�Створення образів��
The project has been funded by the European Commission. The Education, Audiovisual and Culture Executive program (EACEA), TEMPUS IV. The content of this presentation reflects the opinion of the author.
2
Модель цифрового дослідження
3
Дії з боку правоохоронних органів або їх структурних підрозділів не повинні змінювати дані на комп’ютері чи носії, які згодом можуть бути використані в суді.
Розслідування тільки (по можливості) на копії.
Збереження оригіналу від знищення.
Докази, подані до суду, мають бути повними та незмінними
Увімкнення повторного дослідження
– Перевірте іншим інструментом
Захист хоче повторити процедуру
Методи: - Контрольна сума, хешування, цифровий підпис, мітки часу
Основні принципи цифрової криміналістики: Цілісність
4
Блокування запису
Методи захисту:
– Апаратний захист
• Перемикання в режим лише для читання, блокування вкладок, захищені від запису пристрої зберігання
– Програмний захист
- Виробники: Tableau, WiebeTech, LogiCube, etc.
5
Існує багато форматів зберігання доказів :
Пристрій для образу
Сектор 0
Останній сектор
Усі сектори будуть зображеннями в одному або кількох файлах (якщо вони розділені)
- Raw (dd)
- Raw with external hash values (dcfldd)
- EnCase Forensic Evidence File (EWF/EVF)
- ILook Investigator IDIF, IRBF and IEIF
- DIBS USA Rapid Action Imaging Device (RAID)
- ProDiscover Image File Format
- PyFlag Seekable GZIP (sgzip)
- SafeBack
- Turner’s Digital Evidence Bags (DEB)
- Advanced forensic format (AFF, AFF4)
6
Метадані
7
Одним із найважливіших етапів створення криміналістичного зображення є документування.
Золоте правило криміналістики: ви ніколи нічого не торкаєтеся, не змінюєте чи змінюєте, доки це не буде задокументовано.
Є деякі основи, які завжди слід документувати:
Документація
Справа:
Використане обладнання (Марка, модель, мікропрограма, серійний номер)
Використане програмне забезпечення (розповсюджувач, версія)
Назва/номер справи
П.І.Б. дослідникаІдентифікація доказів
Короткий опис справи
Докази (джерело)
Тип
Модель
Інтерфейс
Серійний номер
Ємність
Короткий опис доказів
Хеш-значення MD5 / SHA1
8
Зберігання (призначення)
У більшості випадків ви створюєте образ на спеціальному жорсткому диску, який використовуватиметься під час розслідування. Однак можна також використовувати централізоване рішення для зберігання (наприклад, NAS) для зберігання ваших зображень під час розслідування. У цих випадках ви захочете задокументувати особливості цього рішення для зберігання.
Документація
Зображення
Використане програмне/апаратне забезпечення
Назва/ідентифікатор джерела
Назва/ідентифікатор місця призначення
Час початкуКінцева позначка часу
Хеш-значення
9
Хеш-значення / контрольна сума
Загалом зображення зберігається з хеш-значенням, що включає дані.
Цим можна керувати за допомогою окремого файлу (якщо зроблено dd) або його включено до зображення (ewf).
Перед початком аналізу слід перевірити хеш-значення.
Таким чином ви можете перевірити цілісність і довести в суді відсутність маніпуляцій з вилученими даними.
Найважливішою частиною документації є хеш-значення. Хеш-значення можна розглядати як відбитки пальців для цифрових доказів. Вміст накопичувача обробляється за допомогою криптографічного алгоритму, і створюється унікальне числове значення (хеш-значення). Якщо ваша копія була хоч трохи змінена, цінність вашої судової копії не відповідатиме цінності доказів.
Без хеш-значення підозрюваний міг би стверджувати, що хтось підробив докази, а викривальні докази було підкинуто. Хеш-значення також надає досліднику простий спосіб перевірити, чи копія на 100% ідентична оригіналу. Ось чому хеш-значення так важливо документувати та перевіряти
10
RAW (dd) Формат
Цей формат найчастіше використовується в Linux.
Linux використовує команду «dd», щоб отримати формат Raw.
• Диск копіюється у файл побітовим методом.
• Переваги
– Швидка передача даних
– Уникайте незначних помилок читання даних на вихідному диску
– Необроблений формат можна читати більшістю інструментів цифрової криміналістики
• недоліки
Без компресії
Може стискати весь файл для транспортування, але неефективно під час аналізу
Немає стандартизованих метаданих
Метадані повинні зберігатися у зовнішньому файлі
Формат і структура залежать від дослідника чи використовуваного інструменту
Без перевірки цілісності
Хеш-значення MD5/SHA-1 не включено, якщо не використовується dcfldd
11
Пристрій для образу
Сектор 0
Останній сектор
Усі сектори записуються в один або декілька файлів (якщо їх розділено). Ця копія сектор за сектором не містить метаданих (постачальник, ім’я зображення, хеш-значення…).
