Informatyka śledcza. Gromadzenie, analiza i zabezpieczanie dowodów elektronicznych dla początkujących - ebook

Jak prowadzić cyberśledztwo. Zabezpieczanie i analiza dowodów elektronicznych

Przestępcy sięgają po coraz to nowsze metody. Inżynierowie potrafią wykrywać ślady nielegalnych działań, jeśli jednak celem jest ujęcie i ukaranie sprawcy, potrzeba czegoś więcej. Zadaniem śledczego jest nie tylko przeprowadzenie badań, ale również zabezpieczenie i analiza dowodów, wreszcie - przedstawienie wyników swojej pracy tak, aby można ich było użyć w postępowaniu sądowym. By tak działać, konieczne jest przyswojenie zasad informatyki śledczej.

Ta praktyczna książka zawiera omówienie reguł, jakimi powinien się kierować informatyk śledczy podczas pracy. Przedstawia podstawy kryminalistyki, stanowi też przegląd narzędzi i technik służących do skutecznego badania cyberprzestępstw, a także do efektywnego zbierania, utrwalania i wykorzystywania dowodów elektronicznych. Duży nacisk położono tu na techniki pozyskiwania danych z systemu Windows: opisano sposoby zbierania artefaktów w różnych wersjach systemu, zaprezentowano sposoby analizy pamięci RAM i poczty e-mail w kontekście prowadzenia dochodzenia. Ważną częścią publikacji są rozdziały dotyczące pisania raportów i zasad, których musi przestrzegać biegły sądowy w ramach swojej pracy.

Dzięki książce dowiesz się:

• czym jest proces dochodzeniowy i jakie są zasady pracy z dowodami
• jakie narzędzia kryminalistyczne pozwalają na efektywną pracę
• na czym polega proces rozruchu z użyciem BIOS-u, UEFI i sekwencji rozruchowej
• jak pozyskiwać wartościowe dane znajdujące się w sieci i na urządzeniach
• jak lokalizować i wykorzystywać najpopularniejsze artefakty systemu Windows
• z czym się wiąże udział w postępowaniu sądowym lub administracyjnym

Dowiedz się, jak powstrzymać cyberprzestępcę!

O autorze

O recenzencie

Wprowadzenie

Część I. Gromadzenie dowodów

Rozdział 1. Rodzaje dochodzeń w informatyce śledczej

• Różnice w dochodzeniach z obszaru informatyki śledczej
• Dochodzenia karne
  • Pierwsi na miejscu zdarzenia
• Śledztwa korporacyjne
  • Wykroczenie pracowników
  • Szpiegostwo przemysłowe
  • Zagrożenie wewnętrzne
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 2. Proces analizy śledczej

• Rozważania przed dochodzeniem
  • Stacja robocza dla śledczego
  • Zestaw mobilnego reagowania
  • Oprogramowanie śledcze
  • Szkolenia dla śledczych
• Analiza informacji o sprawie i zagadnień prawnych
• Pozyskiwanie danych
  • Łańcuch dowodowy
• Proces analizy
  • Daty i strefy czasowe
  • Analiza skrótów
  • Analiza sygnatur plików
  • Antywirus
• Raportowanie wyników
  • Szczegóły do uwzględnienia w raporcie
  • Udokumentuj fakty i okoliczności
  • Podsumowanie raportu
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 3. Pozyskiwanie dowodów

• Eksploracja dowodów
• Środowiska do prowadzenia badań kryminalistycznych
• Walidacja narzędzi
• Tworzenie sterylnych nośników
  • Zrozumieć blokowanie zapisu
• Tworzenie obrazów kryminalistycznych
  • Format DD
  • Plik dowodowy EnCase
  • Dyski SSD
  • Narzędzia do obrazowania
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 4. Systemy komputerowe

• Proces rozruchu
  • Kryminalistyczny nośnik rozruchowy
  • Dyski twarde
  • Partycje w MBR
  • Partycje GPT
  • Host Protected Area (HPA) i Device Configuration Overlays (DCO)
• Zrozumieć systemy plików
  • System plików FAT
  • Obszar danych
  • Długie nazwy plików
  • Odzyskiwanie usuniętych plików
  • Przestrzeń luzu
• System plików NTFS
• Podsumowanie
• Pytania

Część II. Dochodzenie

Rozdział 5. Komputerowy proces śledczy

• Analiza osi czasu
  • X-Ways
  • Plaso (Plaso Langar Að Safna Öllu)
• Analiza mediów
• Wyszukiwanie ciągów znaków
• Odzyskiwanie usuniętych danych
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 6. Analiza artefaktów systemu Windows

• Profile użytkowników
• Rejestr systemu Windows
• Wykorzystanie konta
  • Ostatnie logowanie/ostatnia zmiana hasła
• Analiza plików
  • Przeglądanie pamięci podręcznej miniatur
  • Przeglądanie danych z przeglądarek firmy Microsoft
  • Ostatnio używane/ostatnio użyte
  • Zaglądanie do kosza
  • Pliki skrótów (LNK)
  • Odszyfrowywanie list szybkiego dostępu
  • Wpisy Shellbag
  • Funkcja prefetch
• Identyfikowanie fizycznej lokalizacji urządzenia
  • Określanie strefy czasowej
  • Analiza historii sieci
  • Zrozumieć dziennik zdarzeń WLAN
• Analiza działania programu
  • UserAssist
  • Pamięć podręczna Shimcache
• Urządzenia USB/podłączone urządzenia
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 7. Analiza pamięci RAM

• Podstawowe informacje o pamięci RAM
• Pamięć o dostępie swobodnym?
• Źródła danych przechowywanych w pamięci RAM
• Przechwytywanie zawartości pamięci RAM
  • Przygotowanie urządzenia do przechwytywania
  • Narzędzia do przechwytywania zawartości pamięci RAM
• Narzędzia do analizy pamięci RAM
  • Bulk Extractor
  • Volix II
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 8. Wiadomości e-mail - techniki śledcze

• Protokoły poczty elektronicznej
  • Protokół SMTP
  • Protokół POP
  • Protokół IMAP
  • Zrozumieć pocztę internetową
• Dekodowanie e-maila
  • Format wiadomości e-mail
  • Załączniki
• Analiza e-maili w aplikacjach pocztowych
  • Microsoft Outlook/Outlook Express
  • Microsoft Windows Live
  • Mozilla Thunderbird
• Analiza poczty internetowej
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 9. Artefakty internetowe

• Przeglądarki internetowe
  • Google Chrome
  • Internet Explorer/Microsoft Edge
  • Firefox
• Media społecznościowe
  • Facebook
  • Twitter
  • Usługodawca
• Udostępnianie plików w sieciach peer-to-peer
  • Ares
  • eMule
  • Shareaza
• Chmura obliczeniowa
• Podsumowanie
• Pytania
• Materiały dodatkowe

Część III. Raportowanie

Rozdział 10. Pisanie raportów

• Skuteczne robienie notatek
• Pisanie raportu
  • Przeanalizowane dowody
  • Szczegóły związane z zabezpieczeniem materiałów
  • Szczegóły analizy
  • Załączniki/szczegóły techniczne
• Podsumowanie
• Pytania
• Materiały dodatkowe

Rozdział 11. Etyka biegłych

• Rodzaje postępowań
• Faza przygotowawcza
• Curriculum vitae
• Zeznania i dowody
• Zachowanie etyczne
• Podsumowanie
• Pytania
• Materiały dodatkowe

Odpowiedzi do pytań