В свое время приходилось активно участвовать в расследовании различных инцидентов ИБ. При этом необходимо было производить анализ компьютера подозреваемого. Вот решил поделиться инструментарием. На сегодня существует несколько специальных дистрибутивов для проведения расследований. Есть и платные и сертифицированные (правда за рубежом) и бесплатные. Среди таковых мне очень нравится система CAINE (Computer Aided Investigative Environment). Дистрибутив обладает приятным интерфейсом и достаточным набором инструмента (список инструментов). При загрузке монтирует все разделы в режиме чтения, чтобы не нарушить улики. При необходимости монтирования в режиме записи необходимо набирать команду в консоли. Есть возможность делать образы дисков для анализа. Ведь с точки зрения расследования и суда, нельзя проводить анализ на компьютере подозреваемого. Т.к. в процессе анализа вы нарушаете целостность системы, вносите изменения и т.д. Поэтому весь анализ проводится только на образе системы. В ходе анализа есть возможность восстановления удаленных файлов. Поиск информации, просмотр кеша и многое другое.
Все инструменты собраны в единое меню. В рамках данного меню сразу заводится название расследования и имя исследователя.
Позволяет выгрузить отчет в формате RTF или HTML.
В целом если Вам требуется провести локальное расследование и не потребуется предоставление результатов в суд, то я рекомендую данный продукт. С обращением в суд не готов сказать однозначно, но думаю, что российский суд доказательства собранные данной программой не примет во внимание.
Комментариев нет:
Отправить комментарий