LXF134:DrBrown1

Вскрытие файловой системы

Долой лупу и порошок для определения отпечатков пальцев – переходим на утилиты.

Smart (Self-Monitoring Analysis and Report­ing Technology) – тех­но­ло­гия са­мо­кон­тро­ля, ана­ли­за и опо­ве­щения, раз­ра­бо­тан­ная ве­ду­щи­ми про­из­во­ди­те­ля­ми же­ст­ких дисков для пре­достав­ления под­роб­ной ди­аг­но­сти­че­ской ин­фор­ма­ции о со­стоянии на­ко­пи­те­ля. Идея тут в том, что­бы по­вы­сить на­деж­ность хранения, оп­ре­де­ляя при­бли­жение сбоя до то­го, как он про­изой­дет и вы по­стра­дае­те от про­стоя диска или по­те­ри дан­ных. Эта идея не но­ва. В «Косми­че­ской одис­сее: 2001», как вы помните, HAL 9000 пред­ска­зал сбой в ра­бо­те па­ра­бо­ли­че­ской ан­тен­ны ко­раб­ля AE35.

Мой друг ез­дит по кли­ен­там, со­би­рая ком­пь­ю­те­ры для су­деб­но­го ана­ли­за. Хо­ро­шую ком­панию ему мог бы со­ста­вить Sleuthkit (http://www.sleuthkit.org) – на­бор ути­лит для де­таль­ной про­ве­рки фай­ло­вой систе­мы на ком­пь­ю­те­рах, ко­то­рые бы­ли ата­ко­ва­ны или мо­гут со­дер­жать «непод­хо­дя­щую» ин­фор­ма­цию. Ути­литы ра­бо­тают с фай­ло­вы­ми систе­ма­ми NTFS, FAT, HFS+, Ext2, Ext3, UFS1 и UFS2. Па­кет Sleuthkit со­дер­жит биб­лио­те­ку на C и око­ло 25 ути­лит команд­ной стро­ки и man-страниц. Autopsy – гра­фи­че­ская обо­лоч­ка для это­го ин­ст­ру­мен­та­рия.

Sleuthkit вы­пол­няет «мерт­вый ана­лиз», когда систе­ма ана­ли­за ис­поль­зу­ет­ся для про­вер­ки диска или его об­раза из со­мнитель­ной систе­мы. Аль­тер­на­ти­ва – «жи­вой ана­лиз», при ко­то­ром со­мнитель­ная систе­ма про­ве­ря­ет­ся во вре­мя сво­ей ра­бо­ты. При этом Autopsy и Sleuthkit за­пуска­ют­ся с ком­пакт-диска в недо­ве­рен­ной сре­де. Это часто применя­ет­ся во вре­мя «от­ве­та на ин­ци­дент», когда ин­ци­дент под­твер­жда­ет­ся. По­сле это­го мож­но по­лу­чить фи­зи­че­ский доступ к систе­ме и вы­полнить «мерт­вый ана­лиз». Ис­поль­зуе­мые Autopsy тер­ми­ны от­ра­жа­ют серь­ез­ную при­ро­ду ее ра­бо­ты. В ней мож­но «от­крыть де­ло», на­зна­чить «сле­до­ва­те­лей» и по­местить ре­зуль­та­ты в «сейф с ули­ка­ми».

Ути­ли­та вы­пол­няет тек­сто­вый по­иск в об­ра­зе фай­ло­вой систе­мы, да­же во фраг­мен­тах уда­лен­ных фай­лов. В ней мож­но по­стро­ить вре­мен­ную шка­лу ак­тив­но­сти фай­ло­вых систем, в том чис­ле на несколь­ких ком­пь­ю­те­рах. Ути­ли­та про­ве­ряет кон­троль­ные сум­мы MD5 фай­лов, сравнивает их с кон­троль­ны­ми сум­ма­ми «до­ве­рен­ных фай­лов» в ба­зе дан­ных и ищет «пло­хие» фай­лы. Sleuthkit не ав­то­ма­ти­зи­ру­ет про­цесс рас­сле­до­вания, но пре­достав­ля­ет сред­ства вы­полнения этой ра­бо­ты.

Про­верь­те се­бя

Ес­ли вы хо­ти­те ис­сле­до­вать ка­кую-ни­будь фай­ло­вую сис­те­му, но не­дав­но ата­ко­ван­ных под ру­кой нет, не­сколь­ко под­хо­дя­щих об­ра­зов вме­сте с за­да­ча­ми на ис­сле­до­ва­ние мож­но най­ти по ад­ре­су http://old.honeynet.org/scans. Это по­мо­жет вам ско­ро­тать вре­мя дожд­ли­вы­ми лет­ни­ми день­ка­ми.