На софт надейся, а паяльник держи наготове

На софт надейся, а паяльник держи наготове

В данной статье мы расскажем о программных и аппаратных средствах, наиболее часто применяемых экспертами RTM Group при проведении компьютерных экспертиз.

Объектами компьютерных экспертиз могут являться различные по своему устройству технические средства и источники информации. При проведении такого рода исследований и разрешении вопросов в отношении цифровых устройств и данных сотрудники RTM Group используют широкий спектр аппаратных и программных средств. Данный инструментарий представляет из себя коммерческие продукты, бесплатные утилиты, программы, написанные самостоятельно для конкретных задач и оборудование, без которого невозможно представить современную форензику. Взаимодействие с дружественными экспертными, научно-исследовательскими и образовательными организациями открывает практически неограниченные возможности использования различных программных и аппаратных продуктов, в качестве обмена опытом и совершенствования методологии компьютерной экспертизы.

В данной статье мы расскажем о наиболее часто применяемых экспертами RTM Group программных и аппаратных средствах.

В первую очередь нельзя не упомянуть простейший, и, в тоже время, главный инструмент для работы с файлами - Total Commander. Данный файловый менеджер ценится экспертами за его большой пакет интегрированных в одну универсальную практичную оболочку необходимых для исследования программ и плагинов, а также за гибкую и удобную систему настройки.

Обеспечение сохранности представленных объектов исследований в соответствии со статьей 16 Федерального закона от 31.05.2001 №73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» является одной из обязанностей эксперта. Поэтому эксперты применяют аппаратные и программные средства, с помощью которых имеется возможность проводить безопасное исследование представленных объектов, не изменяя целостности цифровых данных.

АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА БЛОКИРОВКИ ЗАПИСИ

Аппаратные средства блокировки записи используются для безопасного подключения исследуемых носителей к ПК эксперта с целью недопущения искажения на них важной компьютерной информации. В распоряжении экспертов имеются: Tableau T35U – блокиратор записи фирмы «Tableau», AgeStar 3FBCP – адаптер фирмы «AgeStar», также имеющий в своем функционале защиту от записи. Данные приборы адаптированы для подключения к ним накопителей через интерфейсы IDE/SATA.

USB WriteProtect – утилита, которая позволяет на системном уровне защитить данные, записанные на подключенные через USB-порт устройства, а также предотвратить их изменение или удаление.

ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА ВИРТУАЛИЗАЦИИ

Средства виртуализации используются экспертами для создания на операционной системе физического компьютера виртуальных машин с гостевыми операционными системами, таким образом получая виртуальную стендовую среду. Преимущества такого рода стенда заключаются в безопасном исследовании объектов, поступивших на экспертизу. В зависимости от объекта исследования эксперт использует соответствующее средство виртуализации: программный продукт виртуализации корпорации Oracle – VirtualBox, программное обеспечение виртуализации компании VMware - Workstation pro, а также встроенную в Windows систему аппаратной виртуализации компании Microsoft – Hyper-V.

Далее считаем важным отметить программные средства, так называемые швейцарские ножи мобильной и компьютерной криминалистики. Такое ПО обладает широким функционалом, таким как поиск, анализ, извлечение и восстановление данных, за что, собственно, и ценится экспертами.

ПРОГРАММНЫЕ СРЕДСТВА ПОИСКА, АНАЛИЗА
И ИЗВЛЕЧЕНИЯ ДАННЫХ

Мобильный криминалист – многофункциональный инструмент компании «Оксиджен Софтвер», позволяющий извлекать, расшифровывать и анализировать ключевые данные из мобильных устройств, персональных компьютеров, ноутбуков и облачных сервисов. Данный программный продукт обладает возможностями извлечения данных:

  • из мобильных устройств под управлением операционных систем iOS и Android;

  • из социальных сетей (Facebook, Twitter, Instagram, Вконтакте, Одноклассники);

  • из мессенджеров (Telegram, Line, Viber, WhatsApp);

  • из почтовых сервисов (Google Mail, Mail.ru, Яндекс.Почта);

  • о геолокации (AppleMaps, Google Location History, Uber, Яндекс.Такси);

  • о истории посещения браузеров (Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer) и др.

