Преимущества и недостатки Belkasoft Evidence Center
Автор: Елизавета Иванова • Апрель 26, 2023 • Отчет по практике • 4,069 Слов (17 Страниц) • 229 Просмотры
Оглавление
- Autopsy 2
- Описание инструмента 2
- Начало работы и выбор типа источника данных 2
- Описание модулей и их выбор для получения нужной информации 4
- Получение необходимой информации 8
- Преимущества и недостатки Autopsy 9
- Belka Soft 11
- Описание инструмента и возможности 11
- Поддержка 11
- Начало работы и импорт образа диска 12
- Overview 15
- Case Explorer 15
- File System 18
- Registry Viewer 19
- Timeline 20
- Memory Inspection 21
- Преимущества и недостатки Belkasoft Evidence Center 22
- Сравнительная таблица 23
- Заключение 25
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 26
Autopsy
- Описание инструмента
Autopsy – графическая платформа библиотеки и набора утилит The Sleuth Kit цифровой криминалистики с открытым исходным кодом, позволяющая тщательно и быстро исследовать жесткие диски, собирать доказательную базу, восстанавливать улики и проводить расследование инцидентов информационной безопасности.
Данное решение является одним из самых популярных бесплатных инструментов цифровой криминалистики. Autopsy активно используется правоохранительными органами и корпоративными отделами безопасности.
- Начало работы и выбор типа источника данных
Работа в Autopsy начинается с создания нового проекта (New Case). После ввода названия проекта и каталога для его сохранения, а также, при желании, дополнительной информации, нам предлагается выбрать тип источника данных. (Рис. 1)
[pic 1]
Рисунок 1 – выбор типа источника данных в Autopsy
Autopsy предлагает выбрать из следующих источников данных:
- Disk Image or VM file. Данный тип источника данных работает с образами жестких дисков, файлами виртуальных машин, а также с файлами, содержащими копии ssd дисков.
- Local Disk. Работает с локальными дисками, USB – накопителями и картами памяти.
- Logical files. Третий тип источника данных подразумевает взаимодействие с образами локальных файлов и каталогов.
- Unallocated Space Image File. Данный параметр включает файлы неразмеченных дисковых областей.
- Autopsy Logical Imager Results. Работает с результатами компонента Autopsy
– Logical Imager, который создает VHD файл, содержащий всю информацию, считанную с файловой системы.
- XRY Text Export. Взаимодействие с результатами экспорта текстовых файлов из формата XRY. XRY. – формат данных, полученных с мобильного телефона и используемый для судебных экспертиз.
После выбора типа источника данных необходимо указать путь к самому источнику данных. Также выбираем размер сектора, временную зону и по желанию можно добавить хэш значения.
- Описание модулей и их выбор для получения нужной информации
Далее выбираем необходимые параметры модулей Ingest, с которыми мы будем работать (Рис. 2).
[pic 2]
Рисунок 2 – доступные модули в последней версии Autopsy 4.19.3
- Recent Activity Module – модуль извлекает недавнюю активность пользователей, например недавно просмотренные файлы, веб запросы, загрузки, закладки браузера, файлы cookie, предоставляет информацию о подключениях USB – устройств, о данных корзины, об установленных программах и их запусках.
- Hash Lookup - модуль вычисляет хэш-значения MD5 для и ищет хэш-значения в базе данных известных файлов, чтобы определить, является ли файл
известным. Это дает возможность серьезно ускорить работу с образами, так как известные файлы операционных систем не проверяются. Для работы данного модуля необходимо добавить базу хэшей, поддерживается огромная база NIST NSRL, которая содержит хэши известных файлов Windows/PC,Android, iOS.
- File Type Identification – идентифицирует файлы, пользуясь не их расширениями, а их внутренними подписями (signatures). Autopsy использует библиотеку Tika, (обнаруживает и извлекает метаданные и текст из более чем тысячи различных типов файлов). Может быть гибко настроено пользователем правилами.
- Extension Mismatch Detector -модуль, используемый для определения файлов, расширения которых были подделаны или изменены в попытке скрыть улики. Недостатком модуля являются многочисленные ложные срабатывания, к примеру резервные копии файлов часто получают расширение “.bak”. Однако, данный модуль настраиваемый и позволяет выбрать необходимые расширения файлов, игнорируя другие.
- Embedded File Extraction -модуль используется для извлечения файлов ZIP, RAR и файлов других форматов архивов, а также Doc, Docx, PPT, PPTX, XLS и XLSX и позволяет проводить их последующий анализ.
- Picture Analyzer– модуль взаимодействует с EXIF данными (дополнительная служебная информация, описывающая изображения и медиафайлы). К примеру, позволяет получить информацию об авторстве, комментарии, технические параметры снимка, информация о камере, на которую проводилась съемка и пр.
- Keyword Search Module – модуль поиска по ключевым словам. Он извлекает текст из различных поддерживаемых типов файлов и проводит по ним поиск по: конкретному слову, email адресам или регулярным выражениям. Поддерживает различные текстовые форматы файлов, электронную почту, PDF- файлы (с использованием не очень точного OCR) и пр.
- Email Parser Module – Модуль Email Parser идентифицирует файлы Thunderbird MBOX и файлы формата PST на основе сигнатур файлов, извлекает из них электронные письма и добавляет результаты в Blackboard. Этот модуль пропускает известные файлы и создает артефакт Blackboard для каждого сообщения. BlackBoard позволяет модулям взаимодействовать и сохранять
результаты. Разные модули могут видеть информацию добавленную в Blackboard от всех модулей.
...