Оффлайн
- Регистрация
- 19.09.18
- Сообщения
- 136
- Реакции
- 74
- Репутация
- 1
Всем привет. Сегодня тема которую мало кто разбирает честно — как работает форензик анализ и что реально уничтожает следы а что просто миф.
Форензика и антифорензика: полный разбор
Как работает форензик анализ
Цифровая форензика это извлечение и анализ данных с устройств для использования как доказательств. Инструменты которые используют правоохранители — Cellebrite для мобильных, Magnet AXIOM, EnCase, FTK для компьютеров. Это не магия — это программное обеспечение которое работает по известным алгоритмам с известными ограничениями.
Главный принцип форензики: данные не исчезают просто так. Удалённый файл это файл у которого помечено место как свободное — сами данные остаются на диске до перезаписи. Именно это позволяет восстанавливать удалённые файлы.
Анализ дисков
Как работает
Форензик инструмент создаёт побитовую копию диска — точную копию каждого сектора включая свободное пространство и удалённые файлы. Работа ведётся с копией а не с оригиналом — это стандарт для сохранения доказательной базы.
После создания образа анализируются: файловая система и её структуры, MFT на NTFS которая хранит метаданные о каждом файле включая удалённые, журнал файловой системы который логирует операции, свободное пространство где могут быть остатки удалённых файлов, slack space — пространство между концом файла и концом кластера где остаются данные от предыдущих файлов.
Что восстанавливается
Удалённые файлы — через carving, поиск сигнатур файлов в сырых данных диска. JPEG начинается с FFD8FF, PDF с 25504446 — инструмент сканирует весь диск ища эти сигнатуры независимо от файловой системы.
Метаданные файлов — дата создания, изменения, доступа, размер, местоположение. Даже если файл удалён запись в MFT часто остаётся.
История браузера, кэш, cookies — хранятся в известных местах, легко извлекаются.
Реестр Windows — огромный источник информации. Подключённые USB устройства, запущенные программы, посещённые сайты, последние документы, учётные данные.
Prefetch файлы — Windows логирует запуск каждой программы. Имя программы, путь, время запуска, до 8 последних запусков. Удалить программу недостаточно — prefetch остаётся.
Thumbnail кэш — Windows автоматически создаёт миниатюры изображений. Даже если оригинал удалён — миниатюра может остаться в кэше.
Анализ памяти
Почему это важно
RAM содержит данные которых нет на диске — ключи шифрования, пароли, открытые документы, история браузера текущей сессии, активные соединения. Если устройство изъяли включённым — память это приоритет для форензика.
Как извлекается
Через специальные инструменты типа Magnet RAM Capture или WinPMem которые дампят содержимое RAM в файл. Через DMA атаку через Thunderbolt если устройство работает. На мобильных через Cellebrite при AFU состоянии.
Что находят в памяти
Ключи шифрования BitLocker, VeraCrypt, LUKS — именно так обходят шифрование дисков на работающих устройствах. Пароли — браузеры хранят пароли в памяти в открытом виде во время работы. Мессенджеры — расшифрованные сообщения в памяти. VPN ключи и сессионные токены.
Мифы антифорензики
Миф 1 — форматирование диска уничтожает данные
Быстрое форматирование только очищает файловую таблицу — данные остаются. Полное форматирование перезаписывает данные нулями на большинстве современных систем — лучше но не абсолютно на SSD из-за wear leveling.
Миф 2 — удаление файла достаточно
Нет. Удаление только помечает место как свободное. Данные восстанавливаются стандартными инструментами пока место не перезаписано новыми данными.
Миф 3 — режим инкогнито не оставляет следов
Оставляет. На уровне ОС — файлы подкачки, RAM, DNS кэш. На уровне сети — провайдер, роутер. На уровне сайтов — серверные логи.
Миф 4 — SSD безопаснее HDD для уничтожения данных
Наоборот сложнее. SSD использует wear leveling — данные физически перемещаются по чипам памяти. Команда Secure Erase предусмотрена стандартом но реализация разная у разных производителей. Overwrite инструменты типа Gutmann для HDD не работают на SSD так же эффективно.
Миф 5 — шифрование скрывает метаданные
Шифрование скрывает содержимое но не метаданные — когда файл создан, изменён, какого размера, в какой папке находится. На зашифрованном томе файловая система и метаданные видны после монтирования.
Что реально работает
Шифрование с нуля
Зашифрованный диск который никогда не монтировался на анализируемой машине — данные недоступны без ключа. LUKS на Linux, FileVault на Mac, BitLocker на Windows с правильными настройками. Ключевое слово правильными — BitLocker с TPM без PIN уязвим к ряду атак.
