USBkill — утилита для защиты от криминалистической экспертизы

46 инструментов судебной экспертизы информационной безопасности

Здесь представлена подборка бесплатных утилит компьютерной криминалистики, которые абсолютно необходимы при проведении судебной экспертизы для проведения расследования инцидентов информационной безопасности.

Дисковые инструменты и сбор данных

1. Arsenal Image Mounter — утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
2. DumpIt — утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
3. EnCase Forensic Imager — утилита для создания доказательных файлов EnCase.
4. Encrypted Disk Detector — утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
5. EWF MetaEditor — утилита для редактирования метаданных EWF (E01).
6. FAT32 Format — утилита для форматирования дисков большой емкости в FAT32.
7. Forensics Acquisition of Websites — браузер, предназначенный для захвата веб-страниц для проведения расследований.
8. FTK Imager — просмотр и клонирование носителей данных в среде Windows.
9. Guymager — многопоточный утилита с GUI для создания образов дисков под управлением Linux.
10. Live RAM Capturer — утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
11. NetworkMiner — инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
12. Magnet RAM Capture — утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
13. OSFClone — утилита live CD/DVD/USB для создания dd или AFF образов.
14. OSFMount — утилита для монитирования образов дисков, также позволяет создавать RAM-диски.

Электронная почта

1. EDB Viewer — утилита для просмотра файлов EDB Outlook без сервера Exchange.
2. Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
3. MBOX Viewer — утилита для просмотра электронных писем и вложений MBOX.
4. OST Viewer — утилита для просмотра файлов OST Outlook без сервера Exchange.
5. PST Viewer — утилита для просмотра файлов PST Outlook без сервера Exchange.

Файлы и данные

1. analyzeMFT — утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
2. bstrings — утилита поиска в двоичных данных, включая поиск регулярных выражений.
3. CapAnalysis — утилита просморта PCAP.
4. Crowd Response — консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
5. Crowd Inspect — утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
6. DCode — утилита преобразует различные типы данных в значения даты / времени.
7. Defraser — утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
8. eCryptfs Parser — утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
9. Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
10. ExifTool — утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
11. File Identifier — онлайн анализ типа файлов (более 2000).
12. Forensic Image Viewer — утилита для извлечения данных из изображений.
13. Link Parser — утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
14. Memoryze — анализ образов RAM, включая анализ «page» файлов.
15. MetaExtractor — утилита для извеления мета-информации из офисных документов и pdf.
16. Shadow Explorer — утилита для просмотра и извлечения файлов из теневых копий.

Инструменты для Mac OS

1. Audit — утилита для вывода аудита и журналов OS X.
2. Disk Arbitrator — блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
3. FTK Imager CLI for Mac OS — консольная версия для Mac OS утилиты FTK Imager.
4. IORegInfo — утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
5. mac_apt — утилита для работы с образами E01, DD, DMG.
6. Volafox — утилита для анализа памяти в Mac OS X.

Мобильные устройства

1. iPBA2 — утилита анализа резервных копий iOS.
2. iPhone Analyzer — утилита анализа файловой структуры Pad, iPod и iPhone.
3. ivMeta — утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
4. Rubus — утилита для деконструирования резервных файлов Blackberry .ipd.
5. SAFT — извлечение SMS, журналов звонков и контактов из Android устройств.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Ограничение ответственности

Информация на сайте предоставляется «как есть», без всяких гарантий, включая гарантию применимости в определенных целях, коммерческой пригодности и т.п. В текстах могут быть технические неточности и ошибки. Автор не может гарантировать полноты, достоверности и актуальности всей информации, не несет ответственности за последствия использования сайта третьими лицами.

Автор не делает никаких заявлений, не дает никаких гарантий и оценок относительно того, что результаты, размещенные на сайте и описанные в заявлениях относительно будущих результатов, будут достигнуты.

Автор не несет ответственности за убытки, возникшие у пользователей или третьих лиц в результате использования ими сайта, включая упущенную выгоду.

Автор не несет ответственности за убытки, возникшие в результате действий пользователей, явно не соответствующих обычным правилам работы с информацией в сети Интернет.

Пользуясь сайтом, вы принимаете и соглашаетесь со всеми нашими правилами, включая «Ограничение ответственности».

