← Принципы целостности и восп…Законность доступа и приват… →

Типы цифровой криминалистики

Этот урок даёт карту направлений криминалистики, чтобы вы понимали, где искать ответы в зависимости от инцидента.

Направление форензики определяется источником данных: диск, память, сеть, мобильное устройство или облако — у каждого свои артефакты и инструменты.

Цифровая криминалистика — это не одна техника, а семейство дисциплин. Опытный аналитик комбинирует их: например, по сетевому трафику видит факт утечки, по памяти находит вредоносный процесс, по диску — точку входа. Разберём основные направления.

Деление на направления удобно держать в голове как карту: когда приходит инцидент, вы сразу прикидываете, какие источники данных вообще существуют и какой из них быстрее всего ответит на главный вопрос. Заражение неизвестным зловредом — начинают с памяти, где живёт активный процесс. Подозрение на кражу файлов — смотрят сеть и диск. Спор о том, кто и когда что сделал, — реконструируют по логам и метаданным файловой системы. Карта направлений не заменяет анализ, но не даёт упустить целый пласт доказательств просто потому, что вы о нём не подумали.

Дисковая форензика

Самое «классическое» направление: анализ носителей — HDD, SSD, флешек, образов. Здесь изучают файловую систему, существующие и удалённые файлы, метаданные, slack space, восстанавливают данные. Преимущество — носитель энергонезависим: данные сохраняются после выключения. Недостаток — на диске нет того, что жило только в памяти (расшифрованные данные, ключи).

Диск ценен своей памятливостью. Файловые системы хранят множество временных меток (создание, изменение, доступ), журналы транзакций, теневые копии, корзину, эскизы изображений — всё это позволяет восстановить, что и когда происходило, даже если пользователь старался замести следы. Отдельная тонкость — SSD: из-за механизмов TRIM и сборки мусора удалённые данные на твердотельных накопителях могут исчезать гораздо быстрее и менее предсказуемо, чем на классических HDD, где удалённый файл нередко лежит нетронутым неделями. Это пример того, как природа носителя напрямую диктует, на что можно рассчитывать при восстановлении.

Форензика памяти

Анализ дампа оперативной памяти (RAM). В памяти видно то, чего нет на диске: запущенные процессы, сетевые соединения, загруженные модули, инъекции кода, иногда пароли и ключи шифрования в открытом виде. Память летуча — исчезает при выключении, поэтому её снимают одной из первых на живой системе.

Значение этого направления выросло потому, что выросла доля атак, которые принципиально живут в памяти. Так называемые fileless-атаки выполняют вредоносный код прямо в оперативной памяти, не оставляя исполняемого файла на диске, — на диске искать почти нечего. Шифровальщик в момент работы держит ключи в памяти. Вредонос, маскирующийся под системный процесс, выдаёт себя именно в дампе памяти — по аномальному родителю, по подозрительному сетевому соединению, по внедрённому в чужой процесс коду. Всё это исчезнет без следа, стоит лишь выключить машину, поэтому в порядке действий память почти всегда идёт раньше диска.

Сетевая форензика

Анализ трафика: дампов pcap, журналов NetFlow, логов firewall и прокси. Отвечает на вопросы «кто с кем общался, что и куда передавалось, были ли признаки управления (C2) и утечки данных (exfiltration)». Особенность — трафик надо захватывать заранее или в момент инцидента; задним числом «прошлый» трафик не восстановить.

У сети есть свойство, делающее её уникально полезной: она объективна и охватывает сразу много машин. Злоумышленник, проникший на хост, может вычистить локальные логи и подделать метки файлов, но он гораздо хуже контролирует то, что уже ушло по проводам и было записано на пограничных устройствах — firewall, прокси, системе сбора NetFlow. Даже если содержимое соединений зашифровано и недоступно, остаются метаданные: кто, с кем, когда, сколько данных и в какую сторону. Регулярные «маячки» на один и тот же внешний адрес выдают канал управления (C2); внезапный большой исходящий поток — вероятную утечку. Минус ровно один, но жёсткий: то, что не записали в момент событий, восстановить нельзя.