Secure Erase для SSD
Команда Secure Erase через hdparm на Linux или производительская утилита — единственный надёжный способ для SSD. Перезапись данными не работает из-за wear leveling.
bash
hdparm --security-erase NULL /dev/sdX
DBAN для HDD
Darik's Boot and Nuke — загрузочный инструмент для многократной перезаписи HDD. Стандарт DoD 5220.22-M — семь проходов перезаписи. Для большинства случаев достаточно одного прохода случайными данными.
Физическое уничтожение
Единственный стопроцентный способ. Дрель через диск. Размагничивание — degaussing. Физическое разрушение чипов памяти SSD. Для серьёзных угроз — только физическое уничтожение даёт абсолютную гарантию.
BleachBit
Инструмент для безопасного удаления файлов и очистки следов на Windows и Linux. Перезаписывает данные, очищает свободное пространство, удаляет временные файлы, кэш браузеров, журналы системы. Не панацея на SSD но существенно усложняет восстановление на HDD.
Tails
Загрузочная система которая не оставляет следов по определению — всё в RAM, после выключения данные исчезают. Ничего не записывается на диск компьютера. Лучшее решение для разовых задач где важно не оставлять следов.
Антифорензика для мобильных
GrapheneOS BFU
Выключенный телефон в BFU состоянии — ключи шифрования не в памяти. Данные зашифрованы и недоступны без PIN. Cellebrite на актуальном Pixel с GrapheneOS в BFU — публичных случаев успешного взлома нет.
Auto reboot
Настроить на минимальный интервал — автоматически переводит в BFU если телефон не использовался. Изъяли пока спал — он уже в BFU.
Минимизация данных
Что не хранится не может быть извлечено. Signal с исчезающими сообщениями, минимум файлов на устройстве, регулярная очистка.
Форензика сети
Логи провайдера — хранятся в зависимости от юрисдикции от 6 месяцев до 3 лет. Содержат IP адреса, время, объём трафика. Содержимое зашифрованного трафика не хранится но метаданные — да.
Логи роутера — домашний роутер логирует DNS запросы и соединения. Часто игнорируется при анализе но может содержать важную информацию.
Защита: VPN шифрует трафик от провайдера. Tor скрывает метаданные соединений. DNS over HTTPS скрывает DNS запросы.
Вывод
Форензика это не магия — это работа с тем что осталось на устройстве. Эффективная антифорензика строится на трёх принципах: не создавать данные которые потом нужно уничтожать, шифровать всё что существует, физически уничтожать носители когда это необходимо. Шифрование это первая линия защиты. BFU состояние устройства это вторая. Минимизация данных это третья.
Форензика и антифорензика: полный разбор
Как работает форензик анализ
Цифровая форензика это извлечение и анализ данных с устройств для использования как доказательств. Инструменты которые используют правоохранители — Cellebrite для мобильных, Magnet AXIOM, EnCase, FTK для компьютеров. Это не магия — это программное обеспечение которое работает по известным алгоритмам с известными ограничениями.
Главный принцип форензики: данные не исчезают просто так. Удалённый файл это файл у которого помечено место как свободное — сами данные остаются на диске до перезаписи. Именно это позволяет восстанавливать удалённые файлы.
Анализ дисков
Как работает
Форензик инструмент создаёт побитовую копию диска — точную копию каждого сектора включая свободное пространство и удалённые файлы. Работа ведётся с копией а не с оригиналом — это стандарт для сохранения доказательной базы.
После создания образа анализируются: файловая система и её структуры, MFT на NTFS которая хранит метаданные о каждом файле включая удалённые, журнал файловой системы который логирует операции, свободное пространство где могут быть остатки удалённых файлов, slack space — пространство между концом файла и концом кластера где остаются данные от предыдущих файлов.
Что восстанавливается
Удалённые файлы — через carving, поиск сигнатур файлов в сырых данных диска. JPEG начинается с FFD8FF, PDF с 25504446 — инструмент сканирует весь диск ища эти сигнатуры независимо от файловой системы.
Метаданные файлов — дата создания, изменения, доступа, размер, местоположение. Даже если файл удалён запись в MFT часто остаётся.
История браузера, кэш, cookies — хранятся в известных местах, легко извлекаются.
Реестр Windows — огромный источник информации. Подключённые USB устройства, запущенные программы, посещённые сайты, последние документы, учётные данные.
Prefetch файлы — Windows логирует запуск каждой программы. Имя программы, путь, время запуска, до 8 последних запусков. Удалить программу недостаточно — prefetch остаётся.
Thumbnail кэш — Windows автоматически создаёт миниатюры изображений. Даже если оригинал удалён — миниатюра может остаться в кэше.
Анализ памяти
Почему это важно
RAM содержит данные которых нет на диске — ключи шифрования, пароли, открытые документы, история браузера текущей сессии, активные соединения. Если устройство изъяли включённым — память это приоритет для форензика.
