Программа для криминалистического анализа телефона

Обновлено: 08.01.2025

Криминалистический анализ цифровых устройств невозможен без соответствующих инструментов. Стоимость, доступность, сложности с сертификацией, а часто – и функционал коммерческих пакетов заставляют экспертов-криминалистов обратиться к бесплатным инструментам и программам с открытым исходным кодом. Сегодня мы расскажем о самых полезных из них.

Джейлбрейки

Уверен, что о первом из перечисленных джейлбрейков так или иначе слышала большая часть наших постоянных читателей. Речь идёт об утилите checkra1n , которая представляет собой джейлбрейк на уровне загрузчика для многих моделей iPhone, от iPhone 5s до iPhone X включительно. Учитывая природу уязвимости, этот джейлбрейк незаменим в работе эксперта по мобильной криминалистике. Джейлбрейк поддерживает iOS 12.3 — iOS 13.7, а также iOS 14 для моделей iPhone 6 и iPhone SE.

Что можно сделать при помощи checkra1n? Если подлинность данных и повторяемость процесса не на первом месте, то посредством джейлбрейка без использования сторонных инструментов вы сможете извлечь образ файловой системы. Всё, что для этого нужно – опыт использования команд ssh и tar. Да, Связку ключей и пароли пользователя извлечь таким образом не получится, но и образ файловой системы содержит массу ценных данных.

Для новых моделей iPhone, таких как iPhone Xr, iPhone Xs или iPhone 11, требуется другой подход. Джейлбрейк unc0ver поддерживает iOS версий 11.0–13.5 для всех моделей устройств за исключением линейки iPhone 12, так как последняя может работать лишь с iOS 14 и более новыми версиями. Рекомендуем зарегистрироваться в программе Apple для разработчиков: с её помощью установка джейлбрейка становится намного проще и безопаснее. Существующие обходные пути требуют

Бесплатные утилиты

За прошедшие годы мы собрали небольшую, но крайне полезную коллекцию бесплатных инструментов, которыми мы пользуемся буквально ежедневно. Здесь мы приводим лишь краткий список программ, которые мы используем чаще всего. В него входят инструменты для работы с plist-файлами, в том числе с бинарными, базами данных SQLite, даунгрейдами iOS, и даже инструменты для расширенного логического анализа iPhone:

Наборы скриптов

Существует огромное количество бесплатных инструментов, каждый из которых предназначен для выполнения какой-либо одной специфической функции. Большинство таких инструментов распространяются в виде платформенно-независимых скриптов, использование которых поможет произвести углублённый анализ устройства и составлять отчёт. Здесь мы приводим ссылки не на конкретные приложения, а на целые коллекции скриптов и утилит:

Источники информации

Каким бы полезным ни был наш блог, он не является единственным источником полезной информации для специалистов по мобильной криминалистике. Помимо нашего блога, есть несколько других отличных источников:

Заключение

Бесплатные скрипты и программы способны облегчить работу эксперта-криминалиста независимо от бюджета и доступности коммерческих пакетов. Многие утилиты из числа бесплатных не имеют аналогов в силу узкой специализации и нишевой доступности, неспособной вызвать интерес крупных производителей программного обеспечения. Мы выбрали лишь самые интересные и полезные из них, но в мире цифровой криминалистике есть много других программ, скриптов и наборов, которыми вы можете воспользоваться.

Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.

Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB.

Чемоданчик киберкриминалиста

Компьютерная экспертиза исследует большое количество разнообразных цифровых устройств и источников данных. В ходе исследований могут использоваться как программные, так и аппаратные средства — многие из них стоят недешево. Не каждая компания, а тем более отдельный специалист, могут позволить себе подобные расходы. Мы, в Group-IB, не экономим на инструментах, что позволяет проводить исследования качественно и оперативно.

Естественно, список программ, находящихся в моем рейтинге, отличается от общемирового. Это обусловлено как региональными особенностями — например, часть зарубежных программ не умеют извлекать данные из российских мессенджеров, да и вообще с русским языком не дружат (в поисковых задачах) — так и экспортными ограничениями, из-за которых российские специалисты не имеют возможности использовать весь мировой арсенал подобных средств.

Мобильная криминалистика, аппаратные средства

Cellebrite UFED Touch 2 — продукт, изначально разрабатывавшийся для работы в полевых условиях. Концептуально разделен на две части:
· фирменный планшет Cellebrite UFED Touch 2 (или UFED 4PC — программный аналог Cellebrite UFED Touch 2, устанавливаемый на компьютер или ноутбук специалиста): используются только для извлечения данных
· UFED Physical Analyzer — программная часть, предназначенная для анализа данных, извлеченных из мобильных устройств.

Концепция использования оборудования предполагает, что с помощью Cellebrite UFED Touch 2 специалист извлекает данные в полевых условиях, а потом в лаборатории производит их анализ с помощью UFED Physical Analyzer. Соответственно, лабораторный вариант представляет собой два самостоятельных программных продукта — UFED 4PC и UFED Physical Analyzer — установленных на компьютере исследователя. На сегодняшний день этот комплекс обеспечивает извлечение данных из максимально возможного количества мобильных устройств. При проведении анализа часть данных может быть упущена программой UFED Physical Analyzer. Это происходит потому, что в новых версиях программы периодически всплывают старые баги, которые вроде бы как пофиксили, но потом они почему-то проявляются вновь. Поэтому рекомендуется проводить контроль полноты анализа данных, осуществленный программой UFED Physical Analyzer.

MSAB XRY / MSAB XRY Field — аналог продуктов Cellebrite, разрабатываемый шведской компанией Micro Systemation. В отличие от парадигмы Cellebrite, компания Micro Systemation предполагает, что в большинстве случаев их продукты будут использоваться на стационарных компьютерах или ноутбуках. К продаваемому продукту прилагается фирменный USB-хаб, называемый на сленге «шайба», и комплект переходников и дата-кабелей для подключения различных мобильных устройств. Компания также предлагает версии MSAB XRY Field и MSAB XRY Kiosk — аппаратные продукты, предназначенные для извлечения данных из мобильных устройств, реализованные в виде планшета и киоска. Данный продукт менее распространен на территории России, чем продукция Cellebrite. MSAB XRY хорошо зарекомендовал себя при извлечении данных из устаревших мобильных устройств.

С определенного момента стали пользоваться популярностью аппаратные решения для проведения chip-off (метод извлечения данных напрямую из чипов памяти мобильных устройств), разработанные польской компанией Rusolut. С помощью этого оборудования можно извлекать данные из поврежденных мобильных устройств или из устройств, заблокированных PIN-кодом или графическим паролем. Rusolut предлагает несколько наборов адаптеров для извлечения данных из определенных моделей мобильных устройств. Например, комплект адаптