← Анти-форензика: как заметаю…Написание криминалистическо… →

Обзор инструментов криминалиста

Этот урок систематизирует инструменты DFIR по задачам, чтобы вы знали, чем что делать.

Инструменты — это рычаги, но не замена методологии: ценность даёт криминалист, который понимает, что и зачем ищет, а инструмент лишь ускоряет работу.

В предыдущих уроках уже звучали разные утилиты. Соберём их в карту по направлениям, добавив, чем они дополняют друг друга. Большинство перечисленных инструментов — открытые и бесплатные, что важно для обучения и легальной практики.

Открытость здесь — не просто вопрос цены. В DFIR ценят инструменты, поведение которых можно проверить и воспроизвести: если оппонент в суде или коллега-рецензент спросит «почему вы уверены, что файл был именно таким», вы должны уметь показать, как именно инструмент пришёл к результату. Открытый код и открытые форматы это позволяют. Кроме того, бесплатность и доступность означают, что вы можете развернуть тот же набор у себя в лаборатории и легально тренироваться — без дорогих лицензий и без соблазна использовать что-то на чужих системах.

Ещё один сквозной принцип, важнее любого конкретного названия: инструменты не запускают на оригинальном носителе. Сначала снимают побитовый образ, фиксируют его хеш, а дальше вся работа идёт на копии, смонтированной только для чтения. Это защищает улику от случайного изменения (а значит, и от обвинения в подмене) и позволяет повторить анализ с нуля, если потребуется. Поэтому, читая список ниже, держите в голове не «какой кнопкой что сделать», а «в каком порядке и на каких копиях». Названия утилит со временем меняются — дисциплина работы с образом и фиксации целостности остаётся.

Дисковая форензика

  • The Sleuth Kit (TSK) — набор консольных утилит для анализа файловых систем (fls, icat, mactime).
  • Autopsy — графическая надстройка над TSK: единый интерфейс для разбора образа, таймлайна, ключевых слов, восстановления.
  • foremost / scalpel — carving по сигнатурам.

Сбор артефактов и live

  • KAPE — быстрый таргетированный сбор артефактов Windows и их обработка парсерами.
  • FTK Imager — снятие образов диска и памяти, просмотр.
  • AVML / LiME / WinPmem — дамп оперативной памяти.

Память и сеть

  • Volatility — анализ дампов памяти (процессы, соединения, инъекции).
  • Wireshark / tshark — анализ сетевого трафика (pcap).

Реестр, журналы, таймлайн

  • RegRipper — парсинг кустов реестра.
  • EvtxECmd / PECmd (набор Eric Zimmerman) — журналы .evtx и prefetch.
  • Plaso / log2timeline — супертаймлайн из множества артефактов.
Задача                 Инструмент
--------------------   -----------------------
Образ и файловая сист. TSK, Autopsy
Carving                foremost, scalpel
Сбор Windows-артеф.    KAPE
Дамп памяти            AVML, LiME, WinPmem
Анализ памяти          Volatility
Трафик                 Wireshark, tshark
Реестр/журналы         RegRipper, EvtxECmd
Таймлайн               Plaso (log2timeline)

Связка на типовом инциденте

Чтобы карта не выглядела абстрактной, проследим, как инструменты складываются в один поток на условном инциденте «подозрительная активность на Windows-хосте». Сначала снимаем энергозависимое: дамп памяти (WinPmem) — пока хост жив, иначе данные исчезнут. Затем снимаем образ диска (FTK Imager) и считаем его хеш, фиксируя целостность. На «горячем» хосте можно быстро собрать ключевые артефакты таргетированно (KAPE), не дожидаясь полного образа. Дальше работа идёт на копиях: Volatility разбирает память (какие процессы, сетевые соединения, признаки инъекций), Autopsy/TSK — файловую систему и удалённые файлы, EvtxECmd и RegRipper достают журналы событий и следы из реестра, а Plaso сводит всё это в единый супертаймлайн, по которому уже выстраивается история. Каждый инструмент закрывает свой участок, но ценность рождается на стыке.

