Форензика (англ. forensic science — судебная наука, судебная криминалистика) или компьютерная криминалистика — деятельность по раскрытию преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Форензика — подраздел криминалистики.
Термин «форензика» произошел от латинского «foren», что значит «речь перед форумом», то есть выступление перед судом, судебные дебаты. При заимствовании из английского языка слово сузило свое значение и русское понятие «форензика» означает не всю криминалистика, а именно компьютерную.
Предметами форензики являются:
- криминальная практика — способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;
- оперативная, следственная и судебная практика по компьютерным преступлениям;
- методы экспертного исследования компьютерной информации;
- достижения отрасли информационных технологий, их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия.
Форензика решает следующие задачи:
- разработка тактики оперативно-розыскных мероприятий и следственных действий, связанных с цифровой информацией;
- создание методов, аппаратных и программных инструментов для сбора и исследования доказательств;
- установление криминалистических характеристик правонарушений в сфере информационно-телекоммуникационных технологий.
Одним из мощных и доступных инструментов форензики является фреймворк Autopsy (официальный сайт), который используется для анализа и восстановления данных с цифровых носителей. Autopsy — это графический интерфейс The Sleuth Kit и других цифровых инструментов криминалистики с открытым исходным кодом, которые доступны по ссылке — https://github.com/sleuthkit/autopsy
Установка программы
1. Необходимо скачать установочный пакет для операционной системы Windows, Linux или OS X с официального сайта.
2. Выбрать один из вариантов установки (однопользовательский или многопользовательский режим).
3. Настроить антивирусное программное обеспечение так, чтобы он не препятствовал работе фреймворка.
4. При необходимости настроить ассоциацию для файлов расширения *.aut.
Для нормальной работы программы рекомендуется минимум 16 Gb оперативной памяти (в дальнейшем в программе можно настроить объем памяти, который будет задействован при работе).
Краткое руководство
Хранение данных в Autopsy организовано в виде кейсов (case). Каждый кейс (или дело) может иметь несколько источников данных, которые могут представлять собой образы жестких дисков, наборы логических файлов, подключенные физические устройства USB и т.д. Для создания нового кейса необходимо нажать «Create New Case» и ввести название кейса, а также его местоположение.
Добавление новых источников данных осуществляется по нажатию клавиши «Add Data Source». Необходимо выбрать тип источника данных и указать его местоположение.
Следующий шаг — выбор модулей анализа (Ingest Modules). Данные модули осуществляют анализ содержимого источника данных. Выбрать модули можно сразу, а можно и осуществить выбор других модулей и, соответственно, анализ данных в последующем. Чем больше модулей выбрано, тем дольше будет осуществляться анализ источников. В Autopsy могут использоваться встроенные модули или разработанные третьими лицами.
В стандартном наборе Autopsy доступны следующие модули:
- Recent Activity Module — извлекает активность пользователей, сохраняемую веб-браузерами (включая веб-поиск), установленными программами и операционной системой.
- Hash Lookup Module — модуль поиска Hash вычисляет значения хэша MD5 для файлов и ищет хеш-значения в базе данных, чтобы определить, является ли файл заметным, известным (общим), включенным в определенный набор файлов, или неизвестным.
- File Type Identification Module — модуль идентифицирует файлы на основе их внутренних подписей и не полагается на расширения файлов.
- Extension Mismatch Detector Module — использует результаты из файлов типа файла и файлы с флагами, которые имеют расширение, традиционно не связанное с обнаруженным типом файла, что позволяет обнаружить файлы, которые кто-то может скрывать.
- Embedded File Extraction Module — открывает ZIP, RAR, другие форматы архивов, Doc, Docx, PPT, PPTX, XLS и XLSX и отправляет полученные файлы из этих файлов обратно через конвейер ввода данных для анализа, что позволяет анализировать файлы внутри архивов.
- Picture Analyzer Module — модуль анализа изображений извлекает информацию EXIF (Exchangeable Image File Format), которая может содержать информацию о геолокации, времени и даты создания изображения, модели и настройках камеры. Модуль также преобразует изображения HEIC/HEIF в JPG, сохраняя при этом свою информацию EXIF, которая будет обрабатываться и сохраняться как для обычных изображений JPG.
- Keyword Search Module — модуль поиска ключевых слов.
- Email Parser Module — модуль идентифицирует файлы формата MBOX, EML и PST на основе файловых подписей, извлекая из них электронные письма.
- Encryption Detection Module — модуль обнаружения шифрования ищет файлы, которые могут быть зашифрованы с использованием как общего расчета энтропии, так и более специализированных тестов для определенных типов файлов.
- Interesting Files Identifier Module — модуль «Интересные файлы» позволяет автоматически помечать файлы и каталоги, соответствующие набору правил. Это может быть полезно, если необходимо проверить, находятся ли файлы с данным именем или путем в источнике данных, или вы заинтересованы в поиске файлов определенного типа.
- Central Repository — модуль позволяет пользователю находить артефакты в соответствии со свойствами, которые содержатся в базе данных свойств.
- PhotoRec Carver Module — модуль извлекает файлы из нераспределенного пространства в источнике данных и отправляет найденные файлы для анализа.
- Virtual Machine Extractor Module — модуль извлечения виртуальной машины добавляет любые виртуальные машины, которые он находит в источнике данных, в качестве новых источников данных.
- Data Source Integrity Module — модуль проверки целостности источника данных.
- DJI Drone Analyzer — модуль поиска и анализа данных дронов DJI.
- Plaso — фреймворк для запуска модулей для извлечения временных меток для различных типов файлов.
- Android Analyzer Module — позволяет анализировать SQLite и другие файлы с устройства под управлением операционной системы Android.
- GPX Analyzer — позволяют импортировать данные GPS из файла GPX.
- iOS Analyzer (iLEAPP) — позволяет анализировать данные устройств под управлением операционной системы iOS.
После выбора необходимых модулей запустится процесс анализа данных, который может занять продолжительное время. По окончанию анализа в рабочей области программы будут выведены результаты в виде дерева в левой области экрана и основной информации в правой.
Когда вы выбираете узел из дерева слева, список файлов будет показан в правой верхней области экрана. Вы можете использовать миниатюрный вид в правом верхнем углу, чтобы просмотреть фотографии. Когда вы выбираете файл в правой верхней области, его содержимое будет показано в правом нижней правой области. Вы можете использовать вкладки в правой нижней области для просмотра текста файла, изображения или hex-данных.
Если вы просматриваете файлы из узлов «Views and Results», вы можете щелкнуть правой кнопкой мыши на файле, чтобы перейти в его расположение файловой системы. Эта функция полезна, чтобы увидеть, что еще пользователь хранит в той же папке, что и файл, который вы сейчас просматриваете. Вы также можете щелкнуть правой кнопкой мыши по файлу, чтобы извлечь его в локальную систему. Если вы хотите искать отдельные ключевые слова, то вы можете использовать окно поиска в правом верхнем углу программы. Результаты будут показаны в таблице в правом верхнем углу. Вы можете пометить произвольные файлы, чтобы быстрее найти их позже или так, чтобы их можно было включить в конкретный отчет.
Дополнительные интерфейсы
Хронология
Функцию «Временная шкала» можно открыть из меню «Tools» на панели инструментов или кнопки «Timeline». Данная функция покажет вам файловую систему и другие мероприятия, организованные по времени их использования и/или запуска в различных способах отображения.
Фотогалерея
Интерфейс предназначен для отображения галереи фото- и видеоизображений из источника данных.
Геолокация
Панель геолокации показывает карту с маркерами для всех результатов найденных геолокации.
Подробное руководство по программе Autopsy доступно по ссылке — https://sleuthkit.org/autopsy/docs/user-docs/4.22.0/index.html