакт-диска или как часть файловых утилит GNU с приведенного выше сайта.
Применение dd
Есть два способа применения dd. Один из них - побитное копирование данных. При этом создается зеркальный образ данных на другом жестком диске или разделе диска. Другой способ - создание одного большого файла. Иногда это удобнее для целей анализа и мобильности. Для верификации можно легко вычислить хэш файла. Этот файл часто называют свидетельским, и многие судебные программы созданы для чтения данных из него.
Основной формат команды dd следующий:
dd -if=входной_файл -of=выходной_файл опции
где вместо входного файла нужно подставить копируемое устройство, вместо выходного - имя файла, в который производится копирование, а вместо опций - любые опции dd, которые вы хотите использовать. У dd много опций; в перечислены основные из них.


Таблица 11.4. Основные опции dd

Опция

Описание

bs=

Размер блока. Размер в байтах блока, копируемого за один раз.

count=

Подсчет блоков. Сколько блоков копировать. Это полезно, если вы не хотите копировать всю файловую систему, поскольку у вас очень большой жесткий диск или раздел диска, или ограниченный объем пространства на целевом носителе

skip=

Пропустить заданное число блоков, прежде чем начать копирование. Это также полезно при копировании части файловой системы.

conv=

Задает любую из следующих подопций:
notrunc - не обрезать вывод при возникновении ошибки. Рекомендуется в большинстве случаев.
noerror - не останавливать чтение входного файла в случае ошибки, такой как проблемы с физическим носителем. Также рекомендуется.
sync - требует перед собой команду noerror. Если происходит ошибка, то команда sync подставит на ее место нули, сохраняя последовательную непрерывность данных.

Если вы хотите с помощью dd скопировать устройство на приводе жесткого диска /dev/hdc на другой привод жесткого диска, устройство hdd, можно воспользоваться следующей командой:
dd -if=/dev/hdc of=/dev/hdd bs=1024 conv=noerror,notrunc,sync
Эта команда копирует содержимое устройства /dev/hdc (вероятно, вашего основного жесткого диска) на устройство /dev/hdd (вероятно, ваш вторичный жесткий диск). Убедитесь, что вы понимаете, какие диски каким устройствам соответствуют. Как поясняется во врезке о программе dd, ошибка здесь может обойтись очень дорого!


Флэми Тех советует:
Будьте очень осторожны с dd!
Не проявляйте легкомыслия при использовании низкоуровневых дисковых средств, таких как dd. Одна неверная команда может легко затереть весь жесткий диск. Будьте особенно осторожны в отношении входных и выходных файлов. Если их перепутать, можно перезаписать свидетельства или сделать кое-что похуже. Не играйте с dd, если не владеете основами работы с жесткими дисками, не знаете, что такое блок и сектор. В отличие от дружественной по отношению к пользователям Windows, dd никогда не переспрашивает дважды, когда вы собираетесь сделать какую-нибудь глупость. Поэтому, как хороший портной, семь раз прочтите руководство и один раз выполните команду.

Если вы вместо тиражирования дисков хотите создать один большой свидетельский файл, примените следующую команду для копирования файла на новое устройство:
dd if=/dev/hdc of=/mnt/storage/evidence.bin
Вероятно, вы захотите смонтировать новое устройство для сохранения этого файла. Желательно, чтобы это был совершенно новый носитель, чтобы не испортить свидетельства старыми данными. Помните, что даже стертые данные проявятся при использовании этого средства. Если у вас нет чистого носителя, убедитесь, что применяемый носитель тщательно прочищен с помощью дисковой утилиты (кстати, dd имеет такую возможность, прочтите о ней в оперативной справке).
Когда все свидетельства собраны, вы готовы к их дальнейшему анализу с помощью судебного инструментария. Есть много великолепных, профессионального уровня коммерческих наборов средств. Имеются также некоторые очень хорошие свободные наборы судебных средств как для Windows, так и UNIX.

