Руководство по основам расследований на компьютерах
Злоумышленники могут использовать компьютеры для незаконной деятельности самыми разными способами — взламывать системы, выкрадывать коммерческие тайны, похищать личные сведения и т.д. Постоянно появляются сведения о новых уязвимостях
и методах их использования в злонамеренных целях. Гораздо реже можно узнать о том, как использовать компьютеры для расследования таких злонамеренных действий.
Для некоторых видов расследований требуются высококвалифицированные специалисты, применяющие сложные методики и дорогостоящее оборудование. Однако существуют и более доступные методы, применяемые для простых расследований и анализа. В этой статье мы рассмотрим методики анализа работы компьютеров, доступные для обычных администраторов.
В статье описываются два решения, которые можно загрузить бесплатно: «The Fundamental Computer Investigation Guide for Windows» (go.microsoft.com/fwlink/?LinkId=80344и Malware Removal Starter Kit (go.microsoft.com/fwlink/?LinkId=93103). В этой статье мы узнаем, как с помощью этих двух решений создать среду предустановки Windows® PE, в которой можно эффективно исследовать состояние компьютера и сохранить результаты исследования для отчетов и анализа. Обратите внимание, что описываемую методику нельзя применять для жестких дисков с шифрованием или входящих в RAID-массив. Кроме того, если жесткий диск поврежден, понадобится сначала выполнить необходимые действия по его восстановлению.
В нашем решении описывается удобный способ сбора доказательств на компьютере под управлением Windows, но это все же весьма простой способ. Существует ряд усовершенствованных коммерческих решений, с помощью которых можно выполнить описываемые действия гораздо более эффективно.
Также имейте в виду, что описываемая нами методика не является гарантированно надежной и не сертифицирована Международным обществом исследователей компьютеров (ISFCE). Перед началом расследования следует решить, могут ли доказательства, найденные на жестком диске, быть использованы в судебном разбирательстве. Если такая вероятность существует, к проведению расследования должен был привлечен сертифицированный специалист по исследованию компьютеров. В зависимости от вида возможного судебного разбирательства следует принять решение о том, следует ли передать расследование непосредственно в соответствующие правоохранительные структуры. Дополнительные сведения об этом см. в руководстве «The Fundamental Computer Investigation Guide for Windows».
О решениях Solution Accelerator
В руководстве «Fundamental Computer Investigation Guide for Windows» рассматриваются процессы и средства, используемые для анализа компьютеров. В руководстве выделены четыре этапа расследования на компьютере: оценка ситуации, получение данных, анализ данных, отчет. Это удобная модель, с помощью которой ИТ-специалисты могут проводить расследования, фиксируя важные факты.
В руководстве также указано, в каких случаях следует привлекать правоохранительные структуры. При принятии таких решений следует обращаться к юридическим консультантам. Также в этом руководстве содержатся сведения о преступлениях в компьютерной области, о том, как обращаться в правоохранительные структуры, а также о программах Windows Sysinternals и прочих программах Windows, которые могут пригодиться при проведении расследований.
Второе решение типа Solution Accelerator, на которое мы ссылаемся в этой статье — это Malware Removal Starter Kit. В этом решении содержатся советы о том, как создать загрузочный диск Windows PE для удаления вредоносных программ с компьютера. Также это руководство включает список угроз и некоторые способы их устранения, с помощью которых можно снизить ущерб в организациях. Кроме того, подчеркивается важность заблаговременной разработки плана действий на случай возможного проникновения вредоносных программ в систему. Подход, применяемый в решении Malware Removal Starter Kit, также включает четыре этапа работы: нужно определить вид вредоносных программ, ограничить их распространение, удалить их, если возможно, убедиться в том, что они удалены, и перейти к дальнейшим действиям.
Компакт-диск Windows PE
Для выполнения расследования понадобятся две вещи: компакт-диск Windows PE и внешний накопитель, например флэш-накопитель USB.
