● 50 entries

Криминалистика и реагирование

$UsnJrnl ($J)Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
Анализ артефактовИсследование цифровых следов, оставляемых операционными системами и приложениями, для восстановления действий пользователя, запуска программ и поведения злоумышленника.
Анализ вредоносного ПОСтруктурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.
Анализ временной шкалыКриминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.
Анализ журналовСистематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
Анализ реестра WindowsКриминалистическое исследование ульев реестра Windows для восстановления конфигурации, активности пользователя и доказательств запуска программ или закрепления.
АнтифорензикаМетоды, применяемые злоумышленниками или сторонниками приватности для затруднения, задержки или срыва цифровых криминалистических расследований.
Блокиратор записиАппаратное или программное средство, разрешающее чтение носителя и запрещающее любые операции записи, способные изменить доказательство.
Готовность к криминалистическому реагированиюПодготовленная способность организации собирать, сохранять и анализировать цифровые доказательства с минимальными нарушениями при инцидентах или правовых разбирательствах.
Дисковая криминалистикаАнализ энергонезависимых носителей (HDD, SSD, USB) для извлечения и интерпретации артефактов файловых систем, приложений и ОС.
Карвинг файловКриминалистический метод восстановления файлов из неразмеченной области или сырых данных по сигнатурам, заголовкам и колонтитулам, без использования метаданных файловой системы.
Криминалистика оперативной памятиДисциплина по захвату и анализу оперативной памяти системы для выявления процессов, сетевых соединений, внедрённого кода и артефактов в памяти.
Криминалистическое снятие образаПобитовая копия носителя информации, проверенная криминалистическими хешами, для криминалистического анализа и допустимая в качестве доказательства.
Мобильная криминалистикаКриминалистический захват и анализ смартфонов, планшетов и носимых устройств для извлечения коммуникаций, данных приложений, геолокации и иных артефактов.
Настольные ученияДискуссионная симуляция, в которой заинтересованные стороны проходят гипотетический киберинцидент для проверки планов, ролей, решений и коммуникаций.
Облачная криминалистикаКриминалистическое расследование инфраструктуры, приложений и SaaS-сервисов в облаке с использованием API провайдеров, журналов аудита и эфемерных ресурсов.
Обратная разработкаПроцесс дизассемблирования и анализа скомпилированного ПО, прошивок или аппаратного обеспечения с целью восстановления их устройства, поведения и внутренней работы.
План реагирования на инцидентыУтверждённый документ, описывающий, как организация готовится, обнаруживает, сдерживает, ликвидирует, восстанавливается и извлекает уроки из киберинцидентов.
Получение доказательствЗащищаемый сбор цифровых доказательств из систем, сетей и облачных сервисов с использованием криминалистически корректных инструментов и процедур.
Порядок волатильностиПриоритет сбора, определённый RFC 3227: криминалисты обязаны фиксировать наиболее эфемерные свидетельства первыми, пока они не перезаписаны и не утрачены.
Реагирование на инцидентыОрганизованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
Сетевая криминалистикаЗахват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
Сохранение доказательствКриминалистическая дисциплина, защищающая цифровые доказательства от изменения, утраты или загрязнения, чтобы они оставались допустимыми и достоверными на всём протяжении расследования.
СтегоанализКриминалистическая дисциплина по обнаружению и, при возможности, извлечению скрытых данных, встраиваемых стеганографией в безобидные на вид файлы.
Файлы PrefetchФайлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
Форензическая верификация хешаПрактика вычисления и сравнения криптографических хешей (обычно MD5 и SHA-256) форензических образов и исходных носителей для доказательства целостности доказательств.
Форензический набор инструментовОбщий термин для подобранного и валидированного набора аппаратных, программных средств и процедур, используемых экспертом цифровой форензики для сбора, сохранения и анализа доказательств.
Формат образа E01 (EnCase)Криминалистический формат образа диска, изначально предложенный Guidance Software для EnCase: сжатые сегментированные файлы с метаданными и контрольными суммами.
Цепочка хранения доказательствХронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
Цифровая криминалистикаНаучная дисциплина по выявлению, сохранению, анализу и документированию цифровых доказательств с компьютеров, сетей и устройств в юридически допустимой форме.
Amcache.hveКуст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
AutopsyОткрытая платформа цифровой форензики, разрабатываемая Брайаном Каррьером и Basis Technology, предоставляющая графический интерфейс к The Sleuth Kit и обширный набор аналитических модулей.
Cellebrite UFEDЛинейка продуктов мобильной криминалистики израильской компании Cellebrite, извлекающих, декодирующих и анализирующих данные со смартфонов, дронов, SIM-карт и других устройств.
dd (сырой образ диска)Плоская побитовая копия носителя, созданная утилитой Unix dd (или совместимыми инструментами), без сжатия, метаданных и поблочных хешей.
DFIR (Цифровая криминалистика и реагирование на инциденты)Совмещённая дисциплина, объединяющая цифровое криминалистическое расследование и реагирование на инциденты для обнаружения, сдерживания, ликвидации и извлечения уроков из инцидентов ИБ.
EnCaseEnCase — это семейство коммерческих продуктов цифровой форензики от OpenText (изначально Guidance Software), широко используемое правоохранительными органами и корпоративными исследователями с конца 1990-х годов.
EZ Tools Эрика ЦиммерманаБесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
FTKForensic Toolkit (FTK) — коммерческий пакет для цифровой форензики, разработанный AccessData и теперь принадлежащий Exterro, используемый для сбора, индексации и анализа компьютерных доказательств.
GrayKeyСпециализированный аппаратно-программный комплекс Grayshift (теперь Magnet Forensics), используемый правоохранительными органами для разблокировки и извлечения данных с заблокированных iOS- и Android-устройств.
hiberfil.sysСжатый файл гибернации Windows со снимком физической памяти на момент гибернации; даёт криминалистический доступ к содержимому ОЗУ выключенной системы.
Jump List (Списки переходов)Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.
KAPE (Kroll Artifact Parser and Extractor)Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод.
Magnet AXIOMКоммерческая DFIR-платформа канадской Magnet Forensics: загружает данные с дисков, мобильных и облачных источников, разбирает артефакты и представляет их в едином интерфейсе анализа.
MFT (Master File Table)Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
pagefile.sysФайл подкачки виртуальной памяти Windows на системном томе; может содержать фрагменты памяти процессов, учётные данные, ключи, командные строки и расшифрованные полезные нагрузки.
PlasoОткрытый Python-инструмент, созданный Кристинном Гудьонссоном, автоматически извлекающий временные метки из множества источников для построения форензической «суперлинии времени».
ShellbagsКлючи реестра, хранящие пользовательские настройки представления папок в Проводнике Windows; служат доказательством того, что конкретный пользователь открывал конкретную папку, включая сменные носители и сетевые пути.
Shimcache (AppCompatCache)Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
The Sleuth KitОткрытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером.
Volatility FrameworkОткрытый фреймворк форензики памяти, изначально созданный Аароном Уолтерсом и фондом Volatility Foundation для извлечения цифровых артефактов из образов оперативной памяти (RAM).