osdn 2016, kyiv, ukraine
TRANSCRIPT
![Page 1: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/1.jpg)
Digital forensics with open source tools
Vitaly Balashov head of digital forensics lab OSDN, 2016 Kyiv, Ukraine
![Page 2: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/2.jpg)
Коротко о главном
ВСЁ. ОЧЕНЬ. ПЛОХО.
![Page 3: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/3.jpg)
Что такое Digital Forensics?
Цифровая криминалистика – это сбор, научное исследование и анализ полученных данных с любого цифрового устройства (компьютер, телефон, сменные носители т.д.) таким образом, чтобы информация могла быть представлена в суде.
![Page 4: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/4.jpg)
Основные Open Source инструменты
The Sleuth Kit.
Плюсы:
Консольный интерфейс.
Большая гибкость. Большие возможности.
Минусы:
Консольный интерфейс.
![Page 5: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/5.jpg)
Основные Open Source инструменты
AutoPsy
Плюсы: Основан на The Sleuth Kit. Легко добавляються модули на Pythton. Имеется сообщество. Минусы: Написан на Java.
![Page 6: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/6.jpg)
Главные представители отрасли
![Page 7: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/7.jpg)
Основные Open Source инструменты
CAINE Live DVD
Плюсы: Содержит огромное количество утилит, необходимых при исследовании. Минусы: Нет единого комплексного решения. Весь функцинал представлен множеством свободных утилит, зачастую не связанных между собой.
![Page 8: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/8.jpg)
Основные Open Source инструменты
![Page 9: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/9.jpg)
Основные Open Source инструменты
![Page 10: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/10.jpg)
Основные Open Source инструменты
KALI LINUX
Плюсы: Содержит много различных утилит из коробки. Добавляет +1 к навыку крутости +5 к загадочности. «Заточен» для pentest`а. Минусы: Просто сбор многих утилит в одном дистрибутиве, ничего более.
![Page 11: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/11.jpg)
Основные Open Source инструменты
![Page 12: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/12.jpg)
Главные представители отрасли
![Page 13: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/13.jpg)
Kali Linux Forensic Tools
afflib-tools
apktool[amd64,i386]
autopsy
bulk-extractor
cabextract
capstone
chkrootkit
creddump
cuckoo
dc3dd
dcfldd
ddrescue
dff
dissy
distorm3
dumpzilla
edb-debugger
ewf-tools
exiv2
extundelete
fcrackzip
firmware-mod-kit
flasm
foremost
galleta
gdb
gparted
guymager[amd64,i386]
inetsim
iphone-backup-analyzer
jad
javasnoop
libewf1
libhivex-bin
lvm2
lynis
magicrescue
md5deep
mdbtools
memdump
missidentify
nasm
ollydbg[amd64,i386]
p7zip-full
parted
pasco
pdfid
pdf-parser
pdgmail
peepdf
pev
polenum
radare2
rdd
readpst
recoverjpeg
recstudio[i386]
reglookup
regripper[amd64,i386]
rifiuti
rifiuti2
safecopy
samdump2
scalpel
scrounge-ntfs
sleuthkit
smali
sqlitebrowser
tcpdump
tcpflow
tcpick
tcpreplay
truecrack
truecrypt
unrar
upx-ucl
vinetto
volafox
volatility
wce
wireshark
xplico
![Page 14: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/14.jpg)
Главные представители отрасли
UALinux: Ubuntu CyberPack
Плюсы: собран отечественным производителем под нужды отечественных же практиков, что вылилось в наличие только действительно необходимых утилит. Минусы: Live only Снова сборка разрозненных утилит.
![Page 15: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/15.jpg)
Volatility framework
Мощь. Жесть. Жир. True. Open Source. Free.
Создавался долго, из маленьких скриптов от разных практиков отрасли цифровой криминалистики. Каждый модуль изначально
сделан кем-то для себя.
Впервые в виде готового фреймворка представлен в 2007 году на конференции Black Hat.
Один из мощнейших инструментов современности для
анализа памяти.
![Page 16: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/16.jpg)
Volatility framework
![Page 17: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/17.jpg)
Volatility framework
![Page 18: OSDN 2016, Kyiv, Ukraine](https://reader031.vdocuments.site/reader031/viewer/2022021921/58ea18fc1a28ab064e8b6131/html5/thumbnails/18.jpg)
Volatility framework
- Image identification - Process Information - Process Listing - PE file extraction - Logs / Histories - Network Information - Kernel Memory - Injected code - Registry - Dump conversion - Api Hooks - Yara Scanning
- Strings - Password recovery - Disk encrypton - Malware Specific - Filesystem resources - GUI Memory - Volshell - Command history - TrueCrypt passphrase recovery