Компьютерная криминалистика. Сбор, анализ и

Informatyka śledcza. Gromadzenie, analiza i zabezpieczanie dowodów elektronicznych dla początkujących

William Oettinger

Jak prowadzić cyberśledztwo. Zabezpieczanie i analiza dowodów elektronicznych

Przestępcy sięgają po coraz to nowsze metody. Inżynierowie potrafią wykrywać ślady nielegalnych działań, jeśli jednak celem jest ujęcie i ukaranie sprawcy, potrzeba czegoś więcej. Zadaniem śledczego jest nie tylko przeprowadzenie badań, ale również zabezpieczenie i analiza dowodów, wreszcie - przedstawienie wyników swojej pracy tak, aby można ich było użyć w postępowaniu sądowym. By tak działać, konieczne jest przyswojenie zasad informatyki śledczej.

Ta praktyczna książka zawiera omówienie reguł, jakimi powinien się kierować informatyk śledczy podczas pracy. Przedstawia podstawy kryminalistyki, stanowi też przegląd narzędzi i technik służących do skutecznego badania cyberprzestępstw, a także do efektywnego zbierania, utrwalania i wykorzystywania dowodów elektronicznych. Duży nacisk położono tu na techniki pozyskiwania danych z systemu Windows: opisano sposoby zbierania artefaktów w różnych wersjach systemu, zaprezentowano sposoby analizy pamięci RAM i poczty e-mail w kontekście prowadzenia dochodzenia. Ważną częścią publikacji są rozdziały dotyczące pisania raportów i zasad, których musi przestrzegać biegły sądowy w ramach swojej pracy.

Dzięki książce dowiesz się:

• czym jest proces dochodzeniowy i jakie są zasady pracy z dowodami
• jakie narzędzia kryminalistyczne pozwalają na efektywną pracę
• na czym polega proces rozruchu z użyciem BIOS-u, UEFI i sekwencji rozruchowej
• jak pozyskiwać wartościowe dane znajdujące się w sieci i na urządzeniach
• jak lokalizować i wykorzystywać najpopularniejsze artefakty systemu Windows
• z czym się wiąże udział w postępowaniu sądowym lub administracyjnym

Dowiedz się, jak powstrzymać cyberprzestępcę!

O autorze

William Oettinger jest emerytowanym oficerem policji w Las Vegas i emerytowanym agentem kryminalnym Korpusu Piechoty Morskiej Stanów Zjednoczonych. Ma ponad dwudziestoletnie doświadczenie w pracy w organach ścigania. Specjalizuje się w informatyce śledczej, egzekwowaniu prawa, dochodzeniach karnych, a także we wdrażaniu polityk i procedur cyberbezpieczeństwa.

Spis treści:

O autorze

O recenzencie

Wprowadzenie

Część I. Gromadzenie dowodów

Rozdział 1. Rodzaje dochodzeń w informatyce śledczej

• Różnice w dochodzeniach z obszaru informatyki śledczej
• Dochodzenia karne

  Pierwsi na miejscu zdarzenia

• Śledztwa korporacyjne

  Wykroczenie pracowników

  Szpiegostwo przemysłowe

  Zagrożenie wewnętrzne

• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 2. Proces analizy śledczej

• Rozważania przed dochodzeniem

  Stacja robocza dla śledczego

  Zestaw mobilnego reagowania

  Oprogramowanie śledcze

  Szkolenia dla śledczych

• Analiza informacji o sprawie i zagadnień prawnych
• Pozyskiwanie danych

  Łańcuch dowodowy

• Proces analizy

  Daty i strefy czasowe

  Analiza skrótów

  Analiza sygnatur plików

  Antywirus

• Raportowanie wyników

  Szczegóły do uwzględnienia w raporcie

  Udokumentuj fakty i okoliczności

  Podsumowanie raportu

• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 3. Pozyskiwanie dowodów

• Eksploracja dowodów
• Środowiska do prowadzenia badań kryminalistycznych
• Walidacja narzędzi
• Tworzenie sterylnych nośników