Sleuth Kit Брайана Карьера является собранием различных судебных средств, работающих под UNIX. Он содержит части популярного Coroner's Toolkit Дэна Фармера, равно как и вклады других людей, и предоставляет стильный Web-интерфейс на базе Autopsy Forensic Browser. Sleuth Kit предназначается для работы с файлами данных, такими как вывод дисковых утилит, аналогичных dd, и обладает широкими возможностями, фактически превосходя некоторые доступные коммерческие программы. В число ключевых функций Sleuth Kit входят:

  • Отслеживание различных дел и нескольких следователей.
  • Просмотр файлов и каталогов, которые были размещены в файловой системе или удалены из нее.
  • Доступ к низкоуровневым структурам файловой системы.
  • Генерация хронологии файловой активности.
  • Сортировка по категориям файлов и проверяемым расширениям.
  • Поиск в данных образов по ключевым словам.
  • Идентификация графических образов и создание пиктограмм.
  • Поиск в базах данных хэшей, включая судебные стандарты NIST NSRL и Hash Keeper.
  • Создание заметок следователя.
  • Генерация отчетов.

 

Установка Sleuth Kit

  1. Загрузите и распакуйте файл с прилагаемого к книге компакт-диска или web-сайта.
  2. В этом же каталоге наберите:

make
Программа автоматически сконфигурирует и скомпилирует себя. В процессе установки она может задать вам несколько вопросов.
Установка Autopsy Forensic Browser
Эта программа - графический интерфейсный компонент для Sleuth Kit. Ее применение вместе с Sleuth Kit существенно облегчит вашу жизнь и позволит порождать привлекательный графический вывод. При желании можно по-прежнему независимо применять средства командной строки Sleuth Kit.

  1. Прежде чем начинать установку Autopsy, удостоверьтесь, что инструментарий Sleuth Kit установлен.
  2. Возьмите файл Autopsy с web-сайта или из каталога /autopsy прилагаемого к книге компакт-диска.
  3. Распакуйте его с помощью обычной команды tar -zxvf.
  4. Держите маршрут к программному каталогу Sleuth Kit под рукой и подумайте о том, где разместить "сундук с уликами" - специальный каталог, где будут располагаться все данные рассматриваемого с применением Sleuth Kit дела.
  5. Наберите команду make. Она установит программу и при этом попросит вас указать каталог для хранения данных и каталог, в который установлен Sleuth Kit.

Применение Sleuth Kit и Autopsy Forensic Browser

  1. Чтобы запустить серверную программу, наберите ./autopsy & в каталоге autopsy. Сервер будет работать в фоновом режиме с портом 9999.
  2. Скопируйте универсальный локатор ресурсов, который выдается при запуске сервера. Он понадобится для входа в серверную систему.
  3. Для подключения к серверу откройте web-навигатор и введите URL, который вы скопировали из адресного окна на шаге 2. Он выглядит примерно так:

Число между косыми чертами изменяется при каждом запуске Sleuth Kit. После ввода URL появится основной экран.
Заведение и протоколирование дела
Sleuth Kit вместе с Autopsy Forensic Browser позволяет контролировать несколько дел, чтобы можно было отслеживать различные инциденты и различных заказчиков. Необходимо завести дело для хранения свидетельских файлов, прежде чем с ними можно будет работать.

  1. На основном экране щелкните мышью на New Case. Появится экран заведения нового дела.
  2. Введите название дела. Оно послужит именем каталога, в котором хранятся свидетельские данные. Этот каталог будет создан в основном каталоге для хранения свидетельств, заданном при установке.
  3. При желании можно дать делу полное имя, которое лучше его характеризует.
  4. Необходимо создать по крайней мере один идентификатор следователя для доступа к делу. В этом проявляется развитость программы. Данная возможность позволяет подключать к работе над одним делом несколько человек и отслеживать доступ и действия каждого. Щелкните мышью на New Case, чтобы завершить ввод.
  5. Когда дело заведено, выводится Case Gallery с отображением всех заведенных вами дел. Можно видеть детали каждого дела, включая следователей, которые с ним работают. Выберите свое новое дело, щелкните мышью на OK и войдите в него.

Теперь вы завели дело, вошли в него и готовы с ним работать.


Добавление хоста
Когда вы вошли в дело, необходимо задать по крайней мере один хост, который вы собираетесь освидетельствовать. Этот хост представляет конкретную исследуемую машину.
  1. В Case Gallery щелкните мышью на Add Host. Появится экран Add a New Host.
  2. Введите имя хоста.
  3. При желании введите краткое описание хоста.
  4. Задайте часовой пояс и отклонение часов - расхождение с временной меткой основного файла дела, чтобы Sleuth Kit по-особому трактовал временные метки на хосте. Это может быть очень важно при осмотре нескольких серверов с различным временем на часах.
  5. При желании добавьте необязательную запрошенную информацию.
  6. Щелкните мышью на Add Host, чтобы добавить хост и вернуться в Case Gallery.
  7. Выполните эту процедуру для каждого хоста, на котором имеются данные.

Добавление образа
Теперь следует добавить образы данных для созданных хостов. Используйте копии данных, сделанные с помощью dd, Norton Ghost или какой-либо иной утилиты тиражирования данных.

  1. Выберите хост на экране Host Gallery и щелкните мышью на OK.
  2. Щелкните мышью на кнопке Add Image. Появится экран Add a New Image.
  3. Введите расположение и данные о файле образа. Можно скопировать файл в каталог для этого хоста в хранилище свидетельств или просто создать символьную ссылку на него. Будьте осторожны и не перемещайте файлы образов, особенно больших, слишком часто, так как это может привести к потере данных, если во время переноса возникнут проблемы.
  4. Выберите тип файловой системы. Это определяет способ, которым Sleuth Kit смотрит на данные в образе.
  5. Sleuth Kit автоматически создает файл хэша. Вы можете в любое время проверить соответствие хэша и данных в файле. Это значительно повышает легитимность ваших усилий в суде.
  6. Для каждого хоста можно добавить несколько образов. Например, вам, возможно, понадобится разбить большой диск на несколько файлов образов. Щелкните мышью на Add Image, чтобы добавить образ и вернуться в основное окно Case Gallery.

Анализ данных
Теперь вы, наконец, готовы приступить к анализу. Может показаться, что работы по настройке слишком много, но вы оцените Sleuth Kit, когда вам придется манипулировать большим числом образов или понадобится быстро выдать определенный фрагмент данных. Перейдите в Image Gallery и щелкните мышью на образе, который хотите анализировать. В табл. 11.5 перечислены типы анализа, который можно выполнять на образах данных.
Sleuth Kit в сочетании с Autopsy Forensic Browser - мощное средство организации и анализа судебных данных на уровне любой профессиональной лаборатории в стране. В этом разделе затронуты лишь некоторые основные функции, но об этом замечательном инструменте можно написать целые тома. Здесь не рассмотрены многие команды и функции. Дополнительную информацию можно найти в оперативном руководстве и других ресурсах на web-сайте. На сайте предлагается также ежемесячный бюллетень с интересными статьями и рекомендациями для интересующихся судебной информатикой.


Таблица 11.5. Типы проводимого в Sleuth Kit анализа

Тип анализа

Описание

File Analysis

Показывает образ в виде файлов и каталогов, которые будет видеть файловая система. Здесь также видны файлы и папки, которые обычно могут быть скрыты операционной системой

Keyword Search

Позволяет искать во всем образе определенные ключевые слова. Это полезно, если вы ищете определенную программу или просто упоминание об определенной вещи. Юристы часто пользуются данной возможностью при поиске свидетельств инкриминируемой противозаконной деятельности на принадлежащем подозреваемому жестком диске. Это помогает довольно быстро найти иголку в стоге сена.