Рекомендую

Link's QR code

Время, где сейчас

До восхода не будить и при пожаре выносить в первую очередь, а после заката звонить только в экстренных случаях:

Рубрики

Отче наш

Отче наш, Иже еси́ на небесе́х! Да святи́тся имя Твое́, да прии́дет Ца́рствие Твое, да будет воля Твоя, я́ко на небеси́ и на земли́.

Хлеб наш насу́щный даждь нам днесь; и оста́ви нам до́лги наша, я́коже и мы оставля́ем должнико́м нашим; и не введи́ нас во искушение, но изба́ви нас от лука́ваго

Как криминалисты получают ваши данные с гаджетов. Расследование

Magnifying Glass searching code for online activity.Как криминалисты получают ваши данные с гаджетов. РасследованиеЦифровые следы не так просто удалить. В большинстве случаев криминалисты всё равно найдут ваши данные. Порой даже физическое повреждение диска не помогает. Рассказываем, какими методами пользуются специалисты по форензике – компьютерной криминалистике.

Обычно всё начинается с создания копии диска. Потому что если вдруг в процессе анализа что-то пойдёт не так, можно будет снять ещё одну копию. Или же сразу сделать несколько копий, если над данными работает группа специалистов.

Для создания копий дисков используются системы двух типов:

блокираторы записи (bridge), через которые носители подключают к компьютеру;

дубликаторы записи (duplicator), которые умеют автономно создавать полные копии и образы дисков.

Блокираторы перехватывают команды записи от операционной системы и предотвращают их передачу на носитель информации. Они внушают системе, что устройство подключено в режиме «только чтение», а если это не удаётся, то просто сообщают об ошибках записи. Некоторые устройства используют встроенную память для кэширования записанных данных и делают вид, что данные на диске действительно изменились.

Конечно, такие системы недешевы. Например, блокиратор записи T35u обойдётся в 350 долларов, дубликатор Tableau TD2u – в 1600 долларов.

Среди профессиональных систем для анализа самая популярная, пожалуй, EnCase Forensic. Она позволяет анализировать большие объёмы данных, задавать поиск по ключевым словам, атрибутам и т. п.

EnCase Forensic создает точную побитовую копию всего диска или части данных, после этого верифицирует собранные улики, генерируя хэш MD5 файла собранных доказательств и снимая CRC-значения данных. Это даёт возможность гарантировать, что данные не были изменены, и в любой момент использовать их в виде доказательств в суде.

EnCase Forensic умеет восстанавливать файлы и разделы, искать удаленную информацию и журналы событий, сигнатуры файлов и значения хэша, анализировать составные файлы (архивы) и находить остатки информации в неразмеченном пространстве жесткого диска в встроенном HEX редакторе.

Другой удобный вариант – дистрибутив Digital Evidence & Forensics Toolkit: DEFT Linuix на платформе Lubuntu. Он позволяет находить и анализировать информацию на жестком диске и других носителях, включает систему поиска информации в кэше браузера, сетевые сканеры и утилиты для выявления руткитов.

Для снятия копий дисков обычно используют дистрибутивы вроде Rip Linux, DEFT Linux, CAINE, Paladin, Helix, Kali. Но обычно в них для полноценной работы нужно уметь работать с консолью. Это не всегда просто, потому что ошибки в командах могут привести к уничтожению улик.

Другой вариант – сборка Windows Forensic Environment (WinFE) с графическим интерфейсом. Она была создана сотрудником Microsoft, компьютерным криминалистом. Сборка основана на WinPE и работает аналогично Linux-дистрибутивам, которые не монтируют разделы в процессе загрузки. В системе есть основные инструменты анализа.

Что ищут криминалисты

Все доступные файлы

В том числе удалённые и частично перезаписанные. Даже так: особенно удалённые.

Первый и самый простой шаг для этого – общедоступные платные и бесплатные программы для восстановления данных, к примеру, R-Studio, RecoverMyFiles, DiskDigger или Photorec. Они найдут файлы, которые вы удалили. Но можно использовать и более специфичные варианты – к примеру, bstrings и т.д.

Кстати, информация о копиях может остаться и после дефрагментации, перемещения и т. п. Понятно, что просто Command + Option + Delete в macOS (или Shift + Delete в Windows) для окончательного удаления тем более недостаточно.

Следы сохранённых фото

Если вы удалили фото и даже несколько раз перезаписали область диска, в которой оно хранилось, шанс восстановить изображения есть. Например, Windows в каждой папке создаёт специальный скрытый файл Thumbs.db. Здесь сохраняются превью изображений из текущей папки в формате JPEG. И когда вы выбираете режим «Эскизы страниц» для отображения содержимого, картинки подгружаются как раз отсюда.

