Комментарии 30
Создание образа — это 3/100 от расследования. Реальная проблему взывает аналитика, особенно когда не знаешь что ищет и принесли машину «посмотреть».
В случаях проведения внутреннего расследование (без необходимости передачи данных в суд) анализ делают вообще без образа, прямо на живой системе, в параллель работе пользователя, либо с даунтаймом на час или парочку.
Но опять таки — аналитика, аналитика, аналитика :) вот что нужно.
В случаях проведения внутреннего расследование (без необходимости передачи данных в суд) анализ делают вообще без образа, прямо на живой системе, в параллель работе пользователя, либо с даунтаймом на час или парочку.
Но опять таки — аналитика, аналитика, аналитика :) вот что нужно.
Конечно будет интересно. Уже столкнулся с похожим вопросом, но обошелся обычным linux livecd.
Если компьютерные криминалисты говорят что «Linux — это сложно», у меня для вас очень плохие новости.
Давно хотел подробно изучить данный инструмент, но все никак руки не доходили. Ваша статья опять подогрела мой интерес, но, к сожалению, но ссылки на загрузку Mini-WinFE уже не работают.
Ждем продолжение!
Очень интересно было бы почитать про методы, которыми пользуются криминалисты для извлечения уже удаленной информации, какой спектр устройств может быть исследован (например с айфончиками у фбр головная боль, как у нас дела?), насколько глубоко можно копнуть современными методами для отыскания правды.
В свое время, пытались RAID-60 массив восстановить, а точнее один файл (снапшот виртуалки), обратились в специализированную компанию, были готовы заплатить ~20k $ — они поднять не смогли.
А вообще, сейчас реально «поднять» данные только с носителей, имеющих физические дефекты (например, головка сгорела), а для данных имеющих логические повреждения (как из примера ранее) — это практически нереально.
А вообще, сейчас реально «поднять» данные только с носителей, имеющих физические дефекты (например, головка сгорела), а для данных имеющих логические повреждения (как из примера ранее) — это практически нереально.
Если Хабру будет интересно, то я расскажу о том, как можно анализировать полученные образы с помощью ПО с открытым исходным кодом.да, было бы очень интересно.
Чтобы гарантировать неизменность информации, а также оставить возможность проведения повторной или дополнительной экспертизы, надо оставить оригинал нетронутым.
Иногда это трудно сделать, например если:
- Мы имеем дело с SSD
- live acquisition
- Мы имеем дело с мобильными устройствами, к которым совершенно другой подход
- Битые секторы? Что с ними делать? В dd их можно заменить нулями, но это уже проблема
Кстате, про какую программу будете писать, не Autopsy ли?
на сайте Mini-WinFE уже недоступно для скачивания… ссылка получилась в никуда
про продолжение / использование ЗА!
про продолжение / использование ЗА!
На самом деле в этой теме есть прекрасная книга (по сути пошаговый мануал) со всеми необходимыми скриптами и подробным рассмотрением используемого ПО, а также технологий и порядка проведения расследования Linux Forensics — www.amazon.com/Linux-Forensics-Philip-Polstra/dp/1515037630/ref=sr_1_1?ie=UTF8&qid=1462947850&sr=8-1&keywords=linux+forensics
Мне кажется что использование Windows PE для этих целей не совсем честно с точки зрения EULA к WAIK куда и входит WinPE. Так же пока нет исследований режима подключения «только чтение» в Mini-WinFE.
Можете уточнить, в чем именно нечестность? (готовый образ с WinPE не распространяется, распространяется только инструмент для сборки).
Исследований Mini-WinFE уровня NIST мне действительно не попадалось, но есть похожий коммерческий продукт SAFE, который также сделан на WinPE и заявляется, что он прошел все тесты NIST.
Также есть Windows Triage Environment, авторы которого прямо заявляют, что их комбайн сделан на основе WinFE. Но их продукт распространяется только среди правоохранительных органов и правительственных учреждений.
Исследований Mini-WinFE уровня NIST мне действительно не попадалось, но есть похожий коммерческий продукт SAFE, который также сделан на WinPE и заявляется, что он прошел все тесты NIST.
Также есть Windows Triage Environment, авторы которого прямо заявляют, что их комбайн сделан на основе WinFE. Но их продукт распространяется только среди правоохранительных органов и правительственных учреждений.
Исследований… уровня NIST
Это довольно простой уровень, где многие ошибки остаются незамеченными, как показывает практика. И что еще хуже – те редкие ошибки, которые находят при тестировании в NIST, производители исправляют без огласки.