File Type

Сортирует все файлы или производит поиск по типу. Это удобно при поиске всех файлов определенного типа, например, JPEG или MP3

Image Details

Выдает все детали изучаемого образа, которые могут пригодиться, например, при восстановлении данных, когда необходимо знать их физическое расположение

MetaData

Отображает низкоуровневые структуры каталогов и файлов в образе, полезные при поиске удаленного содержимого и просмотре других элементов, которые файловая система обычно не показывает

Data Unit

Позволяет углубиться в любой найденный файл и просмотреть его реальное содержимое в текстовом или шестнадцатеричном виде

The Forensic Toolkit: Набор судебных средств для Windows

The Forensic Toolkit
Автор/основной контакт: Foundstone, Inc.
Web-сайт: http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm
Платформы: Windows NT, 2000, XP
Лицензии: Версия 1.4 - GPL, версия 2.0 - Freeware
Рассмотренные версии: 1.4 GPL, 2.0 Freeware

The Forensic Toolkit - еще одна замечательная свободная программа компании Foundstone. Этот набор средств полезен при осмотре файловых систем на платформе Windows и сборе информации для судебного расследования. Версия 1.4 программы имеет полностью открытые исходные тексты с лицензией GPL. Версия 2.0 условно свободна и может применяться для коммерческих целей, но имеет ограничения на внесение в программу дополнений и изменений, а ее исходные тексты в настоящее время недоступны.
Отметим, что эти средства работают только с файловыми системами NTFS. Если вы желаете исследовать раздел FAT32, вам придется воспользоваться другим инструментарием.

Установка The Forensic Toolkit

  1. Загрузите соответствующий файл с Web-сайта (версию 1.4 или 2.0, в зависимости от того, нужны ли вам открытые исходные тексты).
  2. Распакуйте файл в его собственный каталог. Это завершает установку.

Применение The Forensic Toolkit
Инструментарий включает различные утилиты командной строки, генерирующие статистические данные и информацию об исследуемой файловой системе. Чтобы выполнить команду, наберите ее в окне командной строки (вы должны находиться в соответствующем каталоге). В последующих разделах описаны отдельные средства.
Afind
Эта утилита ищет файлы по времени доступа к ним, не изменяя информацию о доступе, что отличает ее от обычных утилит Windows. Основной формат команды таков
afind каталог_поиска опции
Основные опции перечислены в табл. 11.6.