Возможно, когда вы смотрели детективы по телевизору, то обратили внимание, что сотрудники правоохранительных органов должны зафиксировать состояние места преступления без изменений. По этой же причине нужно сохранить данные на исследуемом жестком диске. В отличие от диска с набором Malware Removal Starter Kit, создаваемый нами загрузочный диск Windows PE будет запускать программы только так, чтобы они никаким образом не изменяли данные на жестком диске.
При использовании диска Windows PE загружается ограниченная среда Windows. При создании этого загрузочного диска можно добавить на него программы (такие как Malware Removal Starter Kit), заранее настроенные для определенных целей. Обратите внимание, что на компьютере должно быть не менее 512 МБ ОЗУ — это требование Windows PE.
Процесс создания загрузочного компакт-диска Windows PE, подробно описанный в Malware Removal Starter Kit, довольно прост. Перед созданием этого загрузочного диска нужно установить набор автоматической установки Windows (AIK), пакет Sysinternals Suite (доступный по адресу microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx), поместить программы Sysinternals в список программ, как описано в задаче 2 решения Malware Removal Starter Kit, и установить прочие средства для проверки на наличие вредоносных программ. Подробные инструкции по созданию диска см. в документе Malware Removal Starter Kit.
Внешний USB-накопитель
Поскольку нельзя менять данные на исследуемом диске, понадобится внешний флэш-накопитель или жесткий диск для сохранения файлов. (Рекомендуется применять флэш-накопитель USB, поскольку Windows PE автоматически подключает USB-устройства.) Также можно использовать внешний жесткий диск для сохранения образа исходного жесткого диска. При этом важно заранее спланировать, сколько места на диске потребуется для расследования.
Нужно убедиться в том, что для расследования используются только нужные программы, поэтому с внешнего жесткого диска, который будет использоваться для расследования, нужно полностью удалить все данные. Для этого можно применить программы, полностью стирающие и перезаписывающие весь диск. Затем внешний диск можно отформатировать и установить нужную метку для использования в расследовании. Эти меры предосторожности необходимы для того, чтобы на внешнем диске не осталось лишних файлов, которые могли бы повлиять на данные, собранные во время расследования.
Также следует использовать форму цепи обеспечения сохранности, чтобы официально зафиксировать в документах, кто работал с компьютером в ходе расследования. В руководстве «The Fundamental Computer Investigation Guide for Windows» содержится пример такой формы. После подготовки набора (с загрузочным диском Windows PE, внешним накопителем и формой) можно начать расследование.
Выполнение расследования
Итак, приступаем к расследованию. Прежде всего, нужно загрузить компьютер с диска Windows PE. Убедитесь, что в установленном на компьютере порядке загрузки первым загрузочным устройством является дисковод для компакт-дисков. При получении запроса нажмите любую клавишу для загрузки с компакт-диска. Это позволит запускать программы, записанные на диске.
Мы будем использовать набор на тестовом компьютере, чтобы продемонстрировать, как собирать данные. Тестовый компьютер будет называться Testbox1. Дисковод для компакт-дисков на компьютере Testbox1 обозначен буквой X:\, а папка программ набора Malware Removal Starter Kit по умолчанию —X:\tools. Чтобы перейти в эту папку, введите простую команду: cd \tools.
Существует несколько программ, с помощью которых можно узнать, какие диски установлены на компьютере. Программа Bginfo.exe, находящаяся в папке программ Sysinternals, может предоставить такие данные и поместить их в фоновое окно рабочего стола для справки. Программа Drive Manager также может определить все диски на компьютере, включая логические диски и внешнее USB-устройство. На рис. 1 показаны сведения о дисках компьютера Testbox1. Загрузочный диск — X:\, нужный нам исходный жесткий диск — C:\, а внешний USB-накопитель —F:\.
Рис 1 Просмотр информации о дисках с помощью Drive Manager
Проверка наличия вредоносных программ
Перед началом расследования нужно убедиться в наличии вредоносных программ, которые могли бы повлиять на собираемые данные. Отчет, создаваемый средством удаления вредоносного ПО, при необходимости можно использовать как доказательство. Если компьютер не проверен на наличие вредоносных программ, это может подвергнуть риску расследование и заставить усомниться в квалификации проверяющего, в его аккуратности и тщательность работы. Рекомендуем использовать предоставленные средства обнаружения вредоносного ПО в режиме чтения или в режиме отчетов.
