Программы для компьютерной экспертизы

Обновлено: 07.07.2024

Информационно-техническая экспертиза лицензионного программного обеспечения, выявление признаков контрафактности программных продуктов. Экспертиза компьютерных программ (приложение, скрипт, web-сайт, CMS, СУБД и пр.).

Для чего нужна экспертиза компьютерной программы?

Исследование и компьютерно-техническая экспертиза программного обеспечения проводится с различными целями:

Программно-техническая экспертиза компьютерных программ осуществляются посредством разрешения вопросов, требующих специальных знаний в области компьютерной техники, программного обеспечения и компьютерной информации.
Результатом экспертизы является объемный документ — заключение эксперта, содержащее исследовательскую часть и выводы.

Содержание исследования, программно-технической экспертизы компьютерной программы.

При назначении программно-технической экспертизы программ изучается алгоритм функционирования компьютерных программ, содержащихся на представленных для экспертизы носителях информации.

Изучение программного обеспечения осуществляется с целью установления функций или свойств программ (в том числе вредоносных), выявления фактов модификации или снятия программно-аппаратной защиты с лицензионных продуктов.

В ходе экспертизы компьютерных программ осуществляется сканирование носителей компьютерной информации и поиск среди имеющихся файлов (в том числе среди удаленных) объектов (и информации о них), относящихся к поставленным вопросам.

Перечень вопросов, которые ставятся перед экспертом всегда зависит от конкретной ситуации, и, зачастую согласовывается с экспертами, с целью получения максимально возможны данных, находящихся на предоставляемых для экспертизы объектах.

Наши специалисты имеют опыт проведения компьютерно-технических экспертиз и исследований, поэтому во всех нюансах знакомы с требованиями судов, органов следствия и дознания, предъявляемыми к судебным заключениям экспертов и специалистов по компьютерным программам.

Очень важным моментом при назначении экспертизы является формулировка вопросов исходя из конкретной ситуации, поэтому наши специалисты всегда оказывают бесплатные консультации, направленные на выявление возможностей компьютерно-технической экспертизы.

Для более подробной консультации по проведению независимой компьютерно-технической экспертизы Вы можете обратиться к нашим экспертам.

Информационно-техническая экспертиза вредоносных программ (компьютерные вирусы, троянские программы, Keylogger, Ботнет, Руткит, Баннеры вымогатели и шифровальщики, Фишинг).

Наши сотрудники осуществляют техническую экспертизу вредоносных программ в рамках компьютерно-технических и программно-технических экспертиз и исследований, а также в рамка проводимых расследований инцидентов информационной безопасности. У нас большой опыт иинформационно-технических экспертиз вредоносных программ: компьютерных вирусов, троянских программ и других видов (keylogger, ботнет, руткит, баннеры вымогатели и шифровальщики, фишинг).

При назначении программно-технической экспертизы компьютерных программ (программно-компьютерной экспертизы) экспертом изучается алгоритм функционирования компьютерных программ, содержащихся на носителях информации, осуществляется устанавливаются функций и свойств программ (в том числе вредоносных), выявляются фактов модификации или снятия программно-аппаратной защиты с лицензионных продуктов.

В соответствии со ст. 273 УК РФ компьютерная программа является вредоносной, если она обладает определенными характеристиками.
Вредоносная программа заведомо предназначена для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

экспертиза программного обеспечения

В процессе исследования (или экспертизы), эксперт изучает поведение представленной программы, определяет её алгоритм и предназначение, проводит анализ взаимодействия программы с операционной системой, локальными файлами, сетевой взаимодействие.

Специфические вопросы, ответы на которые способен дать эксперт при проведении экспертизы вредоносной компьютерной программы:

  • Содержатся ли на представленном носителе программы или компьютерная информация, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации?
  • Какого типа программы, обладающие функциями и характеристиками вредоносных компьютерных программ, содержатся на представленном для проведения программно-технической экспертизы оборудовании?
  • Какие следы деятельности вредоносного программного обеспечения имеются на представленном компьютерном оборудовании (носителе информации, системном блоке, ноутбуке, мобильном телефоне, планшете)?
  • Содержатся ли на представленных носителях исходные коды программного обеспечения, если да, какого именно?

На судебно-экспертную деятельность наших сотрудников как негосударственных экспертов в обязательном порядке распространяется действие Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации».

Заключения наших специалистов и экспертов имеют равную юридическую силу с заключениями государственных экспертных учреждений.
Полнота исследовательской части заключений достигается благодаря большому опыту и квалификации наших специалистов, а также применяемым в работе самым современным программно-аппаратным средствам криминалистики для работы с компьютерными программами.

Экспертиза компьютерных программ. Стоимость и сроки.

Для разрешения эксперту может быть поставлено различное количество вопросов, требующих для подготовки заключения различных временных затрат.
Поэтому стоимость и сроки проведения технической экспертизы компьютерной программы зависят от количества и сложности поставленных вопросов.
Стоимость экспертизы компьютерной программы может варьироваться от 20 до 180 тысяч рублей.
Срок, за который проводится экспертиза компьютерной программы составляет от 3 до 30 дней.

Для корпоративных клиентов существует система абонентского обслуживания по долгосрочным договорам, предусматривающая существенные скидки при обращении в Центр Безопасности при проведении компьютерных экспертиз, исследований, расследований инцидентов информационной безопасности.

Более подробную информацию о проведении экспертизы или исследовании компьютерных программ можно получить, обратившись к нашим специалистам.


Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.

Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB.

Чемоданчик киберкриминалиста

Компьютерная экспертиза исследует большое количество разнообразных цифровых устройств и источников данных. В ходе исследований могут использоваться как программные, так и аппаратные средства — многие из них стоят недешево. Не каждая компания, а тем более отдельный специалист, могут позволить себе подобные расходы. Мы, в Group-IB, не экономим на инструментах, что позволяет проводить исследования качественно и оперативно.

