Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(справочное)
Примеры технических средств сбора и обработки технических данных, имеющих отдельные функциональные возможности
1. Примеры технических средств выполнения криминалистической копии (создания образа) запоминающих устройств.
В качестве программных средств выполнения криминалистической копии (создания образа) возможно использовать:
- программы (утилиты) dd и dc3dd для UNIX-систем;
- программы FTK Imager, EnCase Forensic Imager или Redline для Windows-систем;
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Вlаскbеrrу-систем;
- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем;
- рекомендации, определенные в разделе 4.2.1 "Copying File from Media" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3];
- программные средства, описанные в разделе "Копирование содержимого энергонезависимых носителей информации" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB) [4].
В качестве программных средств вычисления значений хэш-функиий возможно использовать:
- программы md5sum или sha256sum для Linux-систем;
- программы Memoryze для Windows и MacOS-систем;
- программу dff для Windows и Linux-систем.
В качестве специализированных программных средств - "write-blocker" - возможно использовать:
- программу dff для Windows и Linux-систем;
- рекомендации, определенные в разделе 4.2.2 "Data File Integrity" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
2. Примеры технических средств выполнения копирования содержимого оперативной памяти СВТ и получения данных операционных систем.
В качестве технических средств выполнения копирования содержимого оперативной памяти СВТ возможно использовать:
- программы FTK Imager, Redline, MoonSols Windows Memory Toolkit и Memoryze для Windows-систем;
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Вlаскbеrrу-систем;
- программу Memoryze для MacOS-систем;
- программу dff для Windows и Linux-систем;
- программные средства, описанные в разделе "Копирование энергозависимых данных, лог-файлов сетевого оборудования и сетевого трафика" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB) [4].
В качестве технических средств получения данных операционных систем о сетевых конфигурациях возможно использовать:
- команды ifconfig и агр для UNIX и MacOS-систем;
- команду ipconfig, netstat, агр и route для Windows-систем;
- набор утилит Sysinternals для Windows-систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux- систем;
- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
В качестве технических средств получения данных операционных систем о сетевых соединениях возможно использовать:
- программу netstat для UNIX, Windows и MacOS-систем;
- команды nbstat и net для Windows-систем;
- набор утилит Sysinternals для Windows-систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux- систем;
- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
В качестве технических средств получения данных операционных систем о запущенных процессах возможно использовать:
- команды ps, top и w для UNIX и MacOS-систем;
- программу (утилиту) Task Manager, программу Memoryze и набор утилит Sysinternals для Windows систем;
- программу Memoryze для MacOS-систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux- систем;
- программу dff для Windows и Linux-систем;
- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
В качестве технических средств получения данных операционных систем об открытых файлах возможно использовать:
- команду Isof для UNIX и MacOS систем;
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux- систем;
- набор утилит Sysinternals для Windows-систем;
- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
В качестве технических средств получения данных операционных систем об открытых сессиях доступа возможно использовать:
- команду w для UNIX и MacOS-систем;
- команду netstat для Windows-систем (с параметром - anorse);
- программы Rekall Memory Forensic Framework и Volatility Framework для Windows, MacOS, Linux-систем;
- набор утилит Sysinternals для Windows-систем;
- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
В качестве технических средств получения данных о зарегистрированных пользователях, времени их последней аутентификации возможно использовать:
- команды last, who и w для UNIX и MacOS-систем;
- команду lastlog для Linux-систем;
- команду net для Windows-систем;
- набор утилит Sysinternals для Windows-систем.
В качестве программных средств получения системных даты и времени операционной системы возможно использовать:
- команду date для UNIX и MacOS-систем;
- команду date, time, nlsinfo для Windows-систем;
- программы Rekall Memory Forensic Framework или Volatility Framework для Windows, MacOS, Linux-систем;
- набор утилит Sysinternals для Windows-систем;
- рекомендации, определенные в разделе 5.2.1.2 "Types of Volatile OS Data" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
3. В качестве технических средств получения данных об атрибутах и структуре файлов операционной системы возможно использовать:
- команду file для UNIX и MacOS-систем;
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Вlаскbеrrу-систем;
- программу dff для Windows и Linux-систем;
- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем;
- для анализа исполняемых файлов - программы packerid, pescanner, exescan, PEiD, PeStudio, CFF Explorer;
- для анализа PDF-файлов - программы PeePDF, PDFiD, AnalyzePDF, pdfextract, pdfwalker, pyew, pdf-parser, pdf.py, pdfsh, Malzilla;
- для анализа файлов MS Office - программы OfficeMalScanner, Offvis, peOLEScanner;
- для анализа графических файлов - программы Photo Investigator, Adroit Photo Forensics, Exiftool;
4. Для анализа протоколов (журналов) регистрации web-серверов и прокси-серверов возможно использовать программу Log Analysis Tool Kit (LATK).
5. В качестве технических средств копирования и анализа сетевого трафика возможно использовать:
- программы tcpdump и Wireshark для систем Windows или Linux;
- программы Network Miner и Foremost для Linux-систем;
- программу Kismet (для анализа беспроводных сетей) для Linux-систем;
- программу ntop (для анализа высокопроизводительных сетей) для Windows, Linux и MacOS-систем;
- программу ssldump (для анализа SSLTTLS-трафика);
- программу DINO (для визуализации сетевых соединений и геолокации IP адресов);
- технические средства, указанные в разделе 6.2.1 "Packet Sniffer and Protocol Analyzers" NIST 800-86
Guide to Integrating Forensic Techniques into Incident Response [2];
- технические средства, описанные в разделе "Копирование энергозависимых данных, лог-файлов сетевого оборудования и сетевого трафика" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности"
(GROUP-IB) [4].
6. В качестве технических средств анализа аномальных или вредоносных действий, совершаемых файлами*, возможно использовать программу Cockoo Sandbox.
7. В качестве технических средств анализа сетевого и телекоммуникационного оборудования Cisco возможно использовать команду show (с ключами clock detail, version, running-config, startup-config, users, who, log, debug, processes, ip route, ip ospf, ip bgp, cdp neighbors, ip arp, interfaces, ip sockets, tcp brief all, ip nat translations, ip cef, snmp).
8. В качестве технических средств анализа мобильных устройств возможно использовать программы Belkasoft Evidence Center, .XRY для iOS, Android, Windows Phone, Вlаскbеrrу-систем.
9. В качестве программных средств определения владельца IP/DNS-адреса возможно использовать:
- web-сервис whois;
- команду traceroute для Linux-систем или tracert для Windows-систем;
- команду ip source-track на маршрутизаторах Cisco определенных моделей.
10. В качестве платформы для проведения анализа собранных технических данных возможно использовать платформы REMnux, PALADIN Forensic Suite, которые содержат ряд программных средств, указанных в настоящем приложении, которые позволяют проводить анализ вредоносных и подозрительных файлов, создание криминалистических копий оперативной памяти, запоминающих устройств и сетевого трафика.
------------------------------
* Указанные технические средства имеют общее наименование "Песочница".
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.