Криміналістичний аналіз зліпків оперативної пам'яті

  1. Зміст статті
  2. Зникаючі докази
  3. Що можна знайти в оперативній пам'яті
  4. Як знімається образ пам'яті
  5. А якщо комп'ютер запаролено?
  6. WWW
  7. обмеження
  8. Що далі? Аналізуємо вміст оперативної пам'яті
  9. Пошук і аналіз фотографій
  10. Програми для пошуку доказів в пам'яті комп'ютера
  11. Паперова робота
  12. Аналіз чинного комп'ютера або дослідження вмісту жорсткого диска?
  13. конфіскуємо комп'ютер
  14. Що можна дізнатися про телефон, поклавши його в морозилку
  15. Висновок

Зміст статті

Комп'ютер, телефон, планшет і інші цифрові носії інформації сьогодні є у кожного, від малого до великого. Не дивно, що, як це буває з усім в нашому житті, з їх допомогою не тільки творять розумне, добре, вічне, а й роблять не зовсім правильні і хороші речі. У разі нелегального використання цифрового пристрою або ж коли зловмисник використовував такий пристрій при підготовці або вчиненні злочину, дані на пристрої можуть послужити підтвердженням його провини - так званим цифровим доказом.

Зникаючі докази

Що відбувається, коли на місці злочину виявляється працюючий комп'ютер? У більшості випадків слідчий просто його вимкне. Надалі вивчати цей комп'ютер буде експерт з дослідження комп'ютерної інформації, а зовсім не слідчий. Все, що залишиться «на руках» у експерта, - це жорсткий диск. На жаль, при такому підході назавжди втрачається доступ до величезної кількості «ефемерних» доказів, безповоротно зникають при виключенні живлення. Ці докази - дані, що зберігаються в ОЗП.

Вимикаючи комп'ютер, не знявши попередньо зліпок оперативної пам'яті, слідчі органи можуть ніколи не побачити останніх повідомлень, відправлених підозрюваним через соціальні мережі. Пропадуть ключі, за допомогою яких можуть бути зашифровані криптоконтейнера. Якщо використовувався режим «приватності», експерт ніколи не побачить сайтів, відкритих в момент вимкнення живлення. Будуть безповоротно втрачені і багато інших даних.

Все, що потрібно, щоб не втратити ці та багато інших докази, - зберегти образ оперативної пам'яті в файл.

Що можна знайти в оперативній пам'яті

Якщо гарненько пошукати, в оперативній пам'яті комп'ютера можна знайти найнесподіваніші речі. Наприклад, ключі, за допомогою яких вийде миттєво розшифрувати вміст криптоконтейнера TrueCrypt, BitLocker і PGP Disk. Така функція присутня, наприклад, в програмі вітчизняної розробки Elcomsoft Forensic Disk Decryptor. А ось атака на зашифровані дані «в лоб» займе мільярди років - в кінці кінців, професіонали своєї справи працювали довгі роки, намагаючись захиститися в першу чергу саме від атаки перебором.

В оперативній пам'яті містяться останні повідомлення, отримані і відправлені через соціальні мережі; коментарі, залишені на форумах; повідомлення, передані за допомогою програм миттєвого обміну повідомленнями або з використанням чатів, вбудованих в електронні ігри. Там можна знайти інформацію про останні викачаних файлах. У пам'яті комп'ютера якийсь час зберігаються сторінки і зображення з веб-сайтів - навіть якщо в браузері включений режим захисту приватності, відключений кеш і збереження історії відвідувань. Крім того, є велика кількість системної інформації, завантажені гілки реєстру, розпаковані і розшифровані версії захищених програм, інформація про відкриті мережевих з'єднаннях. Якщо комп'ютер заражений вірусом або на ньому запущена троянська програма, то при дослідженні образу пам'яті їх буде добре видно.

Що можна «добути» з оперативної пам'яті

Як знімається образ пам'яті

Збереження вмісту оперативної пам'яті комп'ютера для подальшого вивчення - необхідний крок в роботі «цифрового» криміналіста. Створення образу пам'яті займає хвилини і при належному рівні технічного забезпечення здійснюється однією кнопкою. При цьому «належний рівень технічного забезпечення» розшифровується дуже просто: достатньо будь-який USB-флешки, здатної повністю вмістити вміст оперативної пам'яті, і невеликої програми - наприклад безкоштовної утиліти російської розробки Belkasoft Live RAM Capturer .

При знятті способу оперативної пам'яті слідчому потрібно враховувати ряд тонкощів. Наприклад, для цього можна використовувати програми, запущені в звичайному режимі користувача, і ось чому.

Багато програм, включаючи популярні ігри для декількох гравців, системи безпеки, а також шкідливе ПЗ, захищають свої процеси від дослідження за допомогою налагоджувальних інструментів (наприклад, гра Karos). У таких програмах використовуються активні системи протидії налагодженні, здатні виявити і запобігти спробі інших програм вважати дані з захищених областей пам'яті. У кращому випадку спроба використання відладчика не вдається - замість цікавить дослідника інформації в захищеній області виявляються нулі або випадкові дані. У гіршому випадку відбувається зависання або перезавантаження комп'ютера, що роблять подальше дослідження неможливим.

Тому запуск утиліти, що працює в режимі користувача, з певною ймовірністю призведе до того, що цікавлять експерта дані витягти не вдасться, а при найгіршому розвитку подій вони будуть безповоротно знищені. Для запобігання подібної ситуації криміналістам доводиться використовувати спеціалізовані програми і інструменти - наприклад CaptureGUARD Gateway, WindowsSCOPE вартістю близько п'яти тисяч доларів або безкоштовний Belkasoft Live RAM Capturer. Обійти активні види захисту від налагодження здатні тільки інструменти, запущені в привілейованому режимі ядра операційної системи. Спеціалізовані програми включають 32- і 64-розрядні драйвери, що працюють в режимі ядра і дозволяють коректно обробляти області даних, що належать захищеним процесам.

Багато платні (і вельми дорогі) криміналістичні продукти (в основному зарубіжного виробництва) мають в своєму складі програми, що дозволяють знімати зліпки пам'яті. При цьому такі програми працюють в режимі користувача і для реального використання криміналістом абсолютно непридатні. Під час криміналістичних конференцій часто виникає питання: чому виробники недешевих аналітичних пакетів поставляють явно непрацездатні інструменти? Виробники зберігають мовчання.

А ось уже згаданий Live RAM Capturer російської компанії «Белкасофт» не варто ні копійки, але виконує всю необхідну роботу в режимі ядра. Завантажити його можна з офіційного сайту - ru.belkasoft.com/ru/memory-dump .

Захоплення зліпка оперативної пам'яті - Belkasoft Live RAM Capturer

А якщо комп'ютер запаролено?

Зняти образ пам'яті легко, якщо доступ до комп'ютера відкритий або якщо криминалисту відомий пароль від будь-якої дійсної облікового запису. Але що, якщо доступ до комп'ютера закритий невідомим паролем, а часу на його злом катастрофічно не вистачає? У цьому випадку на допомогу експерту приходить методика, описана австрійськими дослідниками. Відвернемося на хвилину від розслідування злочинів і подивимося в бік заліза. У більшості сучасних комп'ютерів є один або кілька портів IEEE 1394, відомих також під назвами FireWire або i.LINK. Стандарт FireWire описує можливість прямого доступу до оперативної пам'яті комп'ютера через канал DMA. Що означає наявність «прямого доступу» до пам'яті? Для криміналіста це означає можливість скопіювати її вміст незалежно від того, закритий комп'ютер паролем чи ні.

Отже, якщо комп'ютер підозрюваного закритий паролем, а криминалисту необхідно зняти образ оперативної пам'яті, криміналіст підключає власний комп'ютер до комп'ютера підозрюваного з використанням самого звичайного кабелю FireWire. На комп'ютері криміналіста запускається програма (найпростіші зразки, наприклад Inception або pyfw, написаний на мові Python, доступні у відкритому доступі; втім, криміналісти використовують більш просунутий софт), за допомогою якої весь вміст оперативної пам'яті досліджуваної машини скачується на комп'ютер слідчого. Цей спосіб можна випробувати самостійно. Наприклад, користувачі Linux і OS X можуть скористатися безкоштовною утилітою Inception .

А що, якщо на комп'ютері підозрюваного немає порту FireWire? В цьому випадку криміналіст може використовувати власну карту-адаптер. Якщо вибрати досить поширену модель, то система довантажити відповідні драйвери автоматично. На жаль, коректну роботу нам забезпечить тільки адаптер з інтерфейсом PCMCIA, CardBus або ExpressCard, так як тільки ці інтерфейси надають прямий доступ до пам'яті комп'ютера. Адаптери, що працюють через USB, цієї можливості позбавлені і для криміналіста непридатні. Нарешті, в якості курйозу можна привести посилання на роботу німецьких дослідників, які зламали комп'ютер з використанням самого звичайного телефону iPhone, - bit.ly/60FDdS .

Чи є захист від атаки через FireWire? Способи захиститися від такої атаки існують, і вони давно відомі: потрібно лише тим чи іншим способом відключити підтримку FireWire в той час, коли комп'ютер «спить» або закритий паролем. Комп'ютери під керуванням останніх версій OS X роблять це автоматично, блокуючи драйвери FireWire, поки користувач не зайде на комп'ютер зі своїми логіном і паролем. А ось в Windows і інших операційних системах ситуація зворотна: виробники цих систем роботу драйверів FireWire не блокують; відповідно, навіть Windows 8 з усіма останніми оновленнями залишається вразливою.

WWW

Детальніше про атаку з використанням FireWire можна почитати тут: bit.ly/EvKED , bit.ly/60FDdS

обмеження

Аналіз оперативної пам'яті не панацея. Природа оперативної пам'яті така, що дані зберігаються в ній лише дуже короткий час. Через кілька хвилин, в крайньому випадку - годин (якщо комп'ютер не використовувався) дані можуть бути витіснені або перезаписані іншою інформацією. Тому знімати зліпок пам'яті потрібно «по свіжих слідах». А ось з аналізом знятого образу можна не поспішати - файл з флешки вже нікуди не дінеться.

Що далі? Аналізуємо вміст оперативної пам'яті

Образ оперативної пам'яті знятий. Що далі? Образ пам'яті, отриманий за допомогою правильного інструменту, може бути проаналізований одним із спеціалізованих криміналістичних продуктів. Дослідження способу оперативної пам'яті комп'ютера дозволяє криміналістам виявляти дані, але вони не попадають на жорсткий диск, такі як листування в чатах, спілкування в соціальних мережах і іграх, зображення, історію роботи в браузері, дані реєстру, переговори в онлайнових багатокористувацьких іграх і багато іншого.

Інструментарій вибирається експертом в залежності від того, що саме потрібно виявити. На жаль, на сьогоднішній день універсального рішення не існує. Якісь програми дозволяють отримати ключі, за допомогою яких можна розшифрувати криптоконтейнера. Інші дозволяють знайти повідомлення, відправлені користувачем комп'ютера через соціальні мережі, пошту або програми миттєвого обміну повідомленнями.

Існують інструменти для відновлення аналізу зображень, які переглядав підозрюваний (до речі, за допомогою такого інструменту був викритий принаймні один педофіл, що вийшов на свободу після істотного терміну. ​​Той же інструмент допоміг виправдати підозрюваного, якого оббрехала дружина під час шлюборозлучного процесу). Нарешті, існують програми, за допомогою яких можна відновити інформацію про мережеві з'єднаннях, колишніх активними в момент зняття образу.

Пошук і аналіз фотографій

При веденні розслідувань, пов'язаних зі злочинами на сексуальному грунті, слідчому важливо дізнатися, які саме зображення (фотографії) переглядав підозрюваний. Вивчення жорсткого диска допомагає не завжди: що цікавить слідчого розділ може бути зашифрований, а в браузері може бути включений режим «приватності» (або «інкогніто» за версією Chrome). Суть подібних режимів однакова у всіх браузерах: ніяка інформація про дії користувача в інтернеті на жорсткий диск не потрапляє. Відповідно, при виключенні комп'ютера (або закриття браузера) всі дані пропадають.

Проте десь ці дані все ж зберігаються, і в цій ситуації аналіз зліпка оперативної пам'яті теж може допомогти. Зображення шукаються методом сигнатурного пошуку. Цей механізм дуже схожий на те, як працюють антивіруси: для пошуку зображень використовується набір сигнатур, які зустрічаються в тому чи іншому графічному форматі. Скажімо, на початку всіх файлів у форматі JPEG зустрічається сигнатура JFIF. Виявивши сигнатуру, алгоритм аналізує сусідні байти даних. Якщо дані вказують на те, що виявлений фрагмент належить файлу в відомому програмі форматі, алгоритм розглядає набір даних в якості заголовка файлу, обчислюючи його розмір і параметри. Решта - справа техніки.