Естественно, список программ, находящихся в моем рейтинге, отличается от общемирового. Это обусловлено как региональными особенностями — например, часть зарубежных программ не умеют извлекать данные из российских мессенджеров, да и вообще с русским языком не дружат (в поисковых задачах) — так и экспортными ограничениями, из-за которых российские специалисты не имеют возможности использовать весь мировой арсенал подобных средств.

Мобильная криминалистика, аппаратные средства


Cellebrite UFED Touch 2 — продукт, изначально разрабатывавшийся для работы в полевых условиях. Концептуально разделен на две части:
· фирменный планшет Cellebrite UFED Touch 2 (или UFED 4PC — программный аналог Cellebrite UFED Touch 2, устанавливаемый на компьютер или ноутбук специалиста): используются только для извлечения данных
· UFED Physical Analyzer — программная часть, предназначенная для анализа данных, извлеченных из мобильных устройств.

Концепция использования оборудования предполагает, что с помощью Cellebrite UFED Touch 2 специалист извлекает данные в полевых условиях, а потом в лаборатории производит их анализ с помощью UFED Physical Analyzer. Соответственно, лабораторный вариант представляет собой два самостоятельных программных продукта — UFED 4PC и UFED Physical Analyzer — установленных на компьютере исследователя. На сегодняшний день этот комплекс обеспечивает извлечение данных из максимально возможного количества мобильных устройств. При проведении анализа часть данных может быть упущена программой UFED Physical Analyzer. Это происходит потому, что в новых версиях программы периодически всплывают старые баги, которые вроде бы как пофиксили, но потом они почему-то проявляются вновь. Поэтому рекомендуется проводить контроль полноты анализа данных, осуществленный программой UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field — аналог продуктов Cellebrite, разрабатываемый шведской компанией Micro Systemation. В отличие от парадигмы Cellebrite, компания Micro Systemation предполагает, что в большинстве случаев их продукты будут использоваться на стационарных компьютерах или ноутбуках. К продаваемому продукту прилагается фирменный USB-хаб, называемый на сленге «шайба», и комплект переходников и дата-кабелей для подключения различных мобильных устройств. Компания также предлагает версии MSAB XRY Field и MSAB XRY Kiosk — аппаратные продукты, предназначенные для извлечения данных из мобильных устройств, реализованные в виде планшета и киоска. Данный продукт менее распространен на территории России, чем продукция Cellebrite. MSAB XRY хорошо зарекомендовал себя при извлечении данных из устаревших мобильных устройств.

С определенного момента стали пользоваться популярностью аппаратные решения для проведения chip-off (метод извлечения данных напрямую из чипов памяти мобильных устройств), разработанные польской компанией Rusolut. С помощью этого оборудования можно извлекать данные из поврежденных мобильных устройств или из устройств, заблокированных PIN-кодом или графическим паролем. Rusolut предлагает несколько наборов адаптеров для извлечения данных из определенных моделей мобильных устройств. Например, комплект адаптеров для извлечения данных из чипов памяти, преимущественно используемых в «китайских телефонах». Однако повсеместное использование производителями мобильных устройств шифрования пользовательских данных в топовых моделях привело к тому, что это оборудование постепенно теряет актуальность. Извлечь данные из чипа памяти с его помощью можно, но они будут в зашифрованном виде, а их расшифровка является нетривиальной задачей.

Мобильная криминалистика, программные средства

Наблюдая за развитием мобильной криминалистики, можно легко увидеть, что по мере развития функционала мобильных устройств происходило и развитие программ для их анализа. Если раньше лицо, производящее следствие, или иной заказчик довольствовались данными из телефонной книги, СМС, ММС, вызовами, графическими и видео-файлами, то сейчас специалиста просят извлечь большее количество данных. Кроме перечисленных, как правило, требуется извлечь:

«Мобильный Криминалист»: сегодня это одна из лучших программ для анализа данных, извлеченных из мобильных устройств. Если вы хотите извлечь максимальное количество данных из мобильного устройства, используйте эту программу. Интегрированные просмотрщики баз данных SQLite и plist-файлов позволят более досконально исследовать определенные SQLite-базы данных и plist-файлы вручную.

Изначально программа разрабатывалась для использования на компьютерах, поэтому использовать ее на нетбуке или планшете (устройствах с размером экрана 13 дюймов и менее) будет некомфортно.

Особенностью программы является жесткая привязка путей, по которым расположены файлы — базы данных приложений. То есть если структура базы данных какого-либо приложения осталась прежней, но изменился путь, по которому база данных находится в мобильном устройстве, «Мобильный Криминалист» просто пропустит такую базу данных в ходе анализа. Поэтому исследование подобных баз данных придется производить вручную, используя файловый браузер «Мобильного Криминалиста» и вспомогательные утилиты.

Результаты исследования мобильного устройства в программе Мобильный Криминалист:


Тенденцией последних лет является «смешение» функционала программ. Так, производители, традиционно занимавшиеся разработкой программ для мобильной криминалистики, внедряют в свои продукты функционал, позволяющий исследовать жесткие диски. Производители криминалистических программ, ориентированных на исследование жестких дисков, добавляют в них функционал, необходимый для исследования мобильных устройств. И те, и другие добавляют функционал по извлечению данных из облачных хранилищ и так далее. В итоге получаются универсальные «программы-комбайны», с помощью которых можно производить и анализ мобильных устройств, и анализ жестких дисков, и извлечение данных из облачных хранилищ, и аналитику данных, извлеченных из всех этих источников.

В нашем рейтинге программ для мобильной криминалистики именно такие программы занимают следующие два места: Magnet AXIOM — программа канадской компании Magnet Forensics, и Belkasoft Evidence Center — разработка питерской компании Belkasoft. Эти программы по своим функциональным возможностям в извлечении данных из мобильных устройств, конечно же, уступают программным и аппаратным средствам, описанным выше. Но они хорошо производят их анализ и могут использоваться для контроля полноты извлечения различных типов артефактов. Обе программы активно развиваются и стремительно наращивают свой функционал в части исследования мобильных устройств.

