• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Форензика или компьютерная криминалистика

dstat7

Пират
Читатель
Регистрация
28.07.21
Сообщения
86
Онлайн
3д 9ч 40м
Сделки
0
Нарушения
5 / 5
Форензика - от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского.

Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics».

В России слово форензика имеет одно значение - компьютерная криминалистика. Украдено с Википедии.

А теперь кратко и понятно.

Форензика - это сбор цифровых доказательств.

Что мы понимаем под словосочетанием Цифровые доказательства?
Под цифровыми доказательствами подразумевается наличие следов преступления на любых носителях информации, жесткие диски, смартфоны, планшеты, флешки, любые предметы где может храниться информация в электронном виде.

История возникновения:
Современные исследования причин и факторов возникновения внутрикорпоративного мошенничества в большинстве своём основываются на работе Эдвина Сазерленда, который в 1939 году ввёл понятие white «collar crime» - так называемое преступление «белых воротничков» - незаконные действия корпораций и их высших должностных лиц с использованием служебного положения.

Виды криминалистических экспертиз:
  1. Аппаратно-компьютерная экспертиза
  2. Программно-компьютерная экспертиза
  3. Компьютерно-сетевая экспертиза
  4. Информационно-компьютерная экспертиза
Аппаратно-компьютерная экспертиза: данное исследование заключается в проведении анализа технических или, как их еще называют, аппаратных средств компьютерных систем.

Программно-компьютерная экспертиза: является установление причастности исследуемого программного комплекса к расследуемому преступному деянию. Также в результате анализа могут быть обнаружены следы совершенных противоправных действий.

Компьютерно-сетевая экспертиза: данный вид анализа во многом схож с программно-компьютерной экспертизой, однако фокус экспертного внимания смещен на исследование сетевой работы пользователя.

Информационно-компьютерная экспертиза: данный анализ является цифровым сбором, то есть информация, содержащаяся в компьютерной системе.

Специалист всегда задается такими вопросами:

  1. О наличии на объектах информации, которая относится к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде)
  2. О возможности использования исследуемых объектов для определённых целей (например, для доступа в сеть)
  3. О действиях, совершённых с использованием объектов
  4. О свойствах программ, в частности, о принадлежности их к вредоносным
  5. Об идентификации найденных электронных документов, софта, пользователей компьютера.
Так же существует термин «экспресс анализ». Приведу пример:

Вот ты сидишь такой дома без света, в черном копюшоне и в маске «Гая Фокса». кардишь такой и тут к тебе стучаться в дверь. Ты не удаляя всё, что есть у тебя на ПК (ноуте) открываешь дверь, а тебя берут. И смотрят твой ПК (ноут) и всё, ты злоумышленник. Дело закрыто.

Существует специальный дистрибутив:
Digital Evidence & Forensics Toolkit: DEFT Linuix

Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.

Основное предназначение — проведение мероприятий по форензике. Анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора цифровых доказательств совершения киберпреступлений.


Фреймворки:
Volatility Framework
— фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM). Извлекает от даты и времени до модуля ядра системы.

DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.

PowerForensics — предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.

Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.

MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.

bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».

PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.

Если вы действительно заинтересовались, то вот вам книги:
Н.Н.Федотов: Форензика – компьютерная криминалистика
Darren Quick, Ben Martini, Raymond Choo: Cloud Storage Forensics
Suzanne Widup: Computer Forensics and Digital Investigation with EnCase Forensic v7
Brian Carrier: File System Forensic Analysis
Brett Shavers, John Bair: Hiding Behind the Keyboard: Uncovering Covert Communication Methods with Forensic Analysis
Philip Polstra: Linux Forensics
Jonathan Levin: Mac OS X and iOS Internals: To the Apple's Core
Ric Messier: Operating System Forensics
Satish Bommisetty, Rohit Tamma, Heather Mahalik: Practical Mobile Forensics
Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
Harlan Carvey: Windows Registry Forensics, Second Edition: Advanced Digital Forensic Analysis of the Windows Registry
Laura Chappell: The Official Wireshark Certified Network Analyst Study Guide

Есть разделы с инструментарием для форензики в таких ОС как Kali Linux и BlackArch.

И существует дистрибутив: Linux Kodachi - это контр-криминалистическая система.
 
Сверху