Таблица 11.6. Основные опции поиска для Afind

Опция

Описание

-f имя_файла

Выдает информацию о времени доступа к файлу с заданным именем

-s X

Отыскивает файлы, к которым обращались в течение последних X секунд

-m X

Отыскивает файлы, к которым обращались в течение последних X минут

-d X

Отыскивает файлы, к которым обращались в течение последних X дней

-a d/m/y-h:m:s

Отыскивает файлы, к которым обращались после указанной даты и времени

Hfind
Это - средство поиска скрытых файлов в операционной системе Windows. Выдаются файлы, у которых установлен бит атрибута скрытости, а также файлы, скрытые с помощью специального атрибутного метода каталога/системы Windows NT. Формат таков:
hfind каталог_поиска
Команда выдает список скрытых файлов и дату и время последнего доступа к ним. Будьте осторожны при поиске по всему жесткому диску, так как на это может потребоваться много времени.
Sfind
Средство поиска на жестком диске скрытых потоков данных. Они отличаются от скрытых файлов, так как не становятся видны на жестком диске, когда вы щелкаете мышью на опции показа скрытых файлов. Скрытые потоки данных - особенность NTFS, предоставляющая определенным программам доступ к альтернативным потокам данных. Эти файлы связываются с видимым родительским файлом, но не удаляются, когда файловая система удаляет последний. Они могут применяться для сокрытия данных или вредоносного программного обеспечения. Формат команды sfind таков:
sfind каталог_поиска
Если вы ищете, отправляясь от корневого каталога большого диска, поиск может быть весьма длительным.
FileStat
Эта команда выдает полную распечатку атрибутов файла, включая информацию о безопасности. В каждый момент времени она работает только с одним файлом. Вывод можно направить по каналу в текстовый файл для дальнейшей обработки. Эта команда выдает довольно много информации, включая подробные сведения о файловом дескрипторе, которые обычно не сообщаются. На листинге 11.5 показан пример этой информации для файла с именем test.txt.
Creation Time - 01/10/2004 03:18:40
Last Mod Time - 01/10/2004 03:18:40
Last Access Time - 01/10/2004 03:18:40
Main File Size - 11
File Attrib Mask - Arch
Dump complete:Dumping C:\temp\test.txt:
SD is valid.
SD is 188 bytes long.
SD revision is 1 ==SECURITY_DESCRIPTOR_REVISION1
SD's Owner is Not NULL
SD's Owner-Defaulted flag is FALSE
SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460
SD's Group-Defaulted flag is FALSE
SID = TONYVPRDESKTOP/None S-1-5-21--181663460--953405037-
SD's DACL is Present
SD's DACL-Defaulted flag is FALSE
ACL has 4 ACE(s), 112 bytes used, 0 bytes free
ACL revision is 2 == ACL_REVISION2
SID = BUILTIN/Administrators S-1-5-32-544
ACE 0 is an ACCESS_ALLOWED_ACE_TYPE
ACE 0 size = 24
ACE 0 flags = 0x00
ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
SID = NT AUTHORITY/SYSTEM S-1-5-18
ACE 1 is an ACCESS_ALLOWED_ACE_TYPE
ACE 1 size = 20
ACE 1 flags = 0x00
ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460-
ACE 2 is an ACCESS_ALLOWED_ACE_TYPE
ACE 2 size = 36
ACE 2 flags = 0x00
ACE 2 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN
SID = BUILTIN/Users S-1-5-32-545
ACE 3 is an ACCESS_ALLOWED_ACE_TYPE
ACE 3 size = 24
ACE 3 flags = 0x00
ACE 3 mask = 0x001f01ff -R -X
SD's SACL is Not Present
Stream 1:
Type: Security
Stream name = ?? ??Size: 188

Stream 2:
Type: Data
Stream name = ?? ??Size: 11

Stream 3:
Type: Unknown
Stream name = ?? ??Size: 64
Hunt
Это средство можно применять для получения детальной информации о системе с помощью возможностей пустого сеанса Windows. При определенной степени вседозволенности в вашей системе может выдаваться важная информация, такая как списки пользователей, разделяемых ресурсов и запущенных служб. Команда имеет следующий формат:
hunt имя_исследуемого_хоста
На листинге 11.6 приведен пример выдачи команды Hunt.
share  =  IPC$  -  Remote IPC

share  = print$ -  Printer Drivers

share = SharedDocs -

share = Printer3 - Acrobat Distiller

share = Printer2 - Acrobat PDFWriter

User = Administrator, , ,  Built-in account for administrating the computer/domain

Admin is TONYVPRDESKTOP\Administrator
User = Howlett, , ,

User = Guest, , , Built-in account for guest access to the computer/domain

User = HelpAssistant, Remote Desktop Help Assistant Account,
Account for Providing Remote Assistance

User = SUPPORT_388945a0,   CN=Microsoft
Corporation, L=Redmond, S=Washington, C=US,  , This is a vendor's
account for the Help  and Support Service

User = Tony Howlett,
В списке можно видеть двух пользователей, которые обычно не отображаются в разделе User Account системы Windows: HelpAssistant и SUPPORT (возможности удаленной помощи и раздражающая возможность "уведомите службу поддержки", выскакивающая всякий раз, когда программа отдает концы). Это пользователи системного уровня для внутренних программ. С помощью данного средства можно раскрыть других скрытых пользователей, спрятанных квалифицированным нарушителем.
Эта лекция не претендует на полноту описания всех возможных судебных средств, однако представленных средств достаточно, чтобы выполнять основные судебные действия практически на любой системе. Для тех, кто профессионально работает в данной области или оказался вовлеченным в расследование, имеется много других средств. Хороший список судебных средств с открытыми исходными текстами можно найти по адресу http://www.opensourceforensics.org/.

 

 
На главную | Содержание | < Назад....Вперёд >
С вопросами и предложениями можно обращаться по nicivas@bk.ru. 2013 г.Яндекс.Метрика