В наборе Malware Removal Starter Kit перечислено несколько рекомендуемых средств, включая средство удаления вредоносных программ Майкрософт и McAfee AVERT Stinger. При запуске средства удаления вредоносных программ Майкрософт обязательно используйте в командной строке параметр /N, чтобы средство не пыталось удалить вредоносные программы, а только составило отчет о них:
x:\tools\windows-KB890830-v1.29.exe /N
Файл отчета будет находиться в папке %windir%\debug\mrt.log.
Сходным образом, при запуске McAfee AVERT Stinger выберите режим «Report only», как показано на рис. 2, чтобы компьютер был проверен без каких-либо изменений на жестком диске. После проверки обязательно сохраните отчет.
Figure 2 Use Report only mode in McAfee AVERT Stinger
Сохранение важных файлов
Если перед началом исследования не была создана копия всего диска, нужно скопировать хотя бы самые важные файлы пользователей. Данные о конфигурации могут быть использованы для изучения в дальнейшем. Для начала нужно скопировать файлы и параметры реестра, содержащие все важные сведения о том, как работал компьютер, и какие программы были установлены.
Чтобы сохранить реестр компьютера Testbox1, сначала создадим папку на съемном диске F:\, а затем запишем дату и время начала исследования с помощью следующих команд:
f: Mkdir f:\evidence_files Date /t >> f:\evidence_files\Evidence_start.txt Time /t >> f:\evidence_files\Evidence_start.txt
Теперь сохраним реестр с помощью команды xcopy. Эта команда копирует всю папку конфигурации и ее содержимое. Нужные нам файлы реестра находятся в папке %windows%\system32\config. Запустим следующую команду:
При этом будут скопированы все данные конфигурации из папки config. В папке config компьютера Textbox1 содержится около 95 МБ данных.
Теперь займемся данными пользователей. Эти данные могут находиться где угодно на диске. В нашем примере скопируем данные только из папки C:\HR. Чтобы полностью скопировать все данные из этой папки и вложенных папок, снова используем команду xcopy:
В нашем примере собрано около 500 МБ данных, которые теперь можно при необходимости анализировать. Объем собранных данных может быть огромным, особенно если среди этих данных будут звуковые файлы, видео и фотографии. Тем не менее, нужно постараться сохранить как можно больше исходных данных, поскольку в ходе расследования может потребоваться не только собрать данные, но и гарантировать, что данные не были изменены в процессе сбора. Лучше всего создать образ всего диска, но это может быть затруднено из-за ограничений по размеру. Именно поэтому лучше заранее продумать, сколько места может понадобиться для расследования.
Сбор дополнительных сведений
При сборе доказательств могут пригодиться и системные файлы, однако их сбор не так прост: эти файлы могут находиться в разных местах. Тем не менее, некоторые типы файлов стоит найти, потому что они могут содержать полезные данные. Например, файлы подкачки содержат данные о том, какие файлы были прочитаны в память. Кроме того, файлы подкачки могут содержать подробные данные об использовании системы. Данные веб-обозревателей и файлы «cookie» содержат сведения о посещенных веб-узлах.
Найти эти данные не всегда просто, особенно если пользователь изменил конфигурацию и сохранял эти данные не в папках по умолчанию, а в других папках. Для поиска важных файлов можно использовать некоторые программы Sysinternals. На рис. 3 перечислено пять полезных приложений и описано, как они могут помочь в исследовании.
Рис 3 Tools to locate files and data of interest
Приложение Описание AccessChk Показывает сведения об обращениях указанного пользователя или группы к файлам, разделам реестра и службам Windows. AccessEnum Показывает права доступа пользователей папкам, файлам и разделам реестра на компьютере. Этот инструмент можно использовать для поиска ошибок при назначении разрешений. Du Показывает, сколько места на диске занимает каждая папка. PsInfo Отображает сведения о компьютере. Strings Поиск строк в формате ANSI и Юникод в двоичных образах.