Хакерство :Збір доказів і цифровий аналіз йдуть "наживо"

Дні, коли розслідування комп'ютерних інцидентів та слідчі заходи проводилися на відключених від джерела живлення машинах, пройшли. Як показав минулий недавно саміт SANS What Works in Forensics and Incident Response Summit, з випуском нових інструментів, спрямованих на збір та аналіз що зберігається в оперативній пам'яті тимчасової інформації, проведення розслідування інцидентів на включених в мережу машинах стає більш доцільним.

Звичайним аргументом противників проведення слідчих дій на працюючих машинах завжди було те обставина, що такі заходи могли знищити існуючі докази. І хоча подібні випадки дійсно можуть мати місце, думки експертів з цього питання все-таки змінюється, оскільки, як показує практика, вимкнувши комп'ютер можна назавжди втратити ще більше цінного тимчасової інформації (такий, як IP-адреси, URL, Email, паролі та інше) , яка зберігається в його оперативної пам'яті. У випадку, якщо фахівець розуміє, який вплив надає використовується інструментарій на вивчаємо машину, він має можливість користуватися їм більш ефективно, і збирати докази таким чином, щоб їх згодом можна було представити в суді.

За останні шість місяців світло побачили три нових утиліти, призначених для збору інформації, що зберігається у фізичній пам'яті машин під управлінням ОС Windows. Всі вони підтримують роботу з такими операційними системами, як Windows Vista і Windows Server 2003. Також з'явилося кілька нових плагінів для Volatility Framework (інструментарію на основі Python, призначеного для вилучення даних з зроблених раніше знімків пам'яті машин під управлінням Windows). Серед них є два цікавих плагина від Джесса Корнблюма, призначених для відновлення паролів TrueCrypt, а також перегляду коман підозрілих процесів.

Випущена недавно бета-версія утиліти F-Response дозволяє віддалено одержувати знімки оперативної пам'яті машин, що працюють під Windows, не пошкоджуючи при цьому самі дані, оскільки доступ до них здійснюється за принципом "тільки для читання". Ефект від застосування F-Response і Volatility Framework може посилити і представлена на SANS Digital Forensics Summit Аароном Волтерс з Volatile Systems утиліта під назвою Voltage, яка допомагає відслідковувати роботу системи на постійній основі, автоматично робити знімки оперативної пам'яті і здійснювати пошук різних загроз.