Конечно, восстановить файл в оригинальном качестве Thumbs.db не поможет. Но понять по превью, что изображено на фото, кто с кем сфотографирован и чем занимается, обычно можно.

Просмотреть содержимое Thumbs.db можно с помощью Thumbnail Cache Viewer. Программа Thumbs.db Viewer 2 дает больше возможностей, но она платная.

Чтобы не попасться в ловушку, нужно отключить кэширование эскизов в файлах Thumbs.db. В Windows 10 это делается так: «Выполнить» – запустить Редактор локальной групповой политики командой gpedit.msc – «Конфигурация пользователя» – «Административные шаблоны» – «Компоненты Windows» – «Проводник» – «Отключить кэширование эскизов в скрытых файлах thumbs.db».

Файл подкачки и своп памяти

Операционная система выполняет массу процедур, чтобы работать быстрее. К примеру, она пишет данные в реестр, временные папки и т. п. За счёт этого временные данные, связанные с файлом, отследить вручную довольно сложно.

В Windows есть файл подкачки pagefile.sys и своп памяти hiberfil.sys, который используется в режиме гибернации. Они лежат в корне диска с системой.

Операционная система не позволяет скопировать эти файлы. Но есть утилиты, которые позволяют получить данные из них. Например, есть утилита Foremost из сборки Kali Linux и аналогов. Она позволяет восстанавливать файлы по заголовкам и внутренней структуре.

Foremost запускается из консоли командой:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

Первая директория – что будем восстанавливать, вторая – куда будем писать данные. Утилита создаёт папки под файлы различных типов и раскладывает в них найденное.

Другой вариант – утилита FTK Imager. В меню нужно выбрать File – Add Evidence Item и указать нужный диск, затем экспортировать файл через контекстное меню. Затем скачанный файл можно анализировать с помощью DiskDigger или PhotoRec.

Отметим, что в pagefile.sys и hiberfil.sys есть не только файлы, которые вы открывали с момента последней загрузки Windows. Данные могут лежать несколько недель или даже месяцев.

Отключить файл подкачки можно. В поиске введите «Настройка представления и производительность системы», перейдите к соответствующему разделу панели управления. Затем нажмите «Дополнительно» – «Изменить», снимите галочку «Автоматически выбирать объем файла подкачки», после этого выберите «Без файла подкачки». Система может тормозить, но враги ничего не найдут.

А если диск полностью затереть?

Теоретически даже в этом случае иногда остаётся возможность восстановить данные. Под полным затиранием диска мы понимаем перезапись всей поверхности нулями. Такая функция есть, например, у приложений Eraser, SDelete, Freeraser, Overwrite, Secure Delete, CCleaner и др.

Чаще всего затирания вполне достаточно. После этого данные на диске не обнаружат уже перечисленные DiskDigger, Photorec, Foremost и т.д.

Но есть методика магнитной микроскопии. Чувствительное оборудование позволяет определить состояние каждого бита на диске до перезаписи.

На самом деле эта методика крайне редко на практике даёт возможность восстановить файлы. Если хотя бы в 2-3% битов информация восстановится с ошибками, никакого смысла в процедуре не будет. Так что если речь идёт не о коротком текстовом пароле от кошелька с тысячей биткоинов, пробовать не стоит.

Кстати, в прошивку SSD обычно встраивают утилиты, которые выполняют самоочистку. Они запускаются автоматически после подачи питания или когда диск активно не используется, и затирают, изменяют или переносят файлы, которые система пометила как уничтоженные. Это делается для ускорения работы системы. А заодно и уничтожает улики.

С другой стороны, методы, изначально разработанные для HDD, на SSD могут не работать. Исследователи из Калифорнийского университета в Сан-Диего, показали, что после удаления утилитами для безопасного стирания на диске остаётся 67-75% данных якобы стёртых файлов.

Что ещё можно сделать

Смотря что вы хотите скрыть. Понятно, что если в офис нагрянут, быстро перезаписать весь жесткий диск нулями не получится. Физическое уничтожение контроллера тоже не всегда помогает – блины HDD можно переставить на другое «железо» и восстановить данные.

