Дигитална форензика и алати

Из Википедије, слободне енциклопедије
Унутрашњост (глава) тврдог диска

Компјутерска или дигитална форензика означава примену научних метода у циљу идентификације, прикупљања и анализирања података уз очување интегритета оригиналног доказа и ланца надлежности у циљу утврђивања потенцијалних дигиталних доказа. Компјутерска форензика се може дефинисати и као процес прикупљања, очувања, анализе и презентовања дигиталних доказа. Форензички алати омогућују повраћај и анализу обрисаних, скривених и привремених фајлова којима се не може приступити на уобичајени начин. Комплетан систем за прикупљање, анализу и прављење извештаја о доказима прихватљивим за суд као и за опоравак изгубљених података.[1][2]

Општи појам[уреди]

Дигитална форензика је примена метода истраге и техника анализе у циљу проналажења погодних доказа за суд на компјутерима. Примена рачунарске науке и математике за поуздано и непристрасно прикупљање, анализу, интерпретацију и презентацију дигиталних доказа. Коришћење научно развијених и проверених метода за чување, сакупљање, валидацију, идентификацију, анализу, интерпретацију, документовање и презентовање дигиталних доказа добијених из дигиталних извора за потребе реконструкције догађаја који је окарактерисан као криминал или као помоћ да се предвиде неауторизоване акције које прете да прекину планиране операције.[3]

Развој[уреди]

Дигитални докази
  • Прва генерација

Различити алати за преглед слика и докумената, претрагу, опоравак система и израду извештаја.

  • Друга генерација

Посебно дизајнирани и развијени форензички алати: EnCase и други.

  • Трећа генерација

Мрежне форензике: тренутна, сигурна, ефикасна форензика путем ЛАН-а.[3]

Подела форензичких алата[уреди]

Према начину имплементације[уреди]

Према области употребе[уреди]

  • алате за форензику рачунарске мреже
  • алате за форензику рачунарског система
  • алате за анализу других дигиталних уређаја (нпр. ПДА, мобилних телефона, итд.)
  • алате за форензику софтвера (малициозних кодова)

Према типу кода[уреди]

Према платформи на којој раде[уреди]

  • алате који раде на виндоус платформи
  • алате који раде на линуксу и другим платформама

Према фази процеса који обављају у форензичкој истрази[уреди]

  • алате за прављење стерилних медијума
  • алате за прављење физичке копије чврстог диска
  • алате за опоравак података
  • алате за дешифровање података (разбијање шифара)
  • алате за анализу дигиталног материјала
  • алате за документовање[4]

Алати[уреди]

EnCase[уреди]

Програмски алат намењен форензичкој истрази дигиталних доказа фирме Guidance Software. Данас се користи као најнапреднији сигурносни алат, а као стандард су га прихватиле већина водећих компанија и организација у области дигиталне форензике. Омогућава и олакшава судским вештацима и ИТ стручњацима истраживање случајева, аквизицију и анализу доказног материјала и што је свакако најважније за ИТ вештаке јесте да не омогућава измену податак преузетих са корумпираног рачунара.

EnCase се данас испоручује у више варијација, а актуелна верзија осовног алата је 6.0. Старије верзије се могу наћи на интернету док је новија верзија доступна само владиним и образовним институцијама. Занимљиво је да се за аутентификацију свих новијих EnCase верзија користи посебан УСБ уређај, који представља кључ којим се откључава софтвер.

Forensic Toolkit - FTK[уреди]

Forensic Toolkit је један од најстаријих форензичких софтвера. Због графичког интерфејса и рада на Windows оперативним систему постао је веома популаран међу форензичарима. Његов интегрални део, FTK Imager]] је можда и најпознатији софтверски алат за „бит по бит“ копирање, а који се може скинути и бесплатно са интернета. Слике дискова направљене FTK Imager програма признате су на суду као ваљани докази. Осим тога обједињује све сотале постојеће формате за прављење форензичких копија.[5]

DriveSpy[уреди]

Форензички алат за ДОС оперативни систем који је развила компанија Digital Inteligence. Иако нема развијен графички интерфејс алат је доста популарам међу форензичарима јер је програм величине само 11кб и лако је преносив на свим медијима. Иначе ради се о алату који проширује основе МС-ДОС функције, а садржи све потребно за копирање и испитивање садржаја диска. Додатне функције су и креирање МД5 хеша за копирани диск, партицију или изабране датотеке, сигурно брисање диска.

Алат до скоро није имао подршку за преносиве меморије то јест ДОС ОС их није препознаовао. Ипак последња верзија садржи додатак који покреће управљачке програма и омогућава приступ и рад са УСБ флеш дисковима, док по речима аутора софтвера, приступ осталим меморијским картицама зависи од произвођача, читача, типа и слично.

Helix[уреди]

Helix је можда најпознатија форензичарска дистрибуција. Своју популарност, између осталог, Helix дугује и томе што је до последње верзије (објављене у марту 2009. године) био потпуно бесплатан. Његова најновија верзија, која се за разлику од претходних, које су се заснивале на Knoppix дистрибуцији, заснива се на Ubuntu Linux. У најповољнијем облику кошта 239 долара годишње (искључиво за академске институције).

Helix спада у групу софтвера намењених раду директно са ЦД-РОМ медијима. Без обзира о којој се основној верзији Linux OS ради, Helix је модификован на начин да никад не користи свап партицију и да препознаје скоро све могуће фајл системе. Важна функционалност Helix дистрибуције је и могућност покретања у облику самосталне апликације на Windows оперативним системима. При томе су расположиви различити алати намењени у форензичке сврхе. Том функционалношћу Helix је раздељен у програм који анализира подигнуте [[Windows] системе и Linux оперативни систем који се самостално подиже.

VMware[уреди]

VMware је популаран производ за виртуелизацију (VMware Workstation 7.x је актуелна верзија) који омогућава креирање псеудо рачунара и псеудо мрежа, који за све користе хардвер једног система. Ова могућност има многе предности. На пример, може се подесити као гост оперативни систем, инсталирати потребни форензички алати, од њега направити слика система, радити на њему, а по потреби увек довести у преконфигурисано стање. Са њега је могуће, извршити све врсте испитивања, укључујући инсталирање и праћење злонамерних програма, понављање сигурносног инцидента.

Када су у питању преносиве меморије, VMware нуди опцију да уређај уопште нема контакт са рачунаром домаћином. Практично, уколико корисник то жели, VMware ће, ако је инсталиран на оперативном систему компаније Microsoft, блокирати сваку везу између уређаја и тог оперативног система. Ипак, иако произвођачи тврде да нема икаквих шанси да дође до контакта, треба применити Write Protect заштиту на оперативном систему са којег се подиже VMware станица.[6]

Остали алати[уреди]

Prenosivi forenzički alat

У данашњем, развијеном, тржишту велики је број компанија који покушавају мање или више успешно да се нађу међу онима које производе форензичке софтверске алате. Велики је број оних алата који се баве само прављењем форензичких копија, јер то и није велики програмерски задатак, а код бројних алата, може се наћи на интернету. Најчешће, једина предност ових алата је лепши, интиутивнији графички интерфејс који и почетницима омогућава рад. Међу овим најпознатији алати, који раде и са преносивим меморијама су[7]:

  • Forensic Replicator
  • Norton Ghost,
  • SafeBack
  • SMART
  • WinHex
  • ProDiscover
  • Deft
  • Caine

Види још[уреди]

Reference[уреди]

  1. ^ Various (2009). Eoghan Casey. ed. Handbook of Digital Forensics and Investigation. Academic Press. стр. 567. ISBN 978-0-12-374267-4 Приступљено 27. 8. 2010.. 
  2. ^ M Reith, C Carr, G Gunsch (2002). „An examination of digital forensic models“. International Journal of Digital Evidence Приступљено 2. 8. 2010.. 
  3. ^ а б Сајт предмета Пословни информациони системи
  4. ^ Singipedia
  5. ^ Accessdata
  6. ^ Forenscic focus
  7. ^ Singipedia Мастер радови

Literatura[уреди]

Спољашње везе[уреди]