  Zrozumieć blokowanie zapisu

• Tworzenie obrazów kryminalistycznych

  Format DD

  Plik dowodowy EnCase

  Dyski SSD

  Narzędzia do obrazowania

• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 4. Systemy komputerowe

• Proces rozruchu

  Kryminalistyczny nośnik rozruchowy

  Dyski twarde

  Partycje w MBR

  Partycje GPT

  Host Protected Area (HPA) i Device Configuration Overlays (DCO)

• Zrozumieć systemy plików

  System plików FAT

  Obszar danych

  Długie nazwy plików

  Odzyskiwanie usuniętych plików

  Przestrzeń luzu

• System plików NTFS
• Podsumowanie
• Pytania

Część II. Dochodzenie

Rozdział 5. Komputerowy proces śledczy

• Analiza osi czasu

  X-Ways

  Plaso (Plaso Langar Að Safna Öllu)

• Analiza mediów
• Wyszukiwanie ciągów znaków
• Odzyskiwanie usuniętych danych
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 6. Analiza artefaktów systemu Windows

• Profile użytkowników
• Rejestr systemu Windows
• Wykorzystanie konta

  Ostatnie logowanie/ostatnia zmiana hasła

• Analiza plików

  Przeglądanie pamięci podręcznej miniatur

  Przeglądanie danych z przeglądarek firmy Microsoft

  Ostatnio używane/ostatnio użyte

  Zaglądanie do kosza

  Pliki skrótów (LNK)

  Odszyfrowywanie list szybkiego dostępu

  Wpisy Shellbag

  Funkcja prefetch

• Identyfikowanie fizycznej lokalizacji urządzenia

  Określanie strefy czasowej

  Analiza historii sieci

  Zrozumieć dziennik zdarzeń WLAN

• Analiza działania programu

  UserAssist

  Pamięć podręczna Shimcache

• Urządzenia USB/podłączone urządzenia
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 7. Analiza pamięci RAM

• Podstawowe informacje o pamięci RAM
• Pamięć o dostępie swobodnym?
• Źródła danych przechowywanych w pamięci RAM
• Przechwytywanie zawartości pamięci RAM

  Przygotowanie urządzenia do przechwytywania

  Narzędzia do przechwytywania zawartości pamięci RAM

• Narzędzia do analizy pamięci RAM

  Bulk Extractor

  Volix II

• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 8. Wiadomości e-mail - techniki śledcze

• Protokoły poczty elektronicznej

  Protokół SMTP

  Protokół POP

  Protokół IMAP

  Zrozumieć pocztę internetową

• Dekodowanie e-maila

  Format wiadomości e-mail

  Załączniki

• Analiza e-maili w aplikacjach pocztowych

  Microsoft Outlook/Outlook Express

  Microsoft Windows Live

  Mozilla Thunderbird

• Analiza poczty internetowej
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 9. Artefakty internetowe

• Przeglądarki internetowe

  Google Chrome

  Internet Explorer/Microsoft Edge

  Firefox

• Media społecznościowe

  Facebook

  Twitter

  Usługodawca

• Udostępnianie plików w sieciach peer-to-peer

  Ares

  eMule

  Shareaza

• Chmura obliczeniowa
• Podsumowanie
• Pytania
• Materiały dodatkowe

Część III. Raportowanie

Rozdział 10. Pisanie raportów

• Skuteczne robienie notatek
• Pisanie raportu

  Przeanalizowane dowody

  Szczegóły związane z zabezpieczeniem materiałów

  Szczegóły analizy

  Załączniki/szczegóły techniczne

• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 11. Etyka biegłych

• Rodzaje postępowań
• Faza przygotowawcza
• Curriculum vitae
• Zeznania i dowody
• Zachowanie etyczne
• Podsumowanie
• Pytania
• Materiały dodatkowe

Odpowiedzi do pytań