Oprogramowanie

Wykonywanie zawodu informatyka śledczego wymaga specjalistycznego oprogramowania. Co prawda istnieje wiele dobrych narzędzi open source, jak Sleuth Kit i Autopsy to w praktyce nie obędzie się bez pakietu komercyjnego. Zwykle w większość pracy wykonywana jest właśnie w pakiecie komercyjnym mocno posiłkowanym hordą pomniejszych aplikacji.

Wielka trójka

W chwili obecnej rządzi wielka trójka – Encase, FTK i X-ways Forensics.

Encase Forensics – historycznie pierwszy pakiet dlatego ciągle uznawany za synonim analizy śledczej. EnCE jest najbardziej rozpoznawalnym certyfikatem a format E01 najbardziej powszechnym typem obrazu dysku. Encase, jako oprogramowanie jest bestią bardzo nieintuicyjną i trudną w obsłudze. Wszystko zorganizowane jest w dosyć niestandardowy sposób, jest on więc bardzo trudny w obsłudze nie tylko dla początkujących ale i dla tych pracujących z nim na co dzień.  Dopiero po dłuższym, można nawet powiedzieć kilkuletnim doświadczeniu zaczynamy się z nim czuć pewnie. Coś w rodzaju zabytkowego samochodu – żeby ruszyć trzeba pokręcić korbką tutaj, włączyć ssanie tam, stuknąć w paru miejscach, upewnić się że bagaż nie jest zbyt ciężki – a chciałoby się nacisnąć po prostu gaz. Kilka lat temu Guidance Software wprowadziło Encase 7 – przebudowano interfejs i ideę pracy. Krok podobny do tego gdy AccessData przeszło na FTK 2.0. Skutki są podobne – interfejs jest ciągle niestabilny i wielu klientów woli używać starszej wersji 6.

Forensic Toolkit (FTK) – wyróżnia się tym, że w skład pakietu oprócz głównego programu, wchodzi również PRTK, Registry Viewer i FTK Imager – programy do łamania haseł, analizy rejestru i śledczego kopiowania dysku. Ten ostatni jest dostępny i tak za darmo ale pozostałe to niezły dodatek. Problemem jest że PRTK i Registry Viewer nie widziały dobrego uaktualnienia od ponad 5 lat. Wygląda na to że Access Data stracił bazę deweloperów i jest w stanie uaktualnić tylko niektóre elementy. FTK jest programem dosyć łatwym i intuicyjnym w użyciu. Każdemu początkującemu polecam zacząć od zrobienia certyfikatu ACE, a przynajmniej obejrzenia na YouTube programów szkoleniowych. Dużo funkcji, choć nie wszystkie działają jak powinny, ale to już norma wśród oprogramowania śledczego. FTK przeszedł gruntowną przebudowę pomiędzy wersją 1 i 2 kilka lat temu. Wersja 2 była wieszającym się koszmarkiem, wersja trzecia zaczęła być użyteczna. Obecnie wersja 5 zachowuje się całkiem nieźle. Jak widać FTK goni wersjami swojego starszego brata Encase’a – jeszcze tylko trochę i będzie wersja 7.

X-ways Forensics – dwa poprzednie pakiety są amerykańskie, natomiast X-ways niemiecki. Różnicę widać od razu – Amerykanie stawiają na marketing a Niemcy na funkcjonalność. Droga genealogiczna X-waysa rozpoczyna się od edytora szesnastkowego WinHexa. Również to widać od razu. Dostęp do danych na niskim poziomie jest dużo bardziej funkcjonalny. Program jest też dużo szybszy w trakcie przetwarzania oraz szybszy w obsłudze. Do interfejsu trzeba się przyzwyczaić. Jest skomplikowany, ale po jakimś czasie okazuje się szybki i intuicyjny. Jest też dużo tańszy niż dwa pozostałe – kosztuje około 1000 EURO podczas gdy Encase lub FTK ponad 3.000 USD.

Możliwe jest wykonanie analizy bez powyższych pakietów ale wiele czynności które są w pełni zautomatyzowane w pakietach zajęłoby nam tygodnie pracy bez nich. Samo rozpakowanie wszystkich archiwów na nośniku to ciężka robota – kilkanaście formatów- zipy, rary, tary, 7-zipy, archiwa wewnątrz innych archiwów, archiwa przesłane mailem. Na początku wydaje się proste ale w praktyce już nie tak bardzo. Potrzebny jest jeden z powyższych programów a najlepiej dwa.

Podczas używania któregokolwiek należy pamiętać jednak o tym, że program niekoniecznie będzie prawidłowo wypełniał wszystkie funkcje opisane przez producenta. Bugi i wieszanie się są w miarę częstym zjawiskiem dla wszystkich trzech. Nie jest aż tak źle jak kilka lat temu, ale ciągle daleko do ideału. Jest to jedną z przyczyn dlaczego zwykle potrzebne są dwa pakiety. Można dzięki temu porównać rezultaty w razie wątpliwości.

Warto jeszcze wspomnieć o najnowszej wersji darmowego programu Autopsy. Nie opiera się on, na przeglądarce, tak jak dawniej tylko na normalnym interfejsie. Efekt jest całkiem niezły. Polecam instalację. Brakuje jeszcze trochę do programu komercyjnego ale funkcjonalność jest na tyle dobra, że można używać Autopsy jako dodatkowego programu do sprawdzania wyników lub jako programu do nauki.

Łamacze haseł

W przypadku FTK, oprogramowanie do łamanie haseł jest w pakiecie (PRTK). W pozostałych przypadkach będziemy musieli zakupić je z odrębnego źródła. Pamiętać jednak należy, że nie da się kupić PRTK osobno bez całego pakietu FTK.

Główni gracze to:

  • Passware – firma chyba amerykańska. Łamie wiele rodzajów haseł. Dla niektórych z nich jest w stanie używać karty graficznej co wielokrotnie przyśpiesza łamanie. Pozwala na kolejkowanie wielu plików na raz. Tabele tęczowe niedostępne w programie – płatne osobno za każdy plik wysłany na ich serwer.
  • Elcomsoft – firma rosyjska. Również wiele typów haseł i wsparcie dla karty graficznej. Ostatnio testowany, nie miał jeszcze kolejkowania plików. Dodatkowo możliwy zakup tabeli tęczowych.

Cena w zależności od licencji. Przyzwyczajmy się, że wszystko z “Forensics” w nazwie kosztuje od 1000 USD w górę.

Pakiety internetowe

Kolejną przydatną grupą oprogramowania są pakiety analizujące historię internetową wzbogacane często wsparciem dla wielu innych artefaktów.

Główni gracze to:

  • Magnet Forensics Internet Evidence Finder oraz
  • Siquest Internet Examiner

Obydwa pomogą zautomatyzować wiele procedur, które normalnie wymagałyby dłuższej analizy. Cena dosyć wysoka – 1000-2000 USD

Pozostałe

Istnieją setki a może nawet tysiące programów, które mogą wspomóc analizę śledczą. Niektóre zostały stworzone do analizy, inne są oprogramowaniem do innych zadań.

Poniżej przedstawiam te, o których istnieniu należy pamiętać: (wszystkie są darmowe):

  • RegRipper – analiza rejestru z linii poleceń.
  • Programy Nirsoft.
  • Programy SysInternals.
  • Notepad+ ze znajomością używania REGEX-u czyli wyrażeń regularnych.
  • Programy do wirtulizacji – Virtual Box, VmWare.
  • HashDeep, MD5Deep..
  • Linuksy: Paladin, SIFT, Ophcrack,Kali.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *