Преимущества и недостатки Belkasoft Evidence Center

Оглавление

1. Autopsy        2

1. Описание инструмента        2
2. Начало работы и выбор типа источника данных        2
3. Описание модулей и их выбор для получения нужной информации        4
4. Получение необходимой информации        8
5. Преимущества и недостатки Autopsy        9

1. Belka Soft        11

1. Описание инструмента и возможности        11
2. Поддержка        11
3. Начало работы и импорт образа диска        12
4. Overview        15
5. Case Explorer        15
6. File System        18
7. Registry Viewer        19
8. Timeline        20
9. Memory Inspection        21
10. Преимущества и недостатки Belkasoft Evidence Center        22

1. Сравнительная таблица        23
2. Заключение        25

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ        26

1. Autopsy

1. Описание инструмента

Autopsy – графическая платформа библиотеки и набора утилит The Sleuth Kit цифровой криминалистики с открытым исходным кодом, позволяющая тщательно и быстро исследовать жесткие диски, собирать доказательную базу, восстанавливать улики и проводить расследование инцидентов информационной безопасности.

Данное решение является одним из самых популярных бесплатных инструментов цифровой криминалистики. Autopsy активно используется правоохранительными органами и корпоративными отделами безопасности.

1. Начало работы и выбор типа источника данных

Работа в Autopsy начинается с создания нового проекта (New Case). После ввода названия проекта и каталога для его сохранения, а также, при желании, дополнительной информации, нам предлагается выбрать тип источника данных. (Рис. 1)

[pic 1]

Рисунок 1 – выбор типа источника данных в Autopsy

Autopsy предлагает выбрать из следующих источников данных:

1. Disk Image or VM file. Данный тип источника данных работает с образами жестких дисков, файлами виртуальных машин, а также с файлами, содержащими копии ssd дисков.
2. Local Disk. Работает с локальными дисками, USB – накопителями и картами памяти.
3. Logical files. Третий тип источника данных подразумевает взаимодействие с образами локальных файлов и каталогов.
4. Unallocated Space Image File. Данный параметр включает файлы неразмеченных дисковых областей.
5. Autopsy Logical Imager Results. Работает с результатами компонента Autopsy

– Logical Imager, который создает VHD файл, содержащий всю информацию, считанную с файловой системы.

1. XRY Text Export. Взаимодействие с результатами экспорта текстовых файлов из формата XRY. XRY. – формат данных, полученных с мобильного телефона и используемый для судебных экспертиз.

После выбора типа источника данных необходимо указать путь к самому источнику данных. Также выбираем размер сектора, временную зону и по желанию можно добавить хэш значения.

1. Описание модулей и их выбор для получения нужной информации

Далее выбираем необходимые параметры модулей Ingest, с которыми мы будем работать (Рис. 2).

[pic 2]

Рисунок 2 – доступные модули в последней версии Autopsy 4.19.3

1. Recent Activity Module – модуль извлекает недавнюю активность пользователей, например недавно просмотренные файлы, веб запросы, загрузки, закладки браузера, файлы cookie, предоставляет информацию о подключениях USB – устройств, о данных корзины, об установленных программах и их запусках.
2. Hash Lookup - модуль вычисляет хэш-значения MD5 для и ищет хэш-значения в базе данных известных файлов, чтобы определить, является ли файл

известным. Это дает возможность серьезно ускорить работу с образами, так как известные файлы операционных систем не проверяются. Для работы данного модуля необходимо добавить базу хэшей, поддерживается огромная база NIST NSRL, которая содержит хэши известных файлов Windows/PC,Android, iOS.

1. File Type Identification – идентифицирует файлы, пользуясь не их расширениями, а их внутренними подписями (signatures). Autopsy использует библиотеку Tika, (обнаруживает и извлекает метаданные и текст из более чем тысячи     различных     типов      файлов).      Может      быть      гибко настроено пользователем правилами.
2. Extension Mismatch Detector -модуль, используемый для определения файлов, расширения которых были подделаны или изменены в попытке скрыть улики. Недостатком модуля являются многочисленные ложные срабатывания, к примеру резервные копии файлов часто получают расширение “.bak”. Однако, данный модуль настраиваемый и позволяет выбрать необходимые расширения файлов, игнорируя другие.
3. Embedded File Extraction -модуль используется для извлечения файлов ZIP, RAR и файлов других форматов архивов, а также Doc, Docx, PPT, PPTX, XLS и XLSX и позволяет проводить их последующий анализ.
4. Picture Analyzer– модуль взаимодействует с EXIF данными (дополнительная служебная информация, описывающая изображения и медиафайлы). К примеру, позволяет получить информацию об авторстве, комментарии, технические параметры снимка, информация о камере, на которую проводилась съемка и пр.
5. Keyword Search Module – модуль поиска по ключевым словам. Он извлекает текст из различных поддерживаемых типов файлов и проводит по ним поиск по: конкретному слову, email адресам или регулярным выражениям. Поддерживает различные текстовые форматы файлов, электронную почту, PDF- файлы (с использованием не очень точного OCR) и пр.
6. Email Parser Module – Модуль Email Parser идентифицирует файлы Thunderbird MBOX и файлы формата PST на основе сигнатур файлов, извлекает из них электронные письма и добавляет результаты в Blackboard. Этот модуль пропускает известные файлы и создает артефакт Blackboard для каждого сообщения. BlackBoard позволяет модулям взаимодействовать и сохранять

результаты. Разные модули могут видеть информацию добавленную в Blackboard от всех модулей.