Мобильная форензика

Извлечение данных со смартфонов и планшетов: сообщения, журналы звонков, приложения, геоданные, кеши. Усложняется шифрованием, разнообразием моделей и закрытыми ОС. Применяется строго к устройствам, к которым есть законный доступ.

Телефон сегодня — самый насыщенный источник данных о человеке, и именно поэтому здесь особенно строга правовая рамка. Доступ к чужому смартфону без законного основания напрямую затрагивает тайну переписки и неприкосновенность частной жизни. Технически направление тоже непростое: производители шифруют хранилище, ограничивают доступ к системным разделам, и набор доступных данных сильно зависит от модели, версии ОС и того, разблокировано ли устройство. Поэтому мобильную форензику ведут только по отношению к своим устройствам или там, где есть прямое законное разрешение, и всегда соизмеряя объём извлечения с задачей.

Облачная форензика

Сбор доказательств в облачных сервисах: логи API, журналы доступа, снимки виртуальных машин, объектные хранилища. Сложность — данные на чужой инфраструктуре, ограниченный доступ, зависимость от логирования провайдера и юрисдикции.

В облаке у вас часто нет «диска, который можно изъять», — вместо этого есть учётная запись и набор журналов, которые ведёт провайдер. Это меняет всё: ключевым доказательством становятся логи управляющих API (кто, под какой ролью, какое действие выполнил), снимки виртуальных машин и записи доступа к объектным хранилищам. Сильно вырастает роль предварительной настройки: если детальное логирование не было включено заранее, восстанавливать будет почти нечего. Добавляется и юридический слой — данные могут физически храниться в другой стране, а значит, в дело вступают вопросы юрисдикции и условия договора с провайдером.

Как работает под капотом

Выбор направления диктует порядок летучести (об этом будет отдельный урок): сначала собирают то, что исчезнет быстрее. Память и сетевые соединения летучи — их фиксируют первыми; диск стабилен — его образ можно снять и позже.

Но летучесть — лишь один из ориентиров. Второй — какой вопрос важнее всего ответить именно в этом инциденте. Иногда главную улику ждут от диска, и тогда после быстрой фиксации летучих данных основное время уходит на образ носителя. Сила DFIR — в корреляции: одно соединение в дампе памяти подсказывает внешний адрес, тот же адрес всплывает в сетевых логах, а на диске обнаруживается автозапуск, который это соединение и инициирует. Каждый источник в отдельности — фрагмент, вместе они складываются в доказанную цепочку событий.

Источник       Летучесть   Когда собирать
-----------    ---------   --------------
Память (RAM)   высокая     в первую очередь
Сеть (соед.)   высокая     сразу
Диск           низкая      после памяти
Архивы/бэкапы  очень низкая в любой момент

Частые ошибки

  • Ограничиваться одним направлением. Только диск или только сеть дают неполную картину; сила — в корреляции.
  • Забыть про память. Многие современные атаки живут в памяти (fileless) и почти не оставляют следов на диске.
  • Рассчитывать на «прошлый» трафик. Если захват не вёлся, сетевых данных за прошлое не будет.
  • Считать SSD таким же «памятливым», как HDD. Из-за TRIM удалённые данные на SSD могут исчезнуть быстро и непредсказуемо.
  • Думать, что в облаке «нечего собирать». Доказательства там — логи API, снимки и журналы доступа, но только если логирование включили заранее.

Итоги

  • Направления: дисковая, памяти, сетевая, мобильная, облачная — по источнику данных.
  • Память и сеть летучи, их собирают первыми; диск стабилен.
  • Природа источника (SSD/TRIM, облачные логи, шифрование телефона) определяет, на что можно рассчитывать.
  • Полную картину даёт комбинация направлений и корреляция артефактов.
Проверьте себя
1. Какое направление форензики позволяет найти расшифрованные данные и ключи, отсутствующие на диске?
AДисковая
BФорензика памяти
CОблачная
DМобильная
2. Почему сетевую форензику нельзя провести «задним числом», если не было захвата?
AТрафик шифруется
BПрошлый трафик не сохраняется, если его не записывали
CСеть слишком быстрая
DPcap-файлы повреждаются
3. Какой источник данных собирают в первую очередь из-за высокой летучести?
AЖёсткий диск
BРезервные копии
CОперативная память
DАрхивные носители