HackMD - Collaborative Markdown Knowledge Base

## 20. Обзор утилиты Forensics Acquisition of Websites > [name=Стенькин Д.С. БСБО-04-19] **Содержание** 1. Введение 2. Установка, активация, подготовка к работе 3. Работа с утилитой 4. Разбор выходных данных утилиты 5. Заключение ### 1.Введение  Forensic Acquisition of Websites (FAW) - это браузер для Windows, предназначенный для захвата (другими словами, извлечения данных) веб страниц для проведения расследований. FAW сохраняет всю доступную на момент сбора информацию с веб страницы. ![](https://i.imgur.com/jnejdRe.png) FAW позволяет автоматически извлекать все элементы, из которых состоит веб-страница, например: изображения, мультимедийные файлы, сценарии, css, фреймы, BLOB-объекты, связанные документы и так далее. FAW также имеет ряд специальных инструментов для получения улик в Интернете автоматическим и упрощенным способом. К этим специальным инструментам относится: * Захват полных профилей пользователей Facebook * Автоматическое открытие всех комментариев к сообщениям Facebook и последующий их захват * Захват чатов WhatsApp со всеми мультимедийными элементами (фото, видео, аудио) * Загрузка оригинальных видео YouTube * Получение торрент-файлов со всеми ссылками на используемые IP-адреса, относящиеся к архитектуре P2P Эта утилита платная, поэтому в этой статье мы рассмотрим функционал демоверсии. ### 2. Установка, активация, подготовка к работе Установка быстрая и простая - скачиваем .exe файл демоверсии с официального сайта и следуем инструкциям в установщике. ![](https://i.imgur.com/UYop1wM.png) При первом её запуске мы увидим такое окно, в котором обязательно нужно заполнить небольшую форму. ![](https://i.imgur.com/4YdpTOJ.png) Нажимаем ОК, и переходим к следующему окну. ![](https://i.imgur.com/K1VJiQq.png) Здесь нам достаточно нажать на кнопку Auto для автозаполнения поля Case ID и в следующее поле вписать имя Детектива. Нажимаем ОК. Этап установки, активации и подготовки к работе завершён. Переходим к работе с утилитой. ### 3. Работа с утилитой Главный экран выглядит следующим образом: ![](https://i.imgur.com/lr5nQlP.png) В этом меню предствлены все режимы, которыми мы можем воспользоваться для получения информации с веб-страниц в интернете. Для наглядной демонстрации возможностей FAW я выберу модуль "EASY", в котором без лишних усилий, буквально по по одному клику, можно собрать данные с веб-страницы, в моём случае - со страницы входа в ВК. ![](https://i.imgur.com/v0pSYXg.png) Привычный для всех нас интерфейс браузера дополнен кнопкой с изображением камеры, которая находится справа от адресной строки. ![](https://i.imgur.com/d5BaDvX.png) Нажав на неё, мы запустим процесс сбора данных. Выглядит он следующим образом: ![](https://i.imgur.com/6DJlMg8.png) В основном окне браузера - логи о сборе данных, а в самом низу - прогресс бар. Ждём буквально минуту, и сбор завершается. Автоматически открывается папка, в которой лежит всё, что удалось собрать нашей утилите. ![](https://i.imgur.com/i5D2Cvj.png) ### 4. Разбор выходных данных утилиты Рассмотрим все эти файлы по порядку 1. ImagesA4 В этой папке находится файл image.png, который представляет собой скриншот веб-страницы в формате А4, который удобно будет включить в отчёт, необходимый для печати. ![](https://i.imgur.com/eip1EOp.png) 2. Objects Папка содержит все элементы веб-страниы (изображения, css-стили, php-файлы, js-скрипты). ![](https://i.imgur.com/2rIFdXH.png) 3. Acquisition.log Лог файл, который содержит список всех операций, выполненных FAW. Эти логи мы уже видели в процессе сбора данных 4. Acquisition.txt Содержит ссылки на все собранные файлы, а так же их хэши. В демо версии хэши недоступны. ![](https://i.imgur.com/OsVo46I.png) 5. Acquisition.xml Аналог Acquisition.txt в формате xml. ![](https://i.imgur.com/LjJFtax.png) 6. Acquisition.zip Архив, содержащий файлы Aquisition.txt, Acquisition.xml, Checking.faw, Code.html и Image.png — эти пять файлов содержат важную информацию, необходимую для сертификации захвата данных веб-страницы. 7. Acquisition_20220224224055_00002.docx Отчёт в формате .docx, содержащий Aquisition.txt, Acquisition.xml, Checking.faw, Code.html и Image.png. ![](https://i.imgur.com/VaIbXiE.png) 9. Acquisition_20220224224055_00002.pdf Аналогичный отчёт, но в формате pdf. 10. certServer.cer SSL-сертификат веб-сервера, на котором размещена веб-страница. 13. Checking.faw файл, содержащий управляющий код, позволяющий проверить, не были ли изменены файлы Acquisition.txt и Acquisition.xml. 15. Code.html HTML-файл, содержащий весь HTML-код веб-страницы. 16. Headers.txt текстовый файл, содержащий заголовки, отправляемые в браузер веб-страницей. 19. hosts Копия файла windows hosts на момент получения веб-страницы; позволяет проверить, были ли на момент захвата сопоставления между именами хостов и IP-адресами. 21. Image.png Скриншот веб-страницы. 26. ScreenCapture.mp4 Запись экрана компьютера от начала до конца сбора данных. 28. SystemLogEvents.txt Файл, в котором записываются все события Windows, произошедшие во время получения веб-страницы. ### 5. Заключение FAW - это удобный, оптимизированный инструмент, полезный для сетевой форензики. Утилита предоставляет способ сохранить данные в том виде, в каком они просматриваются пользователем, что очень сильно может помочь тому или иному расследованию. Стоит упомянуть, что этой утилитой преимущественно пользуются правоохранительные органы и общественные и правительственные учреждения разных стран. Как видно на скриншоте с официального сайта, организаций действительно много (на скриншот не вместилась и 1/3 из них), и это лишний раз доказывает, что утилиты, позволяющие совершать сбор данных с веб-сайтов очень востребованы среди специалистов по форензики разных стран. ![](https://i.imgur.com/gWzfwWg.png) ### Доклад на тему "Форензика устройств Apple" [Ссылка на доклад](https://hackmd.io/B3atk52tSS-_hlY3tGb-xw)