Окно выбора источника мобильных данных программы AXIOM:


Результаты исследования мобильного устройства программой Belkasoft Evidence Center:


Компьютерная криминалистика, аппаратные блокираторы записи

Tableau T35U — аппаратный блокиратор компании Tableau, позволяющий безопасно подключать исследуемые жесткие диски к компьютеру исследователя по шине USB3. Данный блокиратор имеет разъемы, позволяющие подключать к нему жесткие диски по интерфейсам IDE и SATA (а при наличии переходников и жесткие диски с другими типами интерфейсов). Особенностью этого блокиратора является возможность эмуляции операций «чтение—запись». Это бывает полезным при исследовании накопителей, зараженных вредоносным программным обеспечением.

Оба блокиратора записи в качестве основного подключения используют подключение к компьютеру исследователя по шине USB3, что обеспечивает комфортные условия работы исследователя при клонировании и анализе носителей информации.

Компьютерная криминалистика, программные средства

Старички для нестандартных ситуаций

15 лет назад бесспорными лидерами компьютерной экспертизы являлись программы Encase Forensics и AccessData FTK. Их функционал естественным образом дополнял друг друга и позволял извлекать максимальное количество различных типов артефактов из исследуемых устройств. В наши дни эти проекты являются аутсайдерами рынка. Текущая функциональность Encase Forensics значительно отстает от предъявляемых сегодня требований к программному обеспечению для исследования компьютеров и серверов под управлением Windows. Использование Encase Forensics остается актуальным в «нестандартных» случаях: когда надо исследовать компьютеры под управлением OC MacOS или сервера под управлением ОС Linux, извлекать данные из файлов редких форматов. Встроенный в Encase Forensics макроязык Ensripts содержит огромную библиотеку готовых скриптов, реализованных производителем и энтузиастами: с помощью них возможен анализ большого числа различных операционных и файловых систем.

AccessData FTK пытается поддерживать функционал продукта на необходимом уровне, но время обработки накопителей им значительно превышает разумное количество времени, которое может позволить себе потратить среднестатистический специалист на подобное исследование.

Особенности AccessData FTK:

  • поиск по ключевым словам, реализованный на очень высоком уровне
  • аналитика различных кейсов, позволяющая выявлять взаимосвязи в устройствах, изъятых по разным делам
  • возможность настройки интерфейса программы под себя
  • поддержка файлов редких форматов (например, баз данных Lotus Notes)

Молодые и растущие

Бесспорным лидером программных средств для компьютерной криминалистики является Magnet Axiom. Программа не просто постепенно развивается, а покрывает добавляющимся функционалом целые сегменты: исследование мобильных устройств, извлечение из облачных хранилищ, исследование устройств под управлением операционной системы MacOS и так далее. Программа имеет удобный и функциональный интерфейс, в котором все под рукой, и может применяться для расследования инцидентов информационной безопасности, связанных с заражением компьютеров или мобильных устройств вредоносным программным обеспечением или с утечками данных.

Российским аналогом Magnet AXIOM является Belkasoft Evidence Center. Belkasoft Evidence Center позволяет извлекать и анализировать данные из мобильных устройств, облачных хранилищ и жестких дисков. При анализе жестких дисков доступно извлечение данных из веб-браузеров, чатов, информации об облачных сервисах, детектирование зашифрованных файлов и разделов, извлечение файлов по заданному расширению, данных о геолокации, электронной почты, данных из платежных систем и социальных сетей, миниатюр, системных файлов, системных журналов и так далее. Имеет гибкий настраиваемый функционал по извлечению удаленных данных.

  • широкий спектр артефактов, извлекаемых из различных носителей информации
  • хороший встроенный просмотрщик баз данных SQLite
  • сбор данных с удаленных компьютеров и серверов
  • интегрированный функционал по проверке обнаруженных файлов на Virustotal

Недостатками программы являются неудобный интерфейс и неочевидность выполнения отдельных действий в программе. Для эффективного использования программы необходимо пройти соответствующее обучение.

Основное окно программы Belkasoft Evidence Center, отображающее статистику найденных криминалистических артефактов при исследовании конкретного устройства:


Постепенно российский рынок завоевывает X-Ways Forensics. Эта программа — швейцарский нож компьютерной криминалистики. Универсальная, точная, надежная и компактная. Особенностью программы является большая скорость обработки данных (по сравнению с другими программами этой категории) и оптимальный функционал, покрывающий основные потребности специалиста по компьютерной криминалистике. Программа имеет встроенный механизм, позволяющий минимизировать ложноположительные результаты. То есть исследователь, проводя восстановление файлов с жесткого диска объемом 100 Гб, видит не 1 Тб восстановленных файлов (большая часть из которых является ложноположительным результатами, как это обычно происходит при использовании программ восстановления), а именно те файлы, которые реально были восстановлены.

С помощью X-Ways Forensics можно:

  • находить и анализировать данные электронной почты
  • анализировать историю веб-браузеров, журналы ОС Windows и прочие системные артефакты
  • отфильтровать результаты, избавиться от ненужного, оставить только ценное и актуальное
  • построить временную шкалу и посмотреть активности в интересующий период
  • реконструировать рэйды (RAID)
  • монтировать виртуальные диски
  • осуществлять проверку на наличие вредоносного программного обеспечения

Недостатки X-Ways Forensics:

  • аскетичный интерфейс
  • отсутствие полноценного встроенного просмотрщика баз данных SQLite
  • необходимость глубокого изучения программы: выполнение некоторых действий, необходимых для получения нужного специалисту результата, не всегда очевидно

Восстановление данных, аппаратные средства

В настоящее время на российском рынке доминирует только один производитель подобного оборудования — компания ACELab, которая производит аппаратные средства для анализа, диагностики и восстановления жестких дисков (комплексы PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS), SSD накопителей (комплекс PC-3000 SSD), флеш-накопителей (комплекс PC-3000 Flash), RAID (комплексы PC-3000 Express RAID, PC-3000 UDMA RAID, PC-3000 SAS RAID). Доминирование ACELab на рынке аппаратных решений по восстановлению данных обусловлено высоким качеством вышеперечисленных продуктов и ценовой политикой ACELab, которая не позволяет конкурентам войти на этот рынок.

Восстановление данных, программные средства

Несмотря на большое количество различных программ восстановления, как платных, так и бесплатных, очень трудно найти программу, которая бы корректно и полно производила восстановление различных типов файлов в разнообразных файловых системах. На сегодняшний день существуют только две программы, обладающие примерно одинаковым функционалом, которые позволяют это делать: R-Studio и UFS Explorer. Тысячи программ восстановления иных производителей либо не дотягивают по своим функциональным возможностям до указанных программ, либо существенно уступают им.

Открытое программное обеспечение

Autopsy — удобный инструмент для анализа компьютеров под управлением операционной системы Windows и мобильных устройств под управлением операционной системы Android. Имеет графический интерфейс. Может быть использован при расследовании компьютерных инцидентов.

Photorec — одна из лучших бесплатных программ для восстановления данных. Хорошая бесплатная альтернатива платным аналогам.

Eric Zimmerman Tools – комплект бесплатных утилит, каждая из которых позволяет исследовать какой-то отдельный артефакт Windows. Как показала практика, использование Eric Zimmerman Tools повышает эффективность работы специалиста при реагировании на инцидент в «полевых условиях». В настоящее время, эти утилиты доступны в виде пакета программ — Kroll Artifact Parser and Extractor (KAPE).

Дистрибутивы на основе Linux

SIFT — Linux-дистрибутив, разработанный и поддерживаемый коммерческой организацией SANS Institute, которая специализирующаяся на обучении специалистов в области кибербезопасности и расследовании инцидентов. SIFT содержит большое количество актуальных версий бесплатных программ, которые могут быть использованы как для извлечения данных из различных источников, так и для их анализа. SIFT используется в рамках проводимых компанией обучений, и его содержимое постоянно актуализируется. Удобство работы определяется конкретным инструментом, находящемся в данном дистрибутиве, с которым приходится работать исследователю.

Kali Linux – уникальный Linux-дистрибутив, который используется специалистами как для проведения аудита безопасности, так и для проведения расследований. В 2017 году издательство «Packt Publishing» опубликовало книгу Шива В.Н. Парасрама (Shiva V. N Parasram) «Digital Forensics with Kali Linux». В данной книге приводятся советы о том, как проводить копирование, исследование и анализ компьютеров, отдельных накопителей, копий данных из оперативной памяти и сетевого траффика с помощью утилит, входящих в этот комплект.

Подведем итог

Это исследование является результатом моего эмпирического опыта работы с описанным аппаратным и программным обеспечением, применяемых в ходе криминалистического исследования компьютерной техники и мобильных устройств. Надеюсь, что изложенные сведения будут полезны специалистам, планирующим приобретать программы и аппаратные средства для проведения компьютерной криминалистики и расследования инцидентов.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.


Здесь представлена подборка бесплатных утилит компьютерной криминалистики, которые абсолютно необходимы при проведении судебной экспертизы для проведения расследования инцидентов информационной безопасности.

Дисковые инструменты и сбор данных

  1. Arsenal Image Mounter — утилита для работы с образами дисков в Windows, доступ к разделам и томам и т. д.
  2. DumpIt — утилита для создания дампа физической памяти компьютеров Windows, 32/64 бит. Может работать с USB-накопителя.
  3. EnCase Forensic Imager — утилита для создания доказательных файлов EnCase.
  4. Encrypted Disk Detector — утилита для выявления зашифрованных томов TrueCrypt, PGP или Bitlocker.
  5. EWF MetaEditor — утилита для редактирования метаданных EWF (E01).
  6. FAT32 Format — утилита для форматирования дисков большой емкости в FAT32.
  7. Forensics Acquisition of Websites — браузер, предназначенный для захвата веб-страниц для проведения расследований.
  8. FTK Imager — просмотр и клонирование носителей данных в среде Windows.
  9. Guymager — многопоточный утилита с GUI для создания образов дисков под управлением Linux.
  10. Live RAM Capturer — утилитая для извлечения дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
  11. NetworkMiner — инструмент сетевого анализадля обнаружения ОС, имени хоста и открытые портов сетевых узлов с помощью перехвата пакетов / анализа PCAP.
  12. Magnet RAM Capture — утилита для захвата RAM от Windows XP до Windows 10, Win Server 2003, 2008, 2012.
  13. OSFClone — утилита live CD/DVD/USB для создания dd или AFF образов.
  14. OSFMount — утилита для монитирования образов дисков, также позволяет создавать RAM-диски.

Электронная почта

Файлы и данные

  1. analyzeMFT — утилита парсинга MFT из файловой системы NTFS, позволяя анализировать результаты с помощью других инструментов.
  2. bstrings — утилита поиска в двоичных данных, включая поиск регулярных выражений.
  3. CapAnalysis — утилита просморта PCAP.
  4. Crowd Response — консольное приложение Windows для помощи в сборе системной информации для реагирования на инциденты и обеспечения безопасности.
  5. Crowd Inspect — утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации.
  6. DCode — утилита преобразует различные типы данных в значения даты / времени.
  7. Defraser — утилита для обнаружения полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
  8. eCryptfs Parser — утилита рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге.
  9. Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла.
  10. ExifTool — утилита для чтения и редактирования данных Exif в большом количестве типов файлов.
  11. File Identifier — онлайн анализ типа файлов (более 2000).
  12. Forensic Image Viewer — утилита для извлечения данных из изображений.
  13. Link Parser — утилита для рекурсивного анализа папок, извлекающая более 30 атрибутов из файлов Windows .lnk (shortcut).
  14. Memoryze — анализ образов RAM, включая анализ «page» файлов.
  15. MetaExtractor — утилита для извеления мета-информации из офисных документов и pdf.
  16. Shadow Explorer — утилита для просмотра и извлечения файлов из теневых копий.