Как извлекается
Через специальные инструменты типа Magnet RAM Capture или WinPMem которые дампят содержимое RAM в файл. Через DMA атаку через Thunderbolt если устройство работает. На мобильных через Cellebrite при AFU состоянии.
Что находят в памяти
Ключи шифрования BitLocker, VeraCrypt, LUKS — именно так обходят шифрование дисков на работающих устройствах. Пароли — браузеры хранят пароли в памяти в открытом виде во время работы. Мессенджеры — расшифрованные сообщения в памяти. VPN ключи и сессионные токены.
Мифы антифорензики
Миф 1 — форматирование диска уничтожает данные
Быстрое форматирование только очищает файловую таблицу — данные остаются. Полное форматирование перезаписывает данные нулями на большинстве современных систем — лучше но не абсолютно на SSD из-за wear leveling.
Миф 2 — удаление файла достаточно
Нет. Удаление только помечает место как свободное. Данные восстанавливаются стандартными инструментами пока место не перезаписано новыми данными.
Миф 3 — режим инкогнито не оставляет следов
Оставляет. На уровне ОС — файлы подкачки, RAM, DNS кэш. На уровне сети — провайдер, роутер. На уровне сайтов — серверные логи.
Миф 4 — SSD безопаснее HDD для уничтожения данных
Наоборот сложнее. SSD использует wear leveling — данные физически перемещаются по чипам памяти. Команда Secure Erase предусмотрена стандартом но реализация разная у разных производителей. Overwrite инструменты типа Gutmann для HDD не работают на SSD так же эффективно.
Миф 5 — шифрование скрывает метаданные
Шифрование скрывает содержимое но не метаданные — когда файл создан, изменён, какого размера, в какой папке находится. На зашифрованном томе файловая система и метаданные видны после монтирования.
Что реально работает
Шифрование с нуля
Зашифрованный диск который никогда не монтировался на анализируемой машине — данные недоступны без ключа. LUKS на Linux, FileVault на Mac, BitLocker на Windows с правильными настройками. Ключевое слово правильными — BitLocker с TPM без PIN уязвим к ряду атак.
Secure Erase для SSD
Команда Secure Erase через hdparm на Linux или производительская утилита — единственный надёжный способ для SSD. Перезапись данными не работает из-за wear leveling.
bash
hdparm --security-erase NULL /dev/sdX
DBAN для HDD
Darik's Boot and Nuke — загрузочный инструмент для многократной перезаписи HDD. Стандарт DoD 5220.22-M — семь проходов перезаписи. Для большинства случаев достаточно одного прохода случайными данными.
Физическое уничтожение
Единственный стопроцентный способ. Дрель через диск. Размагничивание — degaussing. Физическое разрушение чипов памяти SSD. Для серьёзных угроз — только физическое уничтожение даёт абсолютную гарантию.
BleachBit
Инструмент для безопасного удаления файлов и очистки следов на Windows и Linux. Перезаписывает данные, очищает свободное пространство, удаляет временные файлы, кэш браузеров, журналы системы. Не панацея на SSD но существенно усложняет восстановление на HDD.
Tails
Загрузочная система которая не оставляет следов по определению — всё в RAM, после выключения данные исчезают. Ничего не записывается на диск компьютера. Лучшее решение для разовых задач где важно не оставлять следов.
Антифорензика для мобильных
GrapheneOS BFU
Выключенный телефон в BFU состоянии — ключи шифрования не в памяти. Данные зашифрованы и недоступны без PIN. Cellebrite на актуальном Pixel с GrapheneOS в BFU — публичных случаев успешного взлома нет.
Auto reboot
Настроить на минимальный интервал — автоматически переводит в BFU если телефон не использовался. Изъяли пока спал — он уже в BFU.
Минимизация данных
Что не хранится не может быть извлечено. Signal с исчезающими сообщениями, минимум файлов на устройстве, регулярная очистка.
Форензика сети
Логи провайдера — хранятся в зависимости от юрисдикции от 6 месяцев до 3 лет. Содержат IP адреса, время, объём трафика. Содержимое зашифрованного трафика не хранится но метаданные — да.
Логи роутера — домашний роутер логирует DNS запросы и соединения. Часто игнорируется при анализе но может содержать важную информацию.
Защита: VPN шифрует трафик от провайдера. Tor скрывает метаданные соединений. DNS over HTTPS скрывает DNS запросы.
Вывод
Форензика это не магия — это работа с тем что осталось на устройстве. Эффективная антифорензика строится на трёх принципах: не создавать данные которые потом нужно уничтожать, шифровать всё что существует, физически уничтожать носители когда это необходимо. Шифрование это первая линия защиты. BFU состояние устройства это вторая. Минимизация данных это третья.