Применение The Forensic Toolkit
Инструментарий включает различные утилиты командной строки, генерирующие статистические данные и информацию об исследуемой файловой системе. Чтобы выполнить команду, наберите ее в окне командной строки (вы должны находиться в соответствующем каталоге). В последующих разделах описаны отдельные средства.
Afind
Эта утилита ищет файлы по времени доступа к ним, не изменяя информацию о доступе, что отличает ее от обычных утилит Windows. Основной формат команды таков
afind каталог_поиска опции
Основные опции перечислены в табл. 11.6.
| -f имя_файла | Выдает информацию о времени доступа к файлу с заданным именем |
| -s X | Отыскивает файлы, к которым обращались в течение последних X секунд |
| -m X | Отыскивает файлы, к которым обращались в течение последних X минут |
| -d X | Отыскивает файлы, к которым обращались в течение последних X дней |
| -a d/m/y-h:m:s | Отыскивает файлы, к которым обращались после указанной даты и времени |
Hfind
Это - средство поиска скрытых файлов в операционной системе Windows. Выдаются файлы, у которых установлен бит атрибута скрытости, а также файлы, скрытые с помощью специального атрибутного метода каталога/системы Windows NT. Формат таков:
hfind каталог_поиска
Команда выдает список скрытых файлов и дату и время последнего доступа к ним. Будьте осторожны при поиске по всему жесткому диску, так как на это может потребоваться много времени.
Sfind
Средство поиска на жестком диске скрытых потоков данных. Они отличаются от скрытых файлов, так как не становятся видны на жестком диске, когда вы щелкаете мышью на опции показа скрытых файлов. Скрытые потоки данных - особенность NTFS, предоставляющая определенным программам доступ к альтернативным потокам данных. Эти файлы связываются с видимым родительским файлом, но не удаляются, когда файловая система удаляет последний. Они могут применяться для сокрытия данных или вредоносного программного обеспечения. Формат команды sfind таков:
sfind каталог_поиска
Если вы ищете, отправляясь от корневого каталога большого диска, поиск может быть весьма длительным.
FileStat
Эта команда выдает полную распечатку атрибутов файла, включая информацию о безопасности. В каждый момент времени она работает только с одним файлом. Вывод можно направить по каналу в текстовый файл для дальнейшей обработки. Эта команда выдает довольно много информации, включая подробные сведения о файловом дескрипторе, которые обычно не сообщаются. На листинге 11.5 показан пример этой информации для файла с именем test.txt.
Creation Time - 01/10/2004 03:18:40 Last Mod Time - 01/10/2004 03:18:40 Last Access Time - 01/10/2004 03:18:40 Main File Size - 11 File Attrib Mask - Arch Dump complete:Dumping C:\temp\test.txt: SD is valid. SD is 188 bytes long. SD revision is 1 ==SECURITY_DESCRIPTOR_REVISION1 SD's Owner is Not NULL SD's Owner-Defaulted flag is FALSE SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460 SD's Group-Defaulted flag is FALSE SID = TONYVPRDESKTOP/None S-1-5-21--181663460--953405037- SD's DACL is Present SD's DACL-Defaulted flag is FALSE ACL has 4 ACE(s), 112 bytes used, 0 bytes free ACL revision is 2 == ACL_REVISION2 SID = BUILTIN/Administrators S-1-5-32-544 ACE 0 is an ACCESS_ALLOWED_ACE_TYPE ACE 0 size = 24 ACE 0 flags = 0x00 ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = NT AUTHORITY/SYSTEM S-1-5-18 ACE 1 is an ACCESS_ALLOWED_ACE_TYPE ACE 1 size = 20 ACE 1 flags = 0x00 ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460- ACE 2 is an ACCESS_ALLOWED_ACE_TYPE ACE 2 size = 36 ACE 2 flags = 0x00 ACE 2 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = BUILTIN/Users S-1-5-32-545 ACE 3 is an ACCESS_ALLOWED_ACE_TYPE ACE 3 size = 24 ACE 3 flags = 0x00 ACE 3 mask = 0x001f01ff -R -X SD's SACL is Not Present Stream 1: Type: Security Stream name = ?? ??Size: 188
Stream 2: Type: Data Stream name = ?? ??Size: 11
Stream 3: Type: Unknown Stream name = ?? ??Size: 64
Листинг 11.5. Выдача команды FileStat
Hunt
Это средство можно применять для получения детальной информации о системе с помощью возможностей пустого сеанса Windows. При определенной степени вседозволенности в вашей системе может выдаваться важная информация, такая как списки пользователей, разделяемых ресурсов и запущенных служб. Команда имеет следующий формат:
hunt имя_исследуемого_хоста
На листинге 11.6 приведен пример выдачи команды Hunt.
share = IPC$ - Remote IPC
share = print$ - Printer Drivers
share = SharedDocs -
share = Printer3 - Acrobat Distiller
share = Printer2 - Acrobat PDFWriter
User = Administrator, , , Built-in account for administrating the computer/domain
Admin is TONYVPRDESKTOP\Administrator User = Howlett, , ,
User = Guest, , , Built-in account for guest access to the computer/domain
User = HelpAssistant, Remote Desktop Help Assistant Account, Account for Providing Remote Assistance
User = SUPPORT_388945a0, CN=Microsoft Corporation, L=Redmond, S=Washington, C=US, , This is a vendor's account for the Help and Support Service
User = Tony Howlett,
Листинг 11.6. Выдача команды hunt
В списке можно видеть двух пользователей, которые обычно не отображаются в разделе User Account системы Windows: HelpAssistant и SUPPORT (возможности удаленной помощи и раздражающая возможность "уведомите службу поддержки", выскакивающая всякий раз, когда программа отдает концы). Это пользователи системного уровня для внутренних программ. С помощью данного средства можно раскрыть других скрытых пользователей, спрятанных квалифицированным нарушителем.
Эта лекция не претендует на полноту описания всех возможных судебных средств, однако представленных средств достаточно, чтобы выполнять основные судебные действия практически на любой системе. Для тех, кто профессионально работает в данной области или оказался вовлеченным в расследование, имеется много других средств. Хороший список судебных средств с открытыми исходными текстами можно найти по адресу http://www.opensourceforensics.org/.
<
