Практическая работа №1: Искусство форензики. Работа с Guymager.

# Практическая работа №1: Искусство форензики. Работа с Guymager. [ToC] ## Введение **Guymager** — это инструмент с открытым исходным кодом для создания образов дисков. ПО доступно только для Linux и поставляется с Kali Linux, Ubuntu и другими дистрибутивами. Guymager создан голландским разработчиком Гаем Вонкеном (Guy Voncken). Получение дампов дисков является обязательным процессом в цифровых криминалистических исследованиях (форензике). С помощью этого процесса мы можем клонировать весь диск, например флешки, жесткие диски или карты памяти. Guymager предоставляет такой функционал. Основные возможности: - Простой и понятный интерфейс пользователя на разных языках; - Очень быстр, благодаря многопоточности, конвейерный дизайн и многопоточное сжатие данных; - Эффективно использует многопроцессорные машины; - Формирует flat (dd), EWF (E01) и AFF образы, поддерживает клонирование дисков; - Доступен исходный код. ![](https://i.imgur.com/eSzU9iT.png) > Основное окно программы ## Работа с Guymager ### Установка Guymager содержится в стандартных репозиториях нескольких дистрибутивов, например Debian (Squeeze или новее) и Ubuntu (10.04 или новее). В Ubuntu репозиторий universe должен быть активирован. Установку можно выполнить как с помощью графического инструмента, такого как Ubuntu Software Center или Synaptic, так и с помощью командной строки: ``` sudo apt-get update sudo apt-get install guymager ``` Также установка возможна с помощью .deb пакетов. На сайте https://deb.pinguin.lu/ можно скачать версии как для i386, так и для amd64. После загрузки пакетов, необходимо проделать следующие шаги: - Открыть терминал и перейти в папку с загруженными пакетами; - Выполнить следующие команды: ``` sudo apt-get update sudo dpkg -i guymager-beta_xxx_amd64.deb // замените xxx на нужную версию sudo apt-get -f install ``` - Помимо установленных пакетов, рекомендуется загрузить дополнительные: ``` sudo apt-get install smartmontools hdparm ``` - Запустите программу с помощью команды: ``` guymager ``` ### Использование Основное меню Guymager содержит в себе таблицу подключенных накопителей (в т.ч. флеш-носители) с информацией о названии, адресе в системе, объеме и т.д. Новые устройства можно подключить во время работы программы - достаточно нажать Rescan для повторого сканирования и добавления в таблицу. ![](https://i.imgur.com/ovRlbHh.png) > Guymager видит все подключенные накопители, даже флешки и карты памяти При нажатии ПКМ по любому диску открывается контекстное меню, из которого можно выбрать действие. ![](https://i.imgur.com/lMiYZGo.png) Рассмотрим функцию Clone device, которая полностью клонирует накопитель. По нажатии на этот пункт, появляется окно настройки операции. В нем можно выбрать диск, на который будет происходить выгрузка информации (флеш-накопитель на 16Гб в нашем случае), название файла информации и т.д. ![](https://i.imgur.com/QDLorOq.png) После нажатии кнопки Start начинается операция клонирования. Guymager указывает прогресс в процентах, среднюю скорость записи и оставшееся время. ![](https://i.imgur.com/qBSURVv.png) После окончания операции на диске создается .info файл, в котором указана информация о прошедшем клонировании. ![](https://i.imgur.com/WdJpFiA.png) Клонированный диск создается как отдельный раздел на конечном накопителе. Его можно анализировать при помощи других утилит. ![](https://i.imgur.com/dWJ32Ap.png) ## Вывод В данной практической работе были изучены методы сбора информации с цифровых носителей, а так же создания их образа посредством использования утилиты Guymager. Был рассмотрен процесс установки и использования ПО, что дало общее понимание принципов форензики. ## Бонус: обзор утилиты BelkaSoft Live RAM Capturer Belkasoft Live RAM Capturer предоставляет возможность снять образ памяти компьютера под управлением 32- и 64-разрядных версий Windows, сохранив его в файл для последующего анализа. Belkasoft Live RAM Capturer разработан для использования криминалистами, специалистами и разработчиками систем безопасности. Продукт распространяется бесплатно. Многие программы, включая популярные многопользовательские игры, системы безопасности, а также вредоносное ПО защищают свои процессы от исследования с помощью отладочных инструментов. В таких программах используются активные системы противодействия отладке, способные обнаружить и предотвратить попытку других программ считать данные из защищённых областей памяти. В лучшем случае попытка использования отладчика не удаётся — вместо интересующей исследователя информации в защищённой области обнаруживаются нули или случайные данные. В худшем случае происходит зависание или перезагрузка компьютера, делающие дальнейшее исследование невозможным. Для предотвращения такого развития событий использование корректного инструментария жизненно необходимо. Обойти активные виды защиты от отладки способны только инструменты, запущенные в привилегированном режиме ядра операционной системы. В поставку Belkasoft Live RAM Capturer входят 32- и 64-разрядные версии драйверов, работающих в режиме ядра и позволяющих корректно обрабатывать области данных, принадлежащие защищённым процессам. Ниже представлен интерфейс программы. В верхнее поле необходимо ввести путь сохранения, куда после нажатия кнопки “Capture!” будет сохранен дамп оперативной памяти в формате “.mem”. ![](https://i.imgur.com/lgH0nlK.png) > интерфейс программы ![](https://i.imgur.com/tVlYene.png) > выгруженный дамп Полученный дамп можно проанализировать с помощью утилиты Volatility 3. Она позволяет получить общую информацию, а также создает JSON файл с полным списком переменных оперативной памяти. ![](https://i.imgur.com/Xk8taqB.png) > общая информация дампа ![](https://i.imgur.com/bKUA6WS.png) > детальный JSON файл ## Автор Работу выполнил Вязников Павел Андреевич, БСБО-04-19