LXF134:DrBrown1
|
|
|
Вскрытие файловой системы
- Долой лупу и порошок для определения отпечатков пальцев – переходим на утилиты.
Smart (Self-Monitoring Analysis and Reporting Technology) – технология самоконтроля, анализа и оповещения, разработанная ведущими производителями жестких дисков для предоставления подробной диагностической информации о состоянии накопителя. Идея тут в том, чтобы повысить надежность хранения, определяя приближение сбоя до того, как он произойдет и вы пострадаете от простоя диска или потери данных. Эта идея не нова. В «Космической одиссее: 2001», как вы помните, HAL 9000 предсказал сбой в работе параболической антенны корабля AE35.
Мой друг ездит по клиентам, собирая компьютеры для судебного анализа. Хорошую компанию ему мог бы составить Sleuthkit (http://www.sleuthkit.org) – набор утилит для детальной проверки файловой системы на компьютерах, которые были атакованы или могут содержать «неподходящую» информацию. Утилиты работают с файловыми системами NTFS, FAT, HFS+, Ext2, Ext3, UFS1 и UFS2. Пакет Sleuthkit содержит библиотеку на C и около 25 утилит командной строки и man-страниц. Autopsy – графическая оболочка для этого инструментария.
Sleuthkit выполняет «мертвый анализ», когда система анализа используется для проверки диска или его образа из сомнительной системы. Альтернатива – «живой анализ», при котором сомнительная система проверяется во время своей работы. При этом Autopsy и Sleuthkit запускаются с компакт-диска в недоверенной среде. Это часто применяется во время «ответа на инцидент», когда инцидент подтверждается. После этого можно получить физический доступ к системе и выполнить «мертвый анализ». Используемые Autopsy термины отражают серьезную природу ее работы. В ней можно «открыть дело», назначить «следователей» и поместить результаты в «сейф с уликами».
Утилита выполняет текстовый поиск в образе файловой системы, даже во фрагментах удаленных файлов. В ней можно построить временную шкалу активности файловых систем, в том числе на нескольких компьютерах. Утилита проверяет контрольные суммы MD5 файлов, сравнивает их с контрольными суммами «доверенных файлов» в базе данных и ищет «плохие» файлы. Sleuthkit не автоматизирует процесс расследования, но предоставляет средства выполнения этой работы.
Проверьте себя
Если вы хотите исследовать какую-нибудь файловую систему, но недавно атакованных под рукой нет, несколько подходящих образов вместе с задачами на исследование можно найти по адресу http://old.honeynet.org/scans. Это поможет вам скоротать время дождливыми летними деньками.