RAW (dd) Формат
12
Пропоновані функції
– Стискати чи ні файли зображень не є обов’язковим.
– Файл зображення можна розділити на багато сегментованих файлів
– Для кожного сегмента перевіряється цілісність даних
Власні формати (Proprietary Formats)
Головним недоліком цього формату файлів є те, що це недокументований закритий формат. Хоча більшість інструментів криміналістики підтримують цей формат файлу, він не підтримується іншими (не криміналістичними) інструментами.
EnCase Forensic Evidence File (EWF/EVF)
ILook Investigator IDIF, IRBF та IEIF тощо
13
Пристрій для образу
Сектор 0
Останній сектор
Усі сектори записуються у файл.
chunk1
chunk2
chunk3
chunk4
chunk5
Перший фрагмент у першому файлі містить назву зображення,хто створив образ, дата і час створення образу...
Усі наступні фрагменти починаються з блоку даних з пристрою, а потім контрольна сума crc32 цього блоку
EWF (E01) Формат
В останньому фрагменті останнього файлу контрольна суманад усіма вилученими даними зберігається (MD5 / SHA256)
Типовий розмір сегментованого файлу становить 650 МБ або 2 ГБ
14
Недоліки
– Спільне використання файлу зображення між кількома інструментами неможливе.
– Має недолік файлу для будь-якого сегментованого розміру
• Формат Expert Witness: неофіційний стандарт
– FTK, EnCase, X-Ways Forensics і SMART використовували формат EW
– Можливість генерувати стиснені або нестиснуті файли.
15
SMART
— це утиліта для Linux, розроблена оригінальними авторами Expert Witness. Він може зберігати образи дисків як чисті бітові потоки (стиснуті чи нестиснуті) або у форматі Expert Witness Compression Format. Зображення в останньому форматі можна зберігати як один файл або файли з кількома сегментами, що складаються зі стандартного 13-байтового заголовка, за яким слідує ряд розділів, кожен типу \header, \volume, \table, \next або \done .
Кожен розділ містить рядок свого типу, 64-бітове зміщення до наступного розділу, його 64-бітрозмір, заповнення та CRC, на додаток до фактичних даних або коментарів, якщо це можливо.
SMART Формат
16
Advanced Forensics Format (AFF) - це розширюваний відкритий формат для зберігання образів дисків і відповідних метаданих. Його спочатку розробили Simson Garfinkel і Basis Technology. Остання версія AFF реалізована в бібліотеці AFFLIBv3, яку можна знайти на github. AFF4 базується на багатьох концепціях, розроблених у AFF. AFF4 був розроблений Майклом Коеном, Сімсоном Гарфінкелем і Бредлі Шатцем.
Advanced Forensics Format
17
AFF — це відкритий і розширюваний формат для зберігання цифрових доказів.
Можна зберігати довільні метадані Існує кілька форматів зберігання для різних потреб
Стиснення дозволяє створювати менші образи дисків
AFM і AFFXML дозволяють використовувати отримані дані за допомогою інструментів, які підтримують необроблені зображень
AFFLIB дозволяє легко інтегрувати AFF в існуючі інструменти
Advanced Forensics Format
• “.afd” це розширення файлів для сегментованих файлів зображень
• “.afm ” — розширення файлу для метаданих для Advanced Forensics Format (AFF)
18
AFF формат зображень
Існує чотири формати зберігання AFF для схеми
Metadata
Hard Disk Data
Metadata
Hard Disk Data
Metadata
Metadata
Hard Disk Data (ROW)
AFF / AFD
AFM / AFFXML
AFF, AFD і AFM використовують однакові структури даних для зберігання пар імен і значень (званих сегментами)
AFFXML використовує XML
Кожен сегмент AFF має голову, назву, прапор, дані та хвіст.
Прапор визначає, чи стиснуті дані тощо.
19
http://accessdata.com/product-download/digital-forensics/
Як зробити образ диску – ftk-imager
FTK-Imager це безкоштовний інструмент Windows для створення зображень.
AccessData FTK Imager
Select Logical Drive
Select Phisical Drive
Select Image File
Select content of a Folder
MetaData of image
Образ фізичного диску
Метадані образу фізичного диску
Монтування фізичного диску
Образ реєстру