MOBILedit Forensic Express – программный продукт компании MOBILedit, использующийся экспертами для извлечения из мобильных устройств данных, таких как история звонков, контакты, текстовые и мультимедийные сообщения, фотографии, видеозаписи, элементы календаря, заметки, удалённые данные, а также пароли и данные из таких приложений как Skype, Dropbox, Evernote, Facebook, WhatsApp, Viber и другие.

Elcomsoft Premium Forensic Bundle – набор программных продуктов компании «Элкомсофт» для восстановления доступа к зашифрованным данным и подбора паролей к защищённым документам (Windows и macOS, macOS Keychain, ZIP/RAR/RAR5, PDF, BitLocker/PGP/TrueCrypt/VeraCrypt). Продукты для мобильной криминалистики позволяют извлекать и расшифровывать данные как из физических устройств (мобильных устройств и персональных компьютеров), так и локальных резервных копий и облачных сервисов (Apple, Google и Microsoft).

Belkasoft Evidence Center X – средство цифровой криминалистики, позволяющее извлекать данные из компьютеров (Windows, macOS, Unix), устройств хранения данных (жёсткие и SSD-диски, съёмные устройства), образов дисков (EnCase, AD1, AFF4, L01/Lx01, DD, SMART, X-Ways, Atola, DAR, DMG, архивы), виртуальных машин (VMware, Virtual PC/Hyper-V, VirtualBox, XenServer), памяти (образы RAM, файлы гибернации и подкачки), файловых систем (APFS, FAT, exFAT, NTFS, HFS, HFS+, ext2, ext3, ext4), мобильных устройств (iOS, Android, Windows Phone 8/8.1, Blackberry), облачных сервисов Google (Google Drive, Google Sync, Google Keep, GMail, Google Timeline, Google MyActivity), а также Apple (iCloud), сервисов мобильной почты (Yahoo, Hotmail, Opera, Yandex, Mac.com и пр.), Instagram, WhatsApp, Carbonite.

X-Ways Forensics – еще один инструмент, позволяющий решать широкий спектр задач компьютерной экспертизы и обладающий рядом таких функций, как съем и восстановление данных, просмотр и анализ данных, поиск и индексирование, хэширование.



Forensic Toolkit или FTK – инструмент компьютерной криминалистики компании «AccessData», имеющая мощную систему поиска данных по ключевым словам на исследуемых ЭВМ, мобильных устройствах и съёмных носителях для их дальнейшей обработки и анализа экспертом.


Autopsy – бесплатное программное обеспечение, которое используется для криминалистических исследований цифровых носителей и мобильных устройств. В состав этого ПО входит, в том числе анализ файлов, поиск по ключевым словам, восстановление удаленной информации и др.

ДИСТРИБУТИВЫ НА ОСНОВЕ LINUX

Kali Linux – специализированный дистрибутив Linux, основанный на Debian и применяемый для проведения тестирования на проникновение, аудита безопасности и компьютерной криминалистики.



CAINE Linux – бесплатный дистрибутив Linux, вобравший в себя известные инструменты цифровой криминалистики, в состав которых входят, например, описанный выше Autopsy, NirSoft, а также PhotoRec, поддерживающий восстановление файлов, и др.



Не всегда на практике эксперт использует программы - швейцарские ножи цифровой криминалистики, существуют случаи, когда «нож» и «открывашку» быстрее, удобнее и целесообразнее применять отдельно. При таких случаях эксперт прибегает к помощи набора различного рода утилит, например, NirSoft. Список данных инструментов довольно-таки внушительный, в нём имеются полезные утилиты для отображения информации из журнала событий Windows, извлечения информации из истории браузеров, файлов кэша и cookie, обнаружения и расшифровывания паролей и др.

ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА
ПОИСКА И ВОССТАНОВЛЕНИЯ ДАННЫХ

PC-3000 – система компании «ACELab», которая предназначена для восстановления данных с исследуемых носителей и подразделяется на программно-аппаратные комплексы, применяющиеся в зависимости от типа носителя и поддерживаемого им интерфейса. Так при восстановлении данных с HDD-накопителей, RAID-массивов, flash-накопителей и SSD-накопителей в основном используется универсальный комплекс PC-3000 Portable III для восстановления данных на всех вышеперечисленных носителях.

Архивариус 3000 – программное обеспечение, предназначенное для поиска важных для исследования файлов по содержимому на ЭВМ и позволяющее мгновенно находить текстовые документы во всех популярных форматах после индексирования.

R-Studio – утилита для восстановления данных с исследуемых накопителей с различными файловыми системами. Функционал данного программного обеспечения позволяет анализировать данные на исследуемом носителе с целью нахождения информации о текущей и бывших файловых системах и восстановления файлов на её основе, а также производить поиск файлов по файловым сигнатурам в случаях, когда информация о файловых системах повреждена.

СПЕЦИАЛИЗИРОВАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
ДЛЯ АНАЛИЗА ПРОГРАММНОГО КОДА

В число экспертных задач, помимо поиска, извлечения и восстановления информации, входит также анализ программного кода. Для её решения экспертами используются:

  • WinMerge – для сравнительного анализа текстовых файлов, в том числе исходных кодов.

  • Microsoft Visual Studio – среда разработки для анализа проектов, построенных по технологии .NET.

  • Net Beans IDE – среда разработки для анализа исходных кодов на Java.

  • Android SDK для исследования мобильных приложений на соответствующей платформе.

Так, гражданские по своей природе приложения стоят на "вооружении" у судебной экспертизы.

ИСТРУМЕНТЫ И АППАРАТНЫЕ СРЕДСТВА

При проведении экспертиз закупленной в рамках 44-ФЗ оргтехники используется измерительное оборудование, имеющее сертификаты поверки, такое как: «ТКА-ПКМ»(02) - прибор комбинированного типа, применяемый для измерения освещённости и яркости (Люксметр + Яркомер); цифровой мультиметр серии DT890B+.

В рамках радиотехнической экспертизы для определения причин выхода из строя технического устройства (заводской брак или вмешательство пользователя) используются оптические приборы (цифровой микроскоп МСП - 1, увеличительные лупы и т.д.), специализированные инструменты (прецизионные отвертки, пинцеты, паяльная станция с термофеном LUKEY-702, лабораторный источник питания ELEMENT 1502D+, осциллограф цифровой UNI-T UTD2072CEX-II).

ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ФОНОСКОПИЧЕСКИХ ИССЛЕДОВАНИЙ

Помимо компьютерно-технического направления экспертами RTM Group проводятся исследования аудиозаписей голоса, звучащей речи и звуковой среды. В связи с этим считаем необходимым упомянуть программно-аппаратные средства, применяющиеся при таком роде экспертиз.

ИКАР Лаб I+ - программно-аппаратный комплекс группы компаний ЦРТ, использующийся для решения широкого спектра задач анализа звуковой информации. В состав данного комплекса входят: устройство ввода-вывода звуковых сигналов STC-H453, комплект для преобразования речи в текст Цезарь-Р, программное обеспечение для визуализации и анализа исследуемых звуковых сигналов SIS II, программное обеспечение для шумоочистки Sound Cleaner II.

Audacity – кроссплатформенное программное обеспечение, ориентированное на редактирование звуковой информации. В экспертной практике используется для анализа спектрограммы и дальнейшей идентификации звуков и речи.

ЗАКЛЮЧЕНИЕ

Подводя итог, можно сказать, что в распоряжении экспертов RTM Group находятся как практически универсальные инструменты компьютерной форензики, так и аппаратные и программные средства, применяющиеся в каждом конкретном случае. И в зависимости от стоящей перед экспертом задачи, он, руководствуясь своими специальными знаниями, может самостоятельно выбирать имеющиеся у него в доступе ПО и приборы, помогающие эффективно проводить экспертные исследования.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!