Инструменты для Mac OS

  1. Audit — утилита для вывода аудита и журналов OS X.
  2. Disk Arbitrator — блокирует монтирование файловых систем, дополняя блокиратор записи при отключении арбитража диска.
  3. FTK Imager CLI for Mac OS — консольная версия для Mac OS утилиты FTK Imager.
  4. IORegInfo — утилита для отображении информации по подключенным к компьютеру устройствам (SATA, USB и FireWire, программные RAID-массивы). Может определять информацию раздела, включая размеры, типы и шину, к которой подключено устройство.
  5. mac_apt — утилита для работы с образами E01, DD, DMG.
  6. Volafox — утилита для анализа памяти в Mac OS X.

Мобильные устройства

  1. iPBA2 — утилита анализа резервных копий iOS.
  2. iPhone Analyzer — утилита анализа файловой структуры Pad, iPod и iPhone.
  3. ivMeta — утилита для извлечения модели телефона и версии программного обеспечения, а также временные данные и данные GPS с видео iPhone.
  4. Rubus — утилита для деконструирования резервных файлов Blackberry .ipd.
  5. SAFT — извлечение SMS, журналов звонков и контактов из Android устройств.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Ограничение ответственности

Информация на сайте предоставляется «как есть», без всяких гарантий, включая гарантию применимости в определенных целях, коммерческой пригодности и т.п. В текстах могут быть технические неточности и ошибки. Автор не может гарантировать полноты, достоверности и актуальности всей информации, не несет ответственности за последствия использования сайта третьими лицами.

Автор не делает никаких заявлений, не дает никаких гарантий и оценок относительно того, что результаты, размещенные на сайте и описанные в заявлениях относительно будущих результатов, будут достигнуты.

Автор не несет ответственности за убытки, возникшие у пользователей или третьих лиц в результате использования ими сайта, включая упущенную выгоду.

Автор не несет ответственности за убытки, возникшие в результате действий пользователей, явно не соответствующих обычным правилам работы с информацией в сети Интернет.

Пользуясь сайтом, вы принимаете и соглашаетесь со всеми нашими правилами, включая «Ограничение ответственности».

Рекомендую

Время, где сейчас

До восхода не будить и при пожаре выносить в первую очередь, а после заката звонить только в экстренных случаях:

Рубрики

Отче наш

Отче наш, Иже еси́ на небесе́х! Да святи́тся имя Твое́, да прии́дет Ца́рствие Твое, да будет воля Твоя, я́ко на небеси́ и на земли́.

Хлеб наш насу́щный даждь нам днесь; и оста́ви нам до́лги наша, я́коже и мы оставля́ем должнико́м нашим; и не введи́ нас во искушение, но изба́ви нас от лука́ваго

Программно-компьютерная экспертиза представляет собой разновидность судебной компьютерно-технической экспертизы. С развитием компьютерной техники возникло новое направление совершаемых правонарушений, которые получили название преступлений в сфере компьютерной информации. В подобных преступлениях и не только для достижения цели используются средства компьютерной техники и программного обеспечения.

Основной целью программно-компьютерной экспертизы является установление причастности исследуемого программного комплекса к расследуемому преступному деянию. Также в результате анализа могут быть обнаружены следы совершенных противоправных действий. Предметом исследования данной экспертизы являются особенности разработки и применения программных средств компьютерной системы. Анализ может проводиться как по гражданским, так и по уголовным делам.

Объектами программно-компьютерной экспертизы являются следующие компоненты:

  • Операционные системы (системное программное обеспечение).
  • Утилиты (вспомогательные программы).
  • Программные средства для разработки программного обеспечения, а также для его отладки.
  • Прикладные программы, предназначенные для выполнения определенных функций – текстовые редакторы, электронные таблицы, программы для работы с двухмерной и трехмерной графикой, программы для создания презентаций, почтовые программы, чертежные редакторы и многое другое.

Поводом для назначения программно-компьютерной экспертизы может быть обоснованное подозрение на некорректную работу программного обеспечения, несовместимость двух и более программ, находящихся в одной цепи выполнения каких-либо операций и так далее.

Программно-компьютерная экспертиза широко применяется при расследовании уголовных дел, однако постепенно возрастает потребность в подобной исследовании и в других видах судопроизводства, что вызвано обширной компьютеризаций всех областей жизни. В настоящее время возникает множество гражданских дел, в том числе решаемых в арбитражных судах. Также большое количество дел связано с защитой прав потребителей, а также с нарушением авторских прав при распространении контрафактной продукции.

Задачи, которые решаются с помощью программно-компьютерной экспертизы

Программно-компьютерная экспертиза решает широкий спектр задач, связанных со специфическими особенностями программно обеспечения, его разработки, внедрения, применения и так далее. Большое разнообразие задач, решаемых с помощью данного исследования, обусловлено тем, что компьютерные системы с соответствующим программным обеспечением применяются практически во всех областях деятельности человека. Основными задачами программно-компьютерной экспертизы являются:

  • Установление общих характеристик исследуемого программного обеспечения, анализ его компонентного состава.
  • Классификация отдельных системных или прикладных программных средств, входящих в представленное для проведения экспертизы программное обеспечение.
  • Установление контрафактности (или наличия таковых признаков) программного обеспечения в целом или его компонентов.
  • Установление специфических характеристик исследуемого программного обеспечения. Определяется тип программного обеспечения, его наименование, версия, разработчик, вид представления (удаленный, явный или скрытый).
  • Установление данных владельца и разработчика исследуемого программного средства. Для юридических лиц устанавливаются реквизиты организации. Для физических лиц – данные, удостоверяющие личность.
  • Определение файлового состава исследуемого программного обеспечения с указанием их параметров – даты создания, типа, размера (объема), прочих атрибутов.
  • Установление функционального предназначения исследуемого программного средства.
  • Выявление наличия на исследуемой компьютерной системе программного обеспечения, предназначенного для решения определенной задачи.
  • Установление технических характеристик аппаратного средства, необходимых для нормального функционирования исследуемого программного обеспечения.
  • Определение совместимости программного и аппаратного состава компьютерной системы и исследуемого программного обеспечения.
  • Установление принадлежности данного класса задач к функциональным возможностям исследуемого программного обеспечения.
  • Установление текущего состояния компьютерной системы, а именно программного обеспечения, уровень работоспособности системы и способность системы к реализации определенных задач.
  • Установление конфигурации устройств ввода-вывода в данной компьютерной системе, оснащенной исследуемым программным обеспечением.
  • Выявление в исследуемом программном обеспечении отклонения от стандартных параметров (наличие недокументированных функций, инфицирования и пр.).
  • Установление наличия в исследуемом программном обеспечении программных или программно-аппаратных средств защиты от копировании и несанкционированного доступа.
  • Определение алгоритмов представленного для исследования программного средства.
  • Установление способа защиты программного обеспечения.
  • Установление инструментов разработки исследуемого программного обеспечения (типов компиляторов, языка программирования, системных библиотек).
  • Выявление скрытых кодов с первоначальной версией программы.
  • Определение модификаций исходных алгоритмов.
  • Установление применения специфических приемов алгоритмизации и программирования.
  • Установление хронологии производства изменений в исследуемом программном обеспечении.
  • Установление хронологии применения исследуемого программного средства, начиная с момента его установки и активации.
  • Установление возможных последствий последующей эксплуатации представленного на экспертизу программного обеспечения.
  • Установление возможности выполнения исследуемой программой заданных функций после внесения изменений.

Методы проведения программно-компьютерной экспертизы

Методы исследования программного обеспечения, применяемые в ходе программно-компьютерной экспертизы, принято классифицировать, исходя из типа исследуемого объекта. Различают следующие группы методов:

  • Методы анализа исходных кодов.
  • Методы исследования программных алгоритмов.
  • Методы изучения исполняемых кодов (загрузочных модулей).

Экспертиза загрузочных модулей базируется на исследовании программных средств с помощью основных методов, отслеживающих все прерывания, которые вызываются данной программой. Метод, используемый экспертом, должен точно соответствовать типу решаемой им задачи. Соответственно, для получения достоверного результата исследования, необходимо выбирать эксперта, обладающего высоким уровнем профессиональной компетенции и большим опытом проведения исследований.

При проведении анализа вредоносных программ (вирусов, червей и пр.) используют различные методы мониторинга – анализ файловых сигнатур (метод мониторинга дисковой памяти), сверка контрольных сумм (метод мониторинга оперативной памяти) и так далее.

Порядок проведения программно-компьютерной экспертизы

Процедура проведения программно-компьютерной экспертизы стандартна для всех подобных исследований. На первом этапе проводится консультация эксперта для определения разновидности экспертизы, предмета и задач исследования, а также стоимости и сроков его проведения.

На следующем этапе заключается договор с организацией на проведение экспертизы, после чего инициатор экспертизы передает специалисту программное средство на том носителе, на котором оно установлено, и всю имеющуюся документацию. В договор вносится предмет исследования, имеющиеся задачи исследования, поставленные перед экспертом вопросы, а также предполагаемые сроки окончания выполнения экспертизы. Далее специалист по производству исследования производит необходимые экспертные мероприятия и составляет экспертное заключение, которое является основным результатом проведения исследования и может быть представлено в качестве доказательства в ходе судебного разбирательства. В экспертное заключение вносится описание проведенного исследования, копии представленных документов и ответы на поставленные перед специалистом вопросы.

Правовая база для проведения программно-компьютерной экспертизы

Глава 28 Уголовного кодекса РФ описывает преступления в сфере компьютерной информации, а также меры наказания, назначаемые за подобные правонарушения. Глава содержит три статьи. Статья 272 регламентирует меры ответственности за незаконный доступ к закрытой компьютерной информации. Статья 273 предусматривает меры наказания за разработку, применение и распространение так называемых вредоносных программ, приводящих к уничтожению или блокированию информации в персональных компьютерах и производственных сетях. Статья 274 предписывает ответственность за несоблюдение техники использования персональных компьютеров, компьютерных систем или компьютерных сетей. Средствами программно-компьютерной экспертизы получается обоснование для вынесения решений по обозначенным в этой главе преступлениям.

Вопросы, которые ставятся перед специалистом по проведению программно-компьютерной экспертизы

Полный список вопросов весьма обширен. В каждом конкретном случае проведения программно-компьютерной экспертизы перечень вопросов формируется в зависимости от конечной цели исследования и разновидности исследуемого программного обеспечения. Вопросы, задаваемые эксперту, базируются на задачах, решаемых в процессе осуществления исследования. В общем случае вопросы выглядят следующим образом:

  1. Каковы общие характеристики исследуемого программного обеспечения?
  2. Из каких компонентов состоит данное программное обеспечение?
  3. Какова классификационная принадлежность исследуемого программного обеспечения?
  4. Каковы характеристики файлов, составляющих исследуемое программное обеспечение (дата создания, тип, размер и пр.)?
  5. Как называется данное программное средство? Каков его тип? Кто является разработчиком?
  6. Какая версия программного обеспечения представлена для проведения экспертизы?
  7. Какова функциональная особенность исследуемого программного обеспечения?
  8. Присутствуют ли в данной компьютерной системе программные средства, предназначенные для выполнения конкретной функциональной задачи?
  9. Каковы должны быть аппаратные характеристики компьютерной системы, необходимые для корректной работы исследуемой программы?
  10. Совместима ли исследуемая программа с аппаратным состоянием компьютерной системы, а также с уже установленным на нем программным обеспечением?
  11. Использовалась ли данная программа для выполнения определенных функциональных задач?
  12. Работоспособно ли исследуемое программное обеспечение? каково его фактическое состояние?
  13. Как именно организована система ввода-вывода данных в исследуемом программном обеспечении?
  14. Обнаружены ли в исследуемом программном обеспечении отклонения от стандартных характеристик типовых аналогичных программ?
  15. Включены ли в структуру программного продукта средства защиты от копирования и несанкционированного доступа?
  16. Каков алгоритм организации защиты от копирования и несанкционированного доступа?
  17. Каков основной алгоритм, лежащий в основе исследуемого программного обеспечения?
  18. Какие основные инструментальные средства использовались при разработке данного программного продукта?
  19. Каковы реквизиты разработчика (владельца) представленного для проведения экспертизы программного обеспечения?
  20. Какова хронология внесения модификаций в исследуемое программное обеспечение?
  21. Какова хронология применения исследуемого программного обеспечения, начиная с момента установки?
  22. Каковы возможные последствия дальнейшего применения представленного для экспертизы программного продукта?
  23. Какова причина изменений в программном обеспечении – действия пользователя, влияние вредоносной программы, ошибки программной среды, сбой аппаратуры и пр.?

Проведение экспертизы по уголовному делу

Согласно Постановлению Пленума Верховного Суда Российской Федерации от 21 декабря 2010 г. N 28 "О судебной экспертизе по уголовным делам" экспертиза по уголовному делу может быть проведена либо государственным экспертным учреждением, либо некоммерческой организацией, созданной в соответствии с Гражданским кодексом Российской Федерации и Федеральным законом "О некоммерческих организациях", осуществляющих судебно-экспертную деятельность в соответствии с принятыми ими уставами.

Коммерческие организации и лаборатории, индивидуальные предприниматели, образовательные учреждения, а также некоммерческие организации, для которых экспертная деятельность не является уставной, не имеют право проводить экспертизу по уголовному делу. Экспертиза, подготовленная указанными организациями в рамках уголовного процесса, может быть признана недопустимым доказательством, т.е. доказательством, полученным с нарушением требований процессуального закона.

Недопустимые доказательства не могут использоваться в процессе доказывания, в том числе, исследоваться или оглашаться в судебном заседании, и подлежат исключению из материалов уголовного дела.

Так как АНО "Судебный эксперт" является автономной некоммерческой организацией, а проведение судебных экспертиз является её основной уставной деятельностью (см. раздел "Документы организации"), то она имеет право проводить экспертизы в том числе и по уголовным делам.


Ниже приведен подобранный вручную список из 10 лучших программных продуктов для форензики (цифровой криминалистики) в 2020 году, с описанием функционала и ссылками на веб-сайты. Список содержит как программное обеспечение с открытым исходным кодом (бесплатное), так и коммерческое (платное).

ProDiscover Forensics

ProDiscover Forensics

ВОЗМОЖНОСТИ

  • Поиск и просмотр файлов без изменения метаданных.
  • Автоматическое создание и запись MD5, SHA1 и SHA256 хэшей файлов.
  • Создает копию диска, включая скрытый HPA раздел.
  • Работает со всеми файловыми системами.
  • Встроенная программа просмотра эскизов графики и реестра
  • Интегрированный просмотрщик электронной почты Outlook, истории браузера, реестра и тд.
  • Разработано в соответствии со спецификацией NIST Disk Imaging Tool Specification 3.1.6 для обеспечения высокого качества.
  • Поддержка VMware для запуска захваченного образа.

ProDiscover Forensics

Мощный инструмент компьютерной безопасности, который позволяет специалистам правоохранительных органов находить все данные на компьютерном диске, одновременно защищая улики и создавая отчеты о качестве доказательств для использования в судебном разбирательстве.

ProDiscover интегрирован с полнотекстовым поисковым движком, набором встроенных средств просмотра и методов сравнения хэшей, все вместе это обеспечивает криминалистов простотой в использовании и в то же время мощным инструментарием. ProDiscover был разработан для удовлетворения требований NIST Imaging Tool Specification.

Тел. +91 99084 99000

X-Ways Forensics

X-Ways Forensics

ВОЗМОЖНОСТИ

  • Клонирование дисков.
  • Чтения сырых (.dd) файлов образов, ISO, VHD, VHDX, VDI и VMDK.
  • Полный доступ к дискам, RAID-массивам и образам размером более 2 ТБ (более 232 секторов) с размерами секторов до 8 КБ.
  • Встроенная интерпретация JBOD, RAID 0, RAID 5, RAID 5EE и RAID 6, RAID для Linux, динамических диско Windows, LVM2.
  • Автоматическая идентификация потерянных/удаленных разделов.
  • Встроенная поддержка FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF.
  • Расчет массовых хешей для файлов (Adler32, CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD-128, RipeMD-160, Tiger-128, Tiger-16, Tiger-192, TigerTree).

X-Ways Forensics полностью портативен и при желании может работать с USB-накопителя на любой системе Windows без установки. Скачивается и устанавливается в течение нескольких секунд (всего несколько мегабайт, а не гигабайт).

X-Ways Forensics базируется на шестнадцатиричном и дисковом редакторе WinHex и является частью эффективной модели рабочего процесса, в которой компьютерные криминалисты обмениваются данными и сотрудничают со следователями, использующими X-Ways Investigator.