Виглядає просто? Дійсно, реалізувати подібний алгоритм нескладно, і саме ним користується переважна більшість розробників криміналістичних програм. Але тут є не просто підводний камінь, а цілий величезний підводний риф. Справа в тому, що Windows далеко не завжди зберігає великі обсяги даних у вигляді безперервної послідовності. Замість цього операційна система записує дані в будь-які вільні сторінки пам'яті - і далеко не факт, що сторінки ці будуть розташовані послідовно. Стандартний алгоритм сигнатурного пошуку може виявити заголовок файлу, але його вміст стандартними способами буде відновити неможливо. Саме тому стандартний алгоритм називається «наївним».

На допомогу криминалисту приходить набір евристичних алгоритмів, які збирають фотографії з безлічі невеликих фрагментів за принципом мозаїки. Такі алгоритми реалізовані у вітчизняному криміналістичному пакеті Belkasoft Evidence Center , Причому складність їх реалізації така, що альтернатив зараз просто не існує. Результат тут гарантується не завжди, а працюють такі алгоритми в десятки разів повільніше, ніж зазвичай сигнатурного пошуку. Втім, результат того вартий - адже витрачається дешеве машинний час, а не ручна робота експерта.

Програми для пошуку доказів в пам'яті комп'ютера

Для аналізу оперативної пам'яті експерти використовують такі основні програми:

  • Belkasoft Evidence Center www.belkasoft.com - пошук чатів, постінгом і коментарів, залишених в соціальних мережах; повідомлень, відправлених через численні програми миттєвого обміну повідомлень, і багатьох інших типів доказів. Російська розробка; Belkasoft Evidence Center
  • Elcomsoft Forensic Disk Decryptor www.elcomsoft.com - інструмент, що дозволяє миттєво розшифровувати вміст криптоконтейнера TrueCrypt, BitLocker і PGP Disk. Також російська розробка; Elcomsoft Forensic Disk Decryptor
  • Passware Kit Forensic www.passware.com - інструмент, що дозволяє миттєво розшифровувати вміст криптоконтейнера TrueCrypt, BitLocker і PGP Disk. Вміє знімати образ пам'яті за допомогою FireWire-атаки. Російська розробка;
  • Guidance EnCase www.guidancesoftware.com - найпотужніший аналітичний пакет, що дозволяє збирати і обробляти багато типів доказів. Де-факто є стандартним інструментом, що використовується в американській поліції. Розробка США. Guidance EnCase

Паперова робота

Робота експерта-криміналіста лише в малій частині складається з пошуку та аналізу доказів. Помітна частина часу витрачається на документування процесу: це необхідно для того, щоб знайдені докази змогли бути представлені в суді в якості речових доказів.

Для того щоб зібрані докази перетворилися в тверду доказову базу, експерту доводиться не тільки детально документувати кожен свій крок, але і бути готовим виступити в суді, доводячи обгрунтованість використання тих чи інших методів та інструментів.

Використання програм для зняття образу оперативної пам'яті неминуче залишає сліди в пам'яті комп'ютера. Сама програма займає місце в пам'яті, а раз так - якась кількість оригінальних даних буде витіснене (перезаписано). Тому потрібно використовувати програму з мінімальним обсягом займаної оперативної пам'яті, а сам факт часткової перезапису вмісту потрібно ретельно задокументувати. Ще зовсім недавно суди відмовлялися приймати в якості речових доказів дані, які були змінені в процесі їх отримання. Зараз ситуація змінюється: суди починають розуміти, що в деяких випадках неможливо зробити омлет, що не розбивши яйце.

Аналіз чинного комп'ютера або дослідження вмісту жорсткого диска?

Як було сказано вище, аналіз запущеної машини неминуче впливає на вміст оперативної пам'яті. У багатьох випадках можуть змінитися і дані, записані на жорсткому диску. І тим не менше в деяких випадках фахівці не поспішають вимикати комп'ютер.

Коли ж необхідно проводити аналіз запущеного комп'ютера? Як правило, до такого аналізу вдаються у випадках, коли на жорсткому диску комп'ютера не очікують знайти істотних доказів, а ось дослідження даних, доступних через відкриті на комп'ютері мережеві з'єднання, здатне принести помітні дивіденди.

При виключенні комп'ютера втрачається доступ до зовнішніх мережевих ресурсів і VPN-сесій. Якщо комп'ютер використовувався як термінал, а реальні дані зберігаються десь на віддаленому сервері, експерту доводиться аналізувати техніку наживо. З таким способом аналізу пов'язана велика кількість ризиків, а для його проведення потрібно експерт найвищої кваліфікації (і дозвіл суду). Відповідно, вдаються до дослідження запущеного комп'ютера нечасто.

конфіскуємо комп'ютер

Поставимо себе на місце експерта-криміналіста. Є працюючий комп'ютер, нам потрібно досліджувати його вміст. Наші дії?

До недавнього часу комп'ютер вимикали (найчастіше - просто знеструмлювали, щоб не дати спрацювати програмами, очищує лог-файли при завершенні робочої сесії), після чого з нього витягували все жорсткі диски, які підключали до пристрою, блокуючого операції записи. З дисків знімали віртуальні образи, і вже з ними в спокійній обстановці працював експерт.

З розвитком технології цей спосіб застарів. Ось, наприклад, які рекомендації дає офіційна інструкція ACPO (Association of Chief Police Officers) британським поліцейським:

  • Провести оцінку ризиків. Чи є необхідність і можливість зняти копію ефемерних даних?
  • Якщо можливість існує, встановити пристрій для зняття зліпка оперативної пам'яті (флешка, зовнішній диск тощо).
  • Запустити програму для зняття образу пам'яті.
  • По завершенні роботи програми коректно зупинити роботу пристрою.
  • Витягти пристрій, використане для зняття образу пам'яті.
  • Перевірити коректність збереженого образу (для цього в обов'язковому порядку використовується комп'ютер слідчого, а не комп'ютер, який аналізує експерт).
  • Після перевірки знятого образу негайно перейти до процедури виключення комп'ютера.

Що можна дізнатися про телефон, поклавши його в морозилку

Кумедне дослідження провели німецькі вчені. При аналізі оперативної пам'яті телефону під управлінням операційної системи Android вони використовували побутову морозильну камеру ( bit.ly/Xa9XXN ).

Ідея заморозітьтелефон пов'язана з появою в системі Android 4.0 можливості шифрування розділів. Ця функція не дозволяє досліднику отримати доступ до інформації, записаної в заблокованому телефоні, без введення коректного пароля. Оскільки підбір пароля - справа тривала і невдячна, дослідники вирішили пошукати спосіб обійти захист.

Точно так же, як і в що стали вже звичними криптоконтейнера, ключі для розшифровки записаних в телефоні даних зберігаються в оперативній пам'яті пристрою. Якби існувала можливість отримати ці ключі, дослідники змогли б використовувати їх для розшифровки вмісту пристрою.

Можливість зняти образ оперативної пам'яті пристрою під керуванням Android існує: для цього телефон переводиться в спеціальний оцінний режим fastboot; в пам'ять інсталюється спеціальна програма, і образ оперативної пам'яті можна скачати через USB. Проблема тут в тому, що при перезавантаженні телефону в оцінний режим вміст оперативної пам'яті встигає обнулитися.

Щоб уповільнити процес обнулення пам'яті, вчені поклали телефон в морозилку, заморозивши його до температури -15 градусів. При такій низькій температурі осередку пам'яті змінюють стан дуже повільно. Відповідно, при виключенні охолодженого телефону і моментальної його перезавантаження в оцінний режим вміст оперативної пам'яті не встигає обнулитися. Експеримент виявився вдалим: дослідникам вдалося витягти з телефону виконавчі ключі, за допомогою яких були зашифровані розділи з одними даними.

Детальніше про цей експеримент можна прочитати на сайті університету. Там же доступний пакет програм FROST, за допомогою якого викачується образ оперативної пам'яті і витягуються крипто-ключі: bit.ly/Xa9XXN

Висновок

Робота «цифрового» криміналіста цікава і незвичайна. Кваліфікованих експертів не вистачає завжди і скрізь. На одній американській конференції начальник міського поліцейського управління нарікав на щільність графіка комп'ютерних криміналістів: на дослідження кожного конфіскованого пристрої експерт може приділити не більше сорока хвилин. Що можна встигнути зробити за сорок хвилин? З використанням програм, описаних в цій статті, - дуже і дуже немало.

Під час криміналістичних конференцій часто виникає питання: чому виробники недешевих аналітичних пакетів поставляють явно непрацездатні інструменти?
Але що, якщо доступ до комп'ютера закритий невідомим паролем, а часу на його злом катастрофічно не вистачає?
Що означає наявність «прямого доступу» до пам'яті?
А що, якщо на комп'ютері підозрюваного немає порту FireWire?
Чи є захист від атаки через FireWire?
Що далі?
Що далі?
Виглядає просто?
Аналіз чинного комп'ютера або дослідження вмісту жорсткого диска?
Коли ж необхідно проводити аналіз запущеного комп'ютера?
IRC (Internet Relay Chat)