А вот если изменить атрибуты файла, например, дату и время создания, изменения и т. п., это часто делает улики недействительными. Для таких действий подходит утилита Timestomp. Простейший скрипт для изменения временных атрибутов:

for /R c:tools %i in (*) do timestomp.exe %i -z “monday 3/12/2009 10:00:00 pm”

Здесь ключ –m используется для изменения даты модификации, -a – времени доступа, -с – времени создания, -e – времени модификации в MFT, -z – всех четырёх параметров сразу. Дата задается в формате DayofWeek MonthDayYear HH:MM:SS . Ещё один вариант дает ключ –b, который устанавливает атрибуты файлов такими, что программа EnCase, к примеру, их не видит. При этом вы не теряете доступа к данным.

DumpIt– создание дампа физической памяти Windows.

Live RAM Capturer– создание дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.

FTK Imager– просмотр и клонирование носителей данных в Windows.

FTK Imager CLI for Mac OS– консольная версия утилиты FTK Imager для mac

EnCase Forensic Imager– утилита для создания доказательных файлов EnCase.

EWF MetaEditorутилита для редактирования метаданных EWF (E01).

Forensics Acquisition of Websites– браузер для захвата веб-страниц для проведения расследований.

Mail Viewer– просмотр почты Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.

bstrings– поиск в двоичных данных, умеет работать с регулярными выражениями.

floss– утилита для автоматической деобфускации данных из двоичных файлов вредоносных программ.

Defraser– поиск полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.

bulk_extractor— поиск e-mail, IP-адресов, телефонов в файлах на диске.

Encryption Analyzer– анализ защищенных паролем и зашифрованных файлов.

photorec— извлечение данных и файлов изображений.

Forensic Image Viewer– получение данных из изображений.

iPBA2– анализ резервных копий iOS.

SAFT– поиск SMS, журналов звонков и контактов на Android-устройствах.

KeeFarce— извлечение паролей KeePass из памяти.

Rekall— анализ дампов RAM.

volatility— анализ образов физической памяти.

RecuperaBit— восстановление NTFS-данных.

python-ntfs— анализ NTFS-данных.

chrome-url-dumper— извлечение данных из Google Chrome.

hindsight— анализ истории Google Chrome/Chromium.

Delete не удаляет файлы полностью. Если есть риск, что удалённые файлы кто-то захочет увидеть, стоит затереть носитель – забить нулями пустое место. Возможность восстановить данные после этого скорее теоретическая. Кроме того, помогает изменять атрибуты файлов, чтобы запутать следы. Но лучше просто не давать поводов для проверки.

ВОЗМОЖНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПРИ ПРОВЕДЕНИИ ПОЧЕРКОВЕДЧЕСКОЙ ЭКСПЕРТИЗЫ Текст научной статьи по специальности «Прочие медицинские науки»

Аннотация научной статьи по прочим медицинским наукам, автор научной работы — Васильева Т.О.

В данной статье рассматриваются способы проведения почерковедческой экспертизы с помощью внедрения информационных технологий и математических методов. Приводятся примеры технических разработок по идентификации личности и систематизации полученных данных для дальнейшего применения. Дается заключение по производству почерковедческой экспертизы с применением инновационных технологий, а также выявляется объективность полученных в ходе неё данных.

Похожие темы научных работ по прочим медицинским наукам , автор научной работы — Васильева Т.О.

POSSIBILITIES OF INFORMATION TECHNOLOGIES IN CONDUCTING HANDWRITING EXPERTISE

This article discusses ways to conduct handwriting expertise using the introduction of information technologies and mathematical methods. Examples of technical developments on personal identification and systematization of the obtained data for further application are given. The conclusion on the production of handwriting expertise using innovative technologies is given, and the objectivity of the data obtained during it is revealed.

Текст научной работы на тему «ВОЗМОЖНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПРИ ПРОВЕДЕНИИ ПОЧЕРКОВЕДЧЕСКОЙ ЭКСПЕРТИЗЫ»

ВОЗМОЖНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПРИ ПРОВЕДЕНИИ

Т.О. Васильева, студент

Научный руководитель: Р.Р. Хаснутдинов, канд. юрид. наук, доцент Самарский государственный экономический университет (Россия, г. Самара)

Аннотация. В данной статье рассматриваются способы проведения почерковедче-ской экспертизы с помощью внедрения информационных технологий и математических методов. Приводятся примеры технических разработок по идентификации личности и систематизации полученных данных для дальнейшего применения. Дается заключение по производству почерковедческой экспертизы с применением инновационных технологий, а также выявляется объективность полученных в ходе неё данных.

Ключевые слова: идентификация, эксперт, почерковедческая экспертиза, информационные технологии, инновации.

В настоящее время, несмотря на бурное развитие информационных технологий, на практике широко применяются рукописные тексты и собственноручные подписи. Вследствие этого при ведении уголовного или гражданского расследования дела требуется помощь эксперта-почерковеда для производства экспертизы и ответа на поставленные вопросы. В связи с этим возникает вопрос актуальности заключения эксперта и общей оценки качества методического обеспечения почерковедческой экспертизы.

Анализ доступной специальной литературы показал, что методические основы отечественной почерковедческой экспертизы заложены в 60-70-х годах прошлого века и связаны с работами Л.А. Винберга, М.В. Шванковой, Е.Е. Добросоцкой и др., до настоящего времени особых изменений не претерпели [1].

В указанный выше период была проведена работа по сбору и формированию эталонного банка образцов почерка, на основе которых эксперты-почерковеды проводят почерковедческую экспертизу. В эталонный банке содержится несколько тысяч экземпляров образцов почерка, определены его общие и частные признаки, получены оценки их идентификационной значимости, а также сформированы основные подходы к проведению экспертного

исследования, в основу которого положен качественно-описательный метод [1].

В общем виде методика идентификации почерка заключается в проведении экспертом следующих действий:

1. Раздельно изучает исследуемые объекты и образцы почерка проверяемых лиц, выделяет общие и частные признаки.

2. Проводит сравнительное исследование материалов, в ходе которого отмечаются возникшие совпадения и различия признаков, определенных в п. 1.

3. Формирует вывод на основе экспертного исследования.

При производстве экспертизы эксперт исходит из существенности, устойчивости и значимости выявленных совпадающих и различающихся признаков, а также их общего количества, основываясь на свое субъективное мнение. При этом, используя одну и ту же методику проведения почер-коведческой экспертизы, разные эксперты могут по-разному оценить выявленные совпадения и различия. В результате по одному исследуемому объекту могут быть даны совершенно противоположные (иногда категоричные) заключения. Во многом это связано с тем, что используемые идентификационные признаки в большинстве своем носят качественный, оценочный характер.

Для устранения проблемы субъективности экспертного мнения был создан ряд

компьютерной и специальной техники, способной качественно изменить подходы к решению задач почерковедческой экспертизы. Так, в частности, были изобретены чувствительные фотокамеры с разрешением более 40 МП, позволяющие получать изображения текстовых документов очень высокого качества. В совокупности качественная оптика и многоспектральная подсветка изображения дает сформировать соответствующие образцы, на основе которых могут решаться задачи не только почерковедческой экспертизы, но и технико-криминалистического исследования документов [2].

Большое развитие получили математические методы анализа изображений (метод преобразований Фурье, вейвлет-анализа, сплайн моделирования и т.д.), для удобной и эффективной работы с которыми созданы мощные компьютерные программы такие как Photoshop, Matlab, 3D Max и др. [4].

В последнее десятилетие модернизацией производства проведения почерковед-ческой экспертизы стали заниматься не только ученые, но и преподаватели государственных учреждений в своих диссертационных работах по производству судебной экспертизы. Примером такой разработки является программа «Diffaze», подготовленная в 2000-2002 гг.

Э.Г. Хомяковым на базе Удмуртского университета. Ее основу составил «метод фазового анализа», который исследует колебательные движения пальцев и кисти руки человека при письме. Колебания осуществляются в двух взаимно перпендикулярных направлениях, вдоль осей Х и У в прямоугольной системе координат и могут быть выражены количественными характеристиками: фазой, амплитудой и частотой. При этом любой письменный знак рассматривается как совокупность отдельных элементов линейной и дуговой формы, каждый из этих элементов может быть описан определенными значениями фазы и амплитуды. В итоге разность фаз является количественным признаком, который может быть измерен и оценен экспертом в любом почерковом объекте. В то же время и отдельные частные признаки почерка,

такие как форма и направление движений, нажим, размеры и протяженность движений, относительное размещение звеньев, получают конкретную количественную оценку. Программа позволяет автоматизировать измерение разности фаз в почерко-вых объектах с погрешностью до 4,5%, тем самым способствуя получению новой дополнительной информации для решения диагностических и идентификационных задач почерковедческой экспертизы [7].

При экспериментальной апробации программы на почерковых объектах (рукописных текстах, кратких записях, подписях), выполненных 100 лицами, была установлена связь между разностью фаз и отдельными общими признаками почерка (например, степенью выработанности), определена идентификационная значимость разности фаз. По мнению Э.Г. Хомякова, программа должна применяться в совокупности с другими методами производства почерковедческой экспертизы, поскольку помогает исследовать «иные» (дополнительные) характеристики системы итоговых движений при письме [6].

Большинство методик экспертных исследований базируются на использовании математического аппарата и компьютерных технологиях. Одна из них называется «система ДИА» — система дифференцион-но-идентификационных алгоритмов, эта методика используется при анализе почер-ковых объектов, в том числе подписей. В ее основе лежит анализ геометрической структуры исследуемых объектов, для получения которой каждый исследуемый объект вводится в систему координат, и на нем выделяется система наиболее информативных точек, которые затем соединяются определенной совокупностью отрезков. Методика рассчитана на решение двух типов задач — дифференционных и идентификационных [3].

Таким образом, при проведении почер-коведческой экспертизы эксперту необходимо обращать внимание на применяемые им методики исследования. Для более точного результата и содействия в дальнейшем расследовании дела следует применять совокупность методик, объединять

в одном процессе традиционные, количе- ной экспертизы достигается ее объектив-ственные, инструментальные методы и ность и преодолевается нежелательный ЭВМ. Благодаря комплексности проведен- субъективизм.

1. Винберг Л.А., Шванкова М.В. Почерковедческая экспертиза // ВСШ МВД СССР. -1977. — С. 255-270.

2. Иванов Н. А. Компьютерные технологии подделки рукописных почерка и подписей // Эксперт-криминалист. — 2011. — №2. — С. 5-7.

3. Мещеряков В.А., Бутов В.В. Оценка возможностей почерковедческой экспертизы сквозь призму современных информационных технологий // Вестник ВИ МВД России. -2017. — №2.

4. Сысоев Э.В., Селезнев А.В., Рак И.П., Бурцева Е.В. Новые информационные технологии в судебной экспертизе: учебное пособие. — Тамбов: Изд-во Тамб. гос. техн. ун-та, 2006. — 84 с.

5. Торопова М.В. Особенности назначения судебно-почерковедческой и судебно-технической экспертизы документов в современных условиях // Арбитражный и гражданский процесс. — 2011. — №5. — С. 19-21.

6. Финешин Е.А. Проблемы связанные с применением вычислительной техники в криминалистической экспертизе. — [Электронный ресурс]. — Режим доступа: https://proza.ru/2013/06/26/1543

7. Хомяков Э.Г. Метод фазового анализа письменных объектов при проведении почер-коведческих исследований // Диссертация. — Ижевск, 2002.

POSSIBILITIES OF INFORMATION TECHNOLOGIES IN CONDUCTING

T.O. Vasilyeva, Student

Scientific supervisor: R.R. Khasnutdinov, Candidate of Legal Sciences, Associate Professor Samara State University of Economics (Russia, Samara)

Abstract. This article discusses ways to conduct handwriting expertise using the introduction of information technologies and mathematical methods. Examples of technical developments on personal identification and systematization of the obtained data for further application are given. The conclusion on the production of handwriting expertise using innovative technologies is given, and the objectivity of the data obtained during it is revealed.

Keywords: identification, expert, handwriting expertise, information technology, innovation.

Подборка бесплатных утилит компьютерной криминалистики (форензики)

При прохождении обучения по компьютерной климиналистки по курсу CHFI v9 нам продемонстрировали на деле, то как и чем работают настоящие компьютерные криминалисты.

Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

Основная цель при проведении таких работ — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.

Термин “forensics” является сокращенной формой “forensic science”, дословно “судебная наука”, то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой.

Русский термин “форензика” означает не всякую криминалистику, а именно компьютерную.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).

Основная сфера применения форензики — анализ и расследование событий, в которых фигурируют компьютерная информация как объект посягательств, компьютер как орудие совершения преступления, а также какие-либо цифровые доказательства.

Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже.

Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО.

В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.

В этой статье представлены бесплатные инструменты для проведения расследования инцидентов информационной безопасности.

Дисковые инструменты и сбор данных

утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д. утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя. утилита для создания доказательных файлов EnCase. утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker. утилита для редактирования метаданных EWF (E01). утилита для форматирования дисков большой емкости в FAT32. браузер, предназначенный для захвата веб-страниц для проведения расследований. просмотр и клонирование носителей данных в среде Windows. многопоточный утилита с GUI для создания образов дисков под управлением Linux. утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой. инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP. утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012. утилита live CD/DVD/USB для создания dd или AFF образов. утилита для монитирования образов дисков, также позволяет создавать RAM-диски.

Анализ электронной почты

утилита для просмотра файлов EDB Outlook без сервера Exchange. утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML. утилита для просмотра электронных писем и вложений MBOX. утилита для просмотра файлов OST Outlook без сервера Exchange. утилита для просмотра файлов PST Outlook без сервера Exchange.

Анализ файлов и данных

утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов. утилита поиска в двоичных данных, включая поиск регулярных выражений. утилита просморта PCAP. консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности. утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации. утилита преобразует различные типы данных в значения даты / времени. утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве. утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге. утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла. утилита для чтения и редактирования данных Exif в большом количестве типов файлов. онлайн анализ типа файлов (более 2000). утилита для извлечения данных из изображений. утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut). анализ образов RAM, включая анализ «page» файлов. утилита для извеления мета-информации из офисных документов и pdf. утилита для просмотра и извлечения файлов из теневых копий.

Инструменты для Mac OS

утилита для вывода аудита и журналов OS X. блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска. консольная версия для Mac OS утилиты FTK Imager. утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство. утилита для работы с образами E01, DD, DMG. утилита для анализа памяти в Mac OS X.

Мобильные устройства

утилита анализа резервных копий iOS. утилита анализа файловой структуры Pad, iPod и iPhone. утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone. утилита для деконструирования резервных файлов Blackberry .ipd. извлечение SMS, журналов звонков и контактов из Android устройств.

Фреймворки

— Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных. — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков. — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.

Реал-тайм утилиты

— GRR Rapid Response: инструмент для расследования и анализа инцидентов. — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.

Работа с образами (создание, клонирование)

— улучшенная версия консольной утилиты dd. — еще одна улучшенная версия dd. — FTK Imager- просмотр и клонирования носителей данных в среде Windows. — просмотр и клонирования носителей данных в среде Linux.

Извлечение данных

— улучшенная версия популярной утилиты strings. — выявления email, IP-адресов, телефонов из файлов. эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ. — утилита для извления данных и файлов изображений.

Работа с RAM

— фреймворк, отличающийся высокой скоростью работы. — извлечение паролей KeePass из памяти. — анализ дампов RAM, написанный на python. — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти. — веб-интерфейс для Volatility framework.

Сетевой анализ

— инструменты для анализа трафика для облегчения анализа безопасности крупных сетей. — известнейший сетевой сниффер.

Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

— обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.) — кросплатформенный анализатор реестра Windows. — лист сравнения MFT-парсеров (MFT — Master File Table). — MFT-парсер. — парсер журналов NTFS. — — парсер журналов USN. — восстановление NTFS данных. — анализ NTFS данных.

Исследование OS X

— OS X аудитор.

Internet Artifacts

— извлечение информации из Google Chrome. — анализ истории Google Chrome/Chromium.

Анализ временных интервалов

— извлечение и агрегация таймстапов. — анализ таймстапов.

Hex редакторы

— HEX редактор OS X. — Windows версия Synalyze It. — маленький и быстрый HEX редактор. — кросс-платформенный HEX редактор. — HEX редактор в тимплейтами. — кросс-платформенный HEX редактор со сравнением файлов.

Конверторы

— мультиинструмент для кодирования, декодирования, сжатия и анализа данных. — конвертирование бинарных данных.

Анализ файлов

— тимплейты для редактора 010. — парсер различных видов файлов на python. — HFS+ составляющие для Synalysis — составляющие для различных файловых систем. — файловые составляющие для Synalyze It! — файловые составляющие для WinHex и X-Ways

Обработка образов дисков

— утилита командной строки для быстрого монтирования образов дисков — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01. — конвертирования образов дисков.

Для проведения работ по исследованию и сбору цифровых доказательств необходимо придерживаться принципов неизменности, целостности, полноты информации и ее надежности.

Для этого необходимо следовать рекомендациям к ПО и методам проведения расследований.