Digital forensics: профессиональный инструментарий DEFT 8

DEFT Linux - давно зарекомендовавший себя и довольно известный в узком кругу инструмент профессионального криминалиста по расследованию компьютерных инцидентов. Начинка дистрибутива предназначена для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. По мимо Linux-платформы разработана версия и для Windows-систем с пакетом дополнений DART 2 (Digital Advanced Response Toolkit), включающий более 200 утилит.

Название DEFT Linux произошло от акронима «Digital Evidence & Forensic Toolkit». Этот дистрибутив усилиями группы специалистов, занимающихся расследованием компьютерных преступлений. Первая версия DEFT v1 вышла в свет в 2006 году и базировалась на Kubuntu 6.10. Сегодня доступна четвертая версия. В ней в качестве основы выбран Xubuntu 8.10 с рабочим столом XFce. Выбор дистрибутива

гарантирует совместимость с тем оборудованием, которое поддерживается семейством Ubuntu.

Теперь доступен релиз Linux-дистрибутива DEFT 8, предназначенного для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Lubuntu и снабжен удобным графическим интерфейсом, использующим компоненты десктоп-окружения LXDE и оптимизированным для упрощения выполнения типовых операций, выполняемых при проведении расследования.

Размер загрузочного Live-образа 2.7 Гб, начиная с текущей версии дистрибутив поставляется только в 64-разрядных сборках. В состав дистрибутива входит достаточно полная подборка профильных утилит, от антивирусов, систем поиска информации в кэше браузра, сетевых сканеров и утилит для выявления руткитов, до анализаторов содержимого диска и программ для выявления скрытых данных. Например, в комплект входят такие инструменты, как Guymager, Sleuthkit, Autopsy, dcfldd, ddrescue и linen.

Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.

Особенности нового выпуска:

• Использование ядра Linux 3.5;
• Обновление Sleuthkit 4.1 и Autopsy 2 (отдельно можно поставить Autopsy 3);
• Digital Forensics Framework 1.3;
• Полная поддержка Libewf и AFFlib;
• Поставка Xmount и Mount Ewf;
• Новые программы: Guymager 0.7.1, Cyclone 0.2, Esximager, Recoll 1.19.5, Log2timeline 0.65, Bulk extractor 1.3.1, Dumpy 0.2, Xplico 1.0.1 и CapAnalysis;
• Добавление Skype extractor, программы для извлечения информации (контакты, SMS, история чата) из файлов данных Skype;
• Для анализа содержимого устройств на базе iOS добавлены пакеты iPBA 2 и Lib iMobile 1.1.5;
• Задействован браузер Google Chrome с интеграцией поддержки TOR.

Для платформы Windows подготовлен специальный пакет дополнений DART 2 (Digital Advanced Response Toolkit), включающий более 200 работающих в Windows утилит и программ для разбора специфичных для Windows инцидентов. DEFT оформлен в виде целостной панели управления и работает под управлением Wine. В версии DEFT 2 добавлен интерфейс для поиска приложений, интегрирован новый движок аудита, обеспечена возможность запуска программ с правами администратора, обновлены версии поставляемых в комплекте программ.