RAM (WinPmem) ─► Volatility ─┐
Диск (FTK Imager) ─► TSK/Autopsy ─┤
Журналы (EvtxECmd) ─► парсинг ────┼─► Plaso ─► супертаймлайн ─► выводы
Реестр (RegRipper) ──────────────┘

Как работает под капотом (почему именно набор)

Нет одного инструмента «на всё»: каждый разбирает свой тип данных (FS, RAM, pcap, реестр). Сильная сторона — конвейер: KAPE собирает артефакты, парсеры их раскрывают, Plaso сводит в таймлайн, Autopsy даёт обзор. Открытость инструментов важна и для доказательной базы: их поведение проверяемо и воспроизводимо.

Глубже причина в том, что источники данных физически разные. Оперативная память — это снимок живого состояния процессов и ядра, который надо интерпретировать через знание внутренних структур ОС (этим и занят Volatility). Файловая система — это устойчивые на диске метаданные и содержимое, со своими форматами NTFS/ext4/APFS (область TSK). Сетевой трафик — это поток пакетов с протоколами всех уровней (Wireshark). Реестр — иерархическая база настроек Windows. Универсального парсера для всего этого быть не может, потому что у каждого источника своя модель данных. Зато их можно нормализовать в общий таймлайн — и тогда события из памяти, диска, журналов и сети встают в один ряд по времени, что и делает Plaso. Именно поэтому DFIR — это про конвейер и про умение выбрать нужный инструмент под нужный артефакт, а не про «одну кнопку».

Как выбирать инструмент под задачу

Начинающему легко растеряться от обилия названий, поэтому держите в голове простую логику выбора. Сначала определите тип источника, с которым работаете: это живой хост, образ диска, дамп памяти или захваченный трафик? Источник почти однозначно задаёт класс инструмента — память разбирают анализатором памяти, трафик анализатором пакетов, и смешивать их бессмысленно. Затем уточните задачу внутри класса: «достать удалённые файлы» — это carving, «понять, что было запущено» — это журналы выполнения и память, «восстановить хронологию» — это таймлайн. И только в конце выбирайте конкретную утилиту, причём предпочитая ту, поведение которой вы понимаете и можете объяснить. Такой порядок («источник → задача → утилита») спасает от типичной ошибки новичка — хвататься за модный инструмент и потом подгонять под него задачу.

Полезно также различать инструменты сбора и инструменты анализа. Первые (снятие образа, дамп памяти, таргетированный сбор артефактов) применяют на месте, быстро и аккуратно, чтобы зафиксировать состояние, пока оно не изменилось. Вторые работают долго и вдумчиво — уже в лаборатории, на копиях. Смешивать эти фазы опасно: глубокий анализ на живом хосте меняет его состояние и портит улики, а попытка «на ходу» собрать всё подряд приводит к потере энергозависимых данных. Разделение «сначала аккуратно собрали — потом спокойно разобрали» — одна из основ методологии, и набор инструментов выстраивается именно вокруг неё.

Частые ошибки

  • Искать «волшебную кнопку». Инструмент не заменит понимания задачи.
  • Запускать всё на оригинале. Работают на образе RO.
  • Не фиксировать версии инструментов. Это часть воспроизводимости.
  • Слепо доверять автоматике. Результаты проверяют и интерпретируют.
  • Нарушать порядок волатильности. Сначала снимают энергозависимое (память, соединения), потом диск.
  • Путать фазы сбора и анализа. Сбор — быстро и на месте; анализ — на копиях в лаборатории.

Итоги

  • Инструменты делятся по направлениям: диск (TSK/Autopsy), память (Volatility), сеть (Wireshark), сбор (KAPE), таймлайн (Plaso).
  • Сила — в конвейере: сбор → парсинг → таймлайн → обзор.
  • Инструмент ускоряет работу, но методология и интерпретация остаются за криминалистом.
Проверьте себя
1. Какой инструмент используют для анализа дампа оперативной памяти?
AWireshark
BVolatility
Cforemost
DRegRipper
2. Что делает Autopsy?
AСнимает дамп памяти
BДаёт графический интерфейс над The Sleuth Kit для разбора образа диска
CАнализирует только трафик
DПарсит реестр Windows
3. Почему в DFIR используют набор инструментов, а не один?
AТак дороже и солиднее
BКаждый разбирает свой тип данных (FS, RAM, pcap, реестр); сила — в конвейере
CОдин инструмент запрещён законом
DЧтобы запутать злоумышленника