X-Ways AG
PO box 62 02 08
50695 Cologne
Germany

Тел. +49 3212-123 2029

Wireshark

ВОЗМОЖНОСТИ

  • Глубокая проверка сотен протоколов.
  • Захват в реальном времени и анализ в автономном режиме.
  • Стандартный трехпанельный браузер пакетов.
  • Захваченные сетевые данные можно просматривать через графический интерфейс или с помощью утилиты TTY-режима TShark.
  • VoIP-анализ.
  • Чтение/запись различных форматов файлов захвата.
  • Данные могут быть прочитаны с Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и др.

Wireshark является ведущим и широко используемым в мире анализатором сетевых протоколов. Он позволяет видеть, что происходит в вашей сети на микроскопическом уровне и является стандартом де-факто (и часто де-юре) для многих коммерческих и некоммерческих предприятий, государственных учреждений и образовательных учреждений.

Wireshark очень похож на tcpdump, но имеет графический интерфейс, а также некоторые встроенные опции сортировки и фильтрации.

Разработка Wireshark процветает благодаря добровольным пожертвованиям сетевых экспертов по всему миру и является продолжением проекта, начатого Джеральдом Комбсом в 1998 году.

The Wireshark team

MAGNET RAM Capture

ВОЗМОЖНОСТИ

  • Глубокая проверка сотен протоколов.
  • Захват в реальном времени и анализ в автономном режиме.
  • Стандартный трехпанельный браузер пакетов.
  • Захваченные сетевые данные можно просматривать через графический интерфейс или с помощью утилиты TTY-режима TShark.
  • VoIP-анализ.
  • Чтение/запись различных форматов файлов захвата.
  • Данные могут быть прочитаны с Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и др.

MAGNET RAM Capture имеет небольшую зону памяти, что означает, что следователи могут запускать программу, минимизируя данные, которые перезаписываются в память. Данные захваченной памяти можно экспортировать в формате Raw (.DMP/.RAW/.BIN) и легко загрузить в ведущие инструменты анализа, включая Magnet AXIOM и Magnet IEF.

Улики, которые можно найти в оперативной памяти, включают в себя процессы и программы, запущенные в системе, сетевые соединения, доказательства вторжения вредоносного ПО, разделы реестра, имена пользователей и пароли, расшифрованные файлы и ключи, а также свидетельства активности, которые обычно не хранятся на локальном жестком диске.

Magnet Forensics

Herndon, VA, 2250 Corporate Park Drive, Suite 130
20171

FTK Imager

ВОЗМОЖНОСТИ

  • Анализ файловой системы XFS.
  • Захват и просмотр образов APFS с жёстких дисков Mac®.
  • Создание экспертных образов локальных жестких дисков, CD и DVD, флэш-накопителей или других устройств USB.
  • Просмотр и восстановление файлов, которые были удалены из корзины.
  • Создание хэшей файлов для проверки целостности данных.

FTK Imager также может создавать идеальные копии (криминалистические снимки) компьютерных данных без внесения изменений в исходные улики.

FTK Imager

5 Merchant Square, Room 106
London, W2 1AY
UK

Тел. +44 20 78569500

SIFT Workstation

ВОЗМОЖНОСТИ

  • Sleuth Kit (Инструменты для анализа файловой системы).
  • Plaso и log2timeline (инструмент генерации временных рамок).
  • ssdeep & md5deep (инструменты для хеширования).
  • Foremost/Scalpel (File Carving).
  • Wireshark (Сетевая криминалистика).
  • Фреймворк волатильности (анализ памяти).
  • Autopsy (GUI фронт-енд для Sleuthkit).

The SIFT Workstation представляет собой группу бесплатных программ с открытым исходным кодом для служб реагирования на инциденты и проведения криминалистической цифровой экспертизы в различных условиях.

The SIFT Workstation совместим с форматами экспертным свидетельским форматом (E01), расширенным криминалистическим форматом (AFF), необработанным форматом (dd) и форматами улик анализа памяти.

SIFT Workstation

Sleuth Kit

ВОЗМОЖНОСТИ The Sleuth Kit

  • Анализ необработанных (т.е. dd), Expert Witness (т.е. EnCase) и AFF-образов файловой системы и диска.
  • Поддерживает файловые системы NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660 и YAFFS2.
Autopsy

ВОЗМОЖНОСТИ Autopsy

  • Анализ Реестра
  • Анализ LNK-файла
  • Анализ электронной почты
  • EXIF
  • Профессиональный анализ файловой системы
  • Извлечение строк Юникода

Эти инструменты используются тысячами пользователей по всему миру. Коммерческое обучение, поддержка и индивидуальная разработка доступны через компанию Basis Technology.

Sleuth Kit

Autopsy

Форум

Passware Kit Forensic

ВОЗМОЖНОСТИ

  • Восстановление пароля для 280+ типов файлов: MS Office, PDF, Zip и RAR, QuickBooks, FileMaker, Lotus Notes, кошельки Bitcoin, Apple iTunes Backup, Mac OS X Keychain, менеджеры паролей и многие другие популярные приложения.
  • Сбор облачных данных.
  • Версия для Mac ОС.
  • Аппаратное ускорение.
  • Анализ оперативной памяти.
  • Криминалистика для мобильных устройств.
  • Дешифровка FDE.

Passware, Inc.
800 West El Camino Real, Suite 180
Mountain View, CA 94040
Phone/Fax: +1 (844) 727-7927 (Только по вопросам покупки)

Elcomsoft Premium Forensic Bundle

Elcomsoft Premium Forensic Bundle

ВОЗМОЖНОСТИ

  • Восстановление паролей к файловым архивам.
  • Восстановление паролей к почтовым ящикам.
  • Восстановление паролей SQL.
  • Дешифровщик дисков.
  • Взломщик мобильных устройств.
  • Комплект инструментов для криминалистической экспертизы iOS.
  • Восстановление паролей PDF.
ООО «Элкомсофт»

Звездный бульвар 21, офис 615
Москва, 129085
Российская Федерация

Читайте также: