Програмне забезпечення НДЛЦК “ГРОСС”

  • Дата 08/02/2018

Під час криміналістичних досліджень накопичувачів цифрової інформації спеціалісти “Науково-дослідницької Лабораторії цифрової криміналістики Гросс” (НДЛЦК “ГРОСС”) використовують спеціальне програмне забезпечення (ПЗ), яке призначене для пошуку та аналізу інформації.

Для дослідження структур файлових систем, артефактів ОС ми використовуємо:

  1. X-ways forensics - розширене програмне забезпечення. Основними перевагами є:
    • - аналіз накопичувачів ОЗУ або образів Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7;
    • - “вирізання” файлів з інших файлів (з архівів rar, zip, зображень, які містяться в текстових файлах doc, rtf);
    • - переглядач для файлів журналів подій Windows (.evt, .evtx), файлів-ярликів Windows (.lnk), файлів попередньої вибірки Windows, $ LogFile, $ UsnJrnl, точки відновлення ОС Windows, записи входу в wtmp/utmp/btmp, MacOS X kcpassword, AOL-PFC, тощо;
    • - можливість відновлювати історію браузера Internet Explorer та кеш-файли cache.dat, що знаходяться у вільному просторі;
    • - “витягує” метадані та внутрішні тимчасові мітки створення з різних файлів, дозволяє фільтрувати їх, наприклад: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, файли cookie MP4, 3GP, M4V, M4A, JPEG, BMP, тощо.
  2. The Sleuth Kit – програма, яка керується через інтерфейс командного рядка, що дозволяє аналізувати образи накопичувачів, відновлювати видалені файли. Алгоритм Sleuth Kit використовується в Autopsy, комерційних ПЗ та ПЗ з відкритим кодом. Програма підтримує такі файлові системи: NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660 та YAFFS2.
    The Sleuth Kit може використовуватись в живій системі Windows чи UNIX під час збору криміналістично-значимої інформації. Програма показує “приховані” файли, наприклад rootkit (набір утиліт, якими хакер користується на зламаному ним комп’ютері після отримання початкового доступу. Rootkit дозволяє зловмиснику закріпитись у системі та приховати сліди своєї діяльності) і не змінює час останнього доступу файлів, що переглядались.
  3. Autopsy - безкоштовний графічний інтерфейс для The Sleuth Kit, який забезпечує:
    • - аналіз часової шкали - розширений графічний інтерфейс для перегляду подій;
    • - фільтрацію хешів - виявляє невідомі файли та ігнорує відомі;
    • - пошук по ключових словах - індексування пошуку ключових слів для знаходження фйлів, які відповідають критеріям пошуку;
    • - веб-артефакти -експорт історії браузера, закладок та cookies з Firefox, Chrome та IE;
    • - “вирізання” даних - відновлення видалених файлів з нерозподіленого простору за допомогою PhotoRoc;
    • - мультимедіа - “витягнення” EXIF-файлів з зображень та відео;
    • - ознаки несанкціонованого втручання - сканування ПК за допомогою STIX.

Програми для дослідження активності в Інтернеті та обміну повідомленнями:

  1. Belkasoft - виявляє близько 800 типів артефактів з більше ніж 100 типів мобільних додатків, всі основні формати документів, браузерів, графічних форматів і відеоформатів, месенджерів, соціальних мереж, файлів системи та мереж, тощо. Витягує дані з ОС комп’ютерів та телефонів: Windows, Linux, MacOS X, iOS, Android, Windows Phone, Blackberry. Програма шукає приховану та зашифровану інформацію в нестандартних для зберігання файлів місцях, “вирізані” та пошкоджені дані, досліджує файли маловідомих форматів, щоб знайти ще більше інформації. Пошук проводиться в нерозподіленому та вільному просторі, $MFT, $Log, Volume Shadow Copy та інших специфічних і маловідомих місцях операційної системи. Програма не індексує кожен знайдений файл, натомість шукає найбільш значущі типи артефактів.
  2. Elcomsoft Explorer for WhatsApp (EXWA) - ПЗ для експорту, перегляду та аналізу чатів «WhatsApp» для Android та iOS. Дані можуть експортуватись з локальних і “хмарних” резервних копій iOS (iCloud) та безпосередньо з телефонів Android. Програма дозволяє також розшифровувати та переглядати дані.

Програми для відновлення даних:

  1. Програмний комплекс Data Extractor UDMA - програмне забезпечення, яке використовується разом з PC-3000 UDMA. Він призначений для відновлення даних з будь-яких накопичувачів з інтерфейсом підключення SATA, ATA, форм-фактор HDD 3.5″, 2.5″, 1.8″, 1.0″, а також USB HDD, SSHD (Solid State Hybrid Drive) та ін. Підтримуються найбільш поширені файлові системи: exFAT, FAT, NTFS, EXT2/3/4, UFS1/2, HFS+, XFS, VMFS, ReiserFS та образи віртуальних машин MDK (VMWare).
  2. Foremost - програма для відновлення “вирізаних” файлів з можливістю додавання невідомих для програми сигнатур. Вона використовується в UNIX-подібних системах. Foremost може працювати з образами накопичувачів різних форматів (dd, Safeback, Encase) або безпосередньо з носієм цифрової інформації. Foremost використовується через інтерфейс командного рядка, без графічного інтерфейсу. Також є файл конфігурації (зазвичай знаходиться в /usr/local/etc/foremost.conf), який допоможе відшукати додаткові типи файлів, не вказані для програми розробником.

Унікальні розробки з партнерами 512 Byte

Програмне забезпечення для відновлення даних:

  1. RAW Universal - програмне забезпечення для “вирізання” файлів, розроблене компанією 512Байт. На відмінну від аналогів, програма має унікальний алгоритм пошуку файлів, що містить не тільки “від - до” і “певний розмір”. Вона аналізує структури різних типів, визначає цілісність, показує лише читабельні файли та створює заголовки файлів метаданих. Це необхідно, коли потрібно проаналізувати файли за певний період.

Програмне забезпечення для дослідження баз даних:

  1. “ADR” - унікальне ПЗ для сортування файлів SQLite, відновлення записів з вільного та нерозподіленого простору файлів з цифрового накопичувача.
    Цілісність файлової структури не важлива для ADR через пошук записів, а не їх сигнатури. На відмінну від аналогів, програма не прив’язана до популярних додатків та може здійснювати посекторний пошук.
    Програма здатна аналізувати великий обсяг даних:
    • - геолокація (це не залежить від додатків, де збережені файли);
    •  - видалені записи з файлів SQLite;
    • - записи з видалених баз даних;
    •  - записи з пошкоджених файлів.

Програмне забезпечення для дослідження цифрових відеореєстраторів:

  1. “DHFS” - унікальне ПЗ для відновлення відео, записаних за допомогою відеореєстраторів “Dahua”. Програма автоматизує процес конвертації знайдених даних і робить їх доступними для перегляду зі всіма метаданими (дата, час запису, тривалість).

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top