но есть похожий коммерческий продукт SAFE, который также сделан на WinPE и заявляется, что он прошел все тесты NIST
Там используется программный блокиратор записи. В Windows FE программного блокиратора записи нет.
Write Protect Tool (WProtect.exe, автор Colin Ramsden) — а это не программный блокиратор?
Это лишь программа для заполнения структуры SET_DISK_ATTRIBUTES и вызова функции DeviceIoControl.
Вопрос терминологии. WProtect.exe назначает букву разделу вместе с атрибутом «Только чтение». В каких случаях этого недостаточно для предотвращения записи на диск (если мы говорим про WinFE)? У SAFE Boot возможности заявляются похожие. А SAFE Block совсем другой продукт.
Вопрос терминологии. WProtect.exe назначает букву разделу вместе с атрибутом «Только чтение». В каких случаях этого недостаточно для предотвращения записи на диск (если мы говорим про WinFE)?
Не знаю. Это должны разработчики доказать, что все работает так, как надо. В Linux, например, на блочное устройство, переведенное в режим «только чтение», все равно возможна запись в некоторых случаях. А может ли драйвер fake RAID в Windows сделать нечто похожее? Тем более, что одним из преимуществ Windows FE называется хорошая поддержка RAID, если сравнивать с Linux.
У SAFE Boot возможности заявляются похожие. А SAFE Block совсем другой продукт.
В составе SAFE Boot Disk есть SAFE Block.
В EULA к WAIK 7 и Microsoft Software License Terms (Standard 8) есть такой пункт.
Windows Kits. If the software includes Windows Kits, the following additional terms apply to you.
Windows Pre-Installation Environment. You may install and use the Windows Pre-Installation Environment for purposes of diagnosing and recovering Windows operating system software. For the avoidance of doubt, you may not use the Windows Pre-Installation Environment for any other purpose, including without limitation as a general operating system, as a thin client or as a remote desktop client.
Т.е. можно использовать только для диагностики и восстановления Windows. Любое другое использование не разрешено. Хотя возможно есть и другие варианты поставки WinPE с другим лицензионным соглашением.
Windows Kits. If the software includes Windows Kits, the following additional terms apply to you.
Windows Pre-Installation Environment. You may install and use the Windows Pre-Installation Environment for purposes of diagnosing and recovering Windows operating system software. For the avoidance of doubt, you may not use the Windows Pre-Installation Environment for any other purpose, including without limitation as a general operating system, as a thin client or as a remote desktop client.
Т.е. можно использовать только для диагностики и восстановления Windows. Любое другое использование не разрешено. Хотя возможно есть и другие варианты поставки WinPE с другим лицензионным соглашением.
Если речь идет об использовании Windows FE при производстве судебных экспертиз, то в ГК РФ есть такая норма:
А программы охраняются как произведения литературы.
Статья 1278. Свободное воспроизведение произведения для целей правоприменения
Допускается без согласия автора или иного правообладателя и без выплаты вознаграждения воспроизведение произведения для осуществления производства по делу об административном правонарушении, для производства дознания, предварительного следствия или осуществления судопроизводства в объеме, оправданном этой целью.
А программы охраняются как произведения литературы.
Тут конечно есть о чем подискутировать, но вот, что я думаю: 1) Снятие образа и анализ содержимого — это и есть диагностика 2) Основной смысл пункта — не использовать WinPE как основную операционную систему на постоянной основе (WinPE предполагает использование как LiveCD/USB) 3) Во всех описаниях, включая обучающие курсы, которым уже много лет, указывается Free, при наличии лицензии Windows 4) Автор первой версии — сотрудник Microsoft 5) Я нигде не встречал упоминаний о противоречии WinFE этому пункту
Я согласен, тут все упирается в текст EULA и его трактовку. Разрешено использование при наличии «лицензии на Windows» но лицензии приобретаются либо на личный компьютер, либо на юр. лицо, а исследуемый компьютер юридически принадлежит другому лицу и тут вопрос, «Возможно ли со своей лицензией диагностировать чужой компьютер». Но это мои мысли и моя трактовка EULA. К тому же я не слышал ни одного громкого дела по нелицензионному использованию WinPE. Ну и как написали выше ГК РФ на территории России позволяет использовать WinFE без оглядки на EULA.
i-odd боксы? Цена заметно ниже чем 350$.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Средства сбора данных в компьютерно-технической экспертизе