3.1. Обзор программного обеспечения для исследования содержимого жесткого диска

Вы - счастливый обладатель компьютера. Вы - директор фир­мы, бухгалтер; человек, хранящий на своем рабочем или домашнем компьютере важные данные - счета, договоры и прочее. Быть может, Вы - студент или подросток, ради развлечения взломавший сайт банка или фирмы.

Они - конкуренты, государственные спецслужбы (необязатель­но Вашей страны) или просто воры (торговцы информацией). Они изъяли или украли Ваш компьютер либо просто скопировали ин­формацию с Ваших рабочих дисков. Вся информация им не нужна, нужна лишь небольшая часть. Ровно столько, чтобы можно было предъявить Вам обвинение в денежных махинациях, хранении неза­конных материалов, хищении информации, может, просто для того, чтобы знать, что известно Вам. Этой информации может хватить для шантажа или нанесении Вашей фирме существенного ущерба.

Может, все по-другому. Они - это люди, распространяющие письма с угрозами, взломавшие сайт и шантажирующие владельцев. Лица, бессовестно эксплуатирующие детей. Торговцы наркотиками или мошенники. Те у кого на жестком диске есть информация, пусть не вся, пусть крупицы, которые помогут воздать им по их заслугам.

Вы - эксперт-криминалист, сотрудник безопасности фирмы. Че­ловек которому нужно что-то найти в огромном массиве данных.

Как это делается?

1. Снимается, так называемый побайтный образ диска. Посколь­ку существует риск что-то случайно удалить, есть практика допол­нительной (независимой) экспертизы, так как суд в качестве веще­ственных доказательств принимает только оригинал, то очень важно быть уверенным что информация не претерпела изменений.

2. При помощи чего снимается образ диска? Как ни странно такие распространенные программы, как Drivelmage (Power Quest) и Norton Ghost, практически не используются. Образ жесткого дис­ка делается такими допотопными программами (с точки зрения пользователя Windows) под DOS, как SafeBack (может кто-то пом­нит anadisk, teledisk, copyQM) - это их прямой родственник. Сей­час выпускается фирмой NewTechnologies Inc. (www.forensics-intl. com). SnapBack Datarrest (www.snapback.com) и некоторые другие менее популярные (LISA2, Replica, Byteback, Media tools). Доста­точно широко используется утилита dd (Unix, Linux).

Весьма популярен, хотя некоторые его критикуют, способ созда­ния образа при помощи Encase [windows/dos] (www.guidancesoftware. com). Для Windows есть отличная утилита FTK Imager (Explorer), которая входит в состав Accessdata Forensic Toolkit (www.accessdata. com), ее возможности будут рассмотрены ниже. Пытается завоевать свою нишу Paraben Forensic Replicator (www.paraben-forensics.com). Кроме того, используют WinHex и dd for Windows. Существует ряд аппаратных средств, наиболее распространенных, - это продукция ICS-IQ(www.ics-iq.com). Необходимо знать, что образы создаются либо как чистый образ (bit-copy), либо с дополнительной информа­цией (bit-copy.plus), например пароль, номер, дата создания и так да­лее. Для подсчета контрольной суммы жесткого диска используются встроенные функции программ, либо утилиты Secure Hash Signature Generator (DOS/Windows), chksum(DOS), DiskSigPro (DOS) и др.

Encase ГСкриншот 65к] (www.guidancesoftware.com) - один из старожилов рынка, продукт весьма интересный и достойный. Про­грамма размером около двух мегабайт, а вот руководство пользовате­ля около 10, не говоря о дополнительной документации.

С помощью Encase можно создать образ диска (HDD, CD), можно подключить и исследовать образ в raw-формате с последующим вос­становлением при надобности.

Также на сайте есть несколько бесплатных утилит различного назначения. NetAnalysis - по сути тот же офлайн-браузер, только бо­лее продвинутый (в комплект входит программка hstex для извле­чения файлов с образа или диска). Включены подсчет контрольной суммы, дата записи, последнего доступа, декодировка cookies и так далее. NetAnalysis создавался как продукт расширяющий возможно­сти пользователей Encase, поэтому в поставку входит Enscript, позво­ляющий извлекать файлы из образа или диска при работе с Encase.

Для просмотра графики используются разные программы, такие, как ACDSee, ThumbsPlus. Из необычного стоит отметить Pictuate ГСкриншот 69kl (www.oictualitv.com). Работает быстро и наглядно, хотя аналогов ему достаточно.

Очень широко используются всевозможные hex-редакторы (фа­ворит, конечно, WinHex). Фирма Crocware (www.crocware.com) (из­вестна как производитель программы Recover My Files) выпустила программу MountImage Pro, позволяющую смонтировать образ дис­ка как логический диск со всеми вытекающими возможностями.

Те, кто работает с Adobe Photoshop, знают, насколько удобна ра­бота с plugin, в Encase тоже существуют plugin, называются enscript. На сайте производителя есть приличная подборка Enscript, позво­ляющая автоматизировать процесс или расширить функциональ­ность, если есть желание Enscript можно написать и самому под свои собственные нужды. Из недостатков самый главный - цена. Не хватает также поддержки работы с архивами и необходимо рас­ширить возможности просмотра файлов (можно указать программу как Quickview plus или Thumbsplus, но это не всегда удобно), также следует обратить внимание на то, что в настройках для File Signatere Header иногда указаны только расширения, а не HEX,Unicode и GREP Expression, поэтому придется набирать вручную.

Accessdata Forensic Toolkit (www.accessdata.com) - достаточно новый продукт (для многих accessdata известна как производитель Password Recovery Toolkit), состоит из двух автономных частей FTK Imager (FTK Explorer) и непосредственно самого FTK.

За дополнительную плату можно приобрести Password Recovery Toolkit и Accessdata Registry Viewer (для работы с реестром Windows), которые интегрируются с FTK и при надобности запускаются авто­матически.

FTK Imager - одна из лучших программ для работы с образами жестких дисков. Позволяет создать образ в формате Encase (*.E01), Smart Image (*.s01) или просто в raw uncompressed (*.dd,*.ima), а также просматривать ( с возможностью экспорта) файлов и созда­нием контрольной суммы (md5,sha-1) и конвертировать образы сле­дующих форматов: encase *.e01, icsimage file *.i01, safeback *.001, winimage *.ima, smat image *.s01, vmdk virtual drive *.vmdk, ghost raw image *.gho. Очень удобная утилита для быстрого просмотра и ана­лиза, благодаря технологии Outside In® Viewer Technology просма­тривает файлы наиболее распространенных форматов - MS Office, zip, graphic. Файлы можно просмотреть в оригинальном формате или в HEX, TEXT на выбор, если файл зашифрован выводится со­общение (для файлов офиса, zip, pdf).

Для анализа используют собственную базу KFF, куда импор­тируют hash set. В настройках можно указать не показывать файлы OS, или другие известные, что значительно облегчает работу. Кроме того, показываются дублированные, архивированные, шифрован­ные, файлы с неверным расширением и так далее. Все это можно вывести в отдельном окне. В общем созданы широкие возможно­сти для каталогизации. Хорошо реализована работа с zip архивами: [Скриншот 56k].

FTK позволяет оценить содержимое без распаковки, не требует дополнительных программ для просмотра (Quick view, Thumbsplus) и самостоятельно показывает содержимое почтовых баз. Возможны любые манипуляции с вложениями, плюс максимум информации, которую только можно получить. Таким образом отпадает необходи­мость в программах типа MailBag Assistant или его более функцио­нального клона Paraben e-mail examiner. ГСкриншот 43k].

Для анализа можно выбирать как диск, так и образ, отдель­ный файл или папку. Поддерживает следующие файловые системы windows (FAT/12/16/32, NTFS), linux(ext2/ext3), но не позволяет ра­ботать со сжатыми (DoubleSpace, DriveSpace) дисками. Отчет про­грамма создает такой, что о нем самом можно статью написать - не отчет, а презентация. По нашему мнению, у программы большое будущее и она достойный конкурент encase, большие возможности и весьма ощутимая разница в цене. Немного портит впечатление ор­ганизация работы с hash set, складывается мнение, что для програм­мы есть только черное и белое - никаких полутонов. Файлы опре­деляются либо как безопасные, либо как потенциально опасные, комментариев нет, просто выделяются красным цветом.

ProDiscover ГСкриншот 42kl (www.techoathwavs.com) Еще со­всем недавно существовала только версия Prodiscover DFT. Сейчас линейку расширили, но разница (кроме цены) небольшая. Конечно необходимый минимум для работы в программе присутствует, но для полного анализа все равно понадобится дополнительный софт. Программа может работать как с диском, так и с образом, также по­зволяет работать в сети. Для создания образа используется собствен­ный формат (больше никем не поддерживается). Если вы хотите подключить raw image, вам придется его переименовать (image.raw (*.ima,*.01,*.dd) в image.eve), иначе программа его не опознает, дру­гие форматы образов диска не поддерживаются.

Образ создается корректно и соответствует принятой в этом классе спецификации (www.cftt.nist.gov) Возможна проверка фай­лов по File signature header и hash set (Hashkeeper format), но резуль­тат отображения можно признать неудовлетворительным. Хорошо развита навигация по кластерам и присутствует фирменная техно­логия HPA. При работе с программой создается впечатление, что это какой-то продвинутый hex-редактор. Можно посмотреть на сайте историю версий, и многие вопросы отпадут (хотя могут и возник­нуть, к примеру о соответствии возможностей и цены). Программа проигрывает по сравнению с Encase и FTK.

DIBS® Analyzer 2 (DANA2) www.dibsusa.com. Интересная про­грамма, которую можно сравнить с Prodiscover, но не в пользу DANA2. Имеет несколько подключаемых модулей (называются satellite), в ком­плекте присутствует пара утилит для блокировки доступа в режиме записи на диск Diblock.exe (DOS) и Diblockw.exe (Windows), но функ­циональность их весьма сомнительна. Блокировку можно сделать простым изменением реестра и к тому же бесплатно.

Ilook Investigator ГСкриншот 77kl (www.ilook-forensics.org) - интересный продукт, распространяется бесплатно и только работ­никам правоохранительных органов. В последней версии заявлена полная переработка кода программы, предложен ряд новых возмож­ностей и выделение в отдельный продукт компонента Iximager - программы для создания образов диска.

По количеству функций сравним с Encase и FTK, с помощью которого можно создать образ, смонтировать его, проверить фай­лы по hash set file signature header (все с возможностью добавления, редактирования). Несколько неудобен интерфейс. Удручают неко­торые моменты, не относящиеся к самой программе - это скудная информация на сайте, отсутствие демо-версий, а более всего невоз­можность попасть на форум пользователей, не будучи официальным пользователем.

Maresware Forensic Suite (www.maresware.com) - великолепный набор для тех, кто привык все делать в командной строке. Существуют версии как под DOS/Windows, так и под Linux/Solaris. Все, что можно сделать в командной строке присутствует. Для каждой утилиты су­ществует набор команд, но краткие возможности таковы - создание и восстановление образа, подсчет и сравнение контрольных сумм, проверка по hash sets, file signature header, поиск по многим параме­трам, включая ADS для NTFS, определение файлов PGP и многое- многое другое. Каждая из утилит хороша, и как отдельный продукт, и в наборе. Можно скачать программы с сайта и просто попробовать.

Не всегда есть надобность использовать многофункциональные программы, или просто их возможностей не хватает, в таком случае применимы:

Для исследования электронной почты - Paraben E-mail Examiner (www.paraben-forensics.com) несколько измененный MailBag Assistant (www.fookes.com). Из нововведений добавлена функция подсчета md5, расширен список поддерживаемых форматов (вклю­чая AOL), хорошо организован отчет.

Network E-mail Examiner (www.paraben-forensics.com) Приме­няется для исследования почтовых баз MS Exchange (файлы *.edb) и Lotus Notes(файлы *.nsf).

Paraben Forensic Sorter предназначен для автоматической сорти­ровки фалов по группам, но работает только с диском или с образом, созданным Forensic Replicator, использует для работы собственную базу hash set (FOCH), не совместимую с hashkeeper и NSRL RDS. Процесс полностью автоматизирован, и на выходе можно получить только сгруппированные файлы.

2. Для просмотра содержимого электронной почты использует­ся NetAnalysis ГСкоиншот 56k! (www.digital-detective.co.uk). также на сайте есть несколько бесплатных утилит различного назначения. NetAnalysis - по сути тот же офлайн-браузер. только более продви­нутый (в комплект входит программка hstex для извлечения файлов с образа или диска). Включены - подсчет контрольной суммы. дата записи. последнего доступа. декодировка cookies и так далее. что по­лезно специалистам. NetAnalysis создавался как продукт расширяю­щий возможности пользователей Encase. поэтому в поставку входит Enscript. позволяющий извлекать файлы из образа или с диска при работе с Encase.

Для просмотра графики используются разные программы. та­кие. как ACDSee. ThumbsPlus. Из необычного стоит отметить Pictuate ГСкоиншот 69k! (www.oictualitv.com). Работает быстро и наглядно. хотя аналогов достаточно.

Очень широко используются всевозможные hex-редакторы (фа­ворит. конечно. WinHex). Фирма Crocware (www.crocware.com) (из­вестна как производитель программы Recover My Files) выпустила программу MountImage Pro. позволяющую смонтировать образ дис­ка как логический.

3. Для того чтобы просмотреть файлы офиса (*.doc.*.xls) при­меняется Metadata Assistant ГСкоиншот 69k (www.oavneconsulting. com)]. который показывает полную структуру документа. включая последних авторов. ссылки и так далее.

Программы. описанные в этом обзоре используются не всегда. Если ситуация разовая и тем более объем данных невелик. их можно заменить другим софтом. а когда объем большой и постоянный. то получать данные лучше при помощи указанных программ.

Нами не ставилось задачи раскрыть все особенности представ­ленных программ. хотелось отметить. что такие программы есть и некоторые могут пригодиться не только криминалистам. Если ваш ПК попал к специалистам. то они получат необходимую инфор­мацию. Не обязательно включать ваш компьютер - можно сделать образ (восстановить его на другой диск) и то. что не было удале­но. будет обнаружено. Многие программы поддерживают работу в сети. и следовательно. образ сделают с работающей системы. где есть файл подкачки. Если при анализе жесткого диска выявляются программы для стеганографии, то будут использовать программы stegdetect, Gargoyle, или просто проверят ими. Даже удаленные (без возможности восстановления) файлы могут что-то сказать, некото­рые программы для удаления файлов некорректно работают с NTFS, или оставляют имена файлов. К примеру если осталось имя файла cookies (пускай сам файл забит нулями или другой информацией) user@microsoft.com, то уже можно сделать вывод, что пользователь ПК user посещал сайт Microsoft, особенно это важно, когда на ПК несколько пользователей с разными именами. Многое зависит от по­ставленной задачи, хороший специалист сможет получить необходи­мую информацию.

Есть несколько юридических тонкостей. По условиям лицен­зионного соглашения демонстрационные программы могут ис­пользоваться только в ознакомительных целях и все что выявлено в результате их работы не может являться доказательством. Суды так же принимают в качестве доказательств только оригиналы поэтому если с жестким диском что-то случилось (файлы изменены, удалены и так далее), информация искажается, кроме того существует опера­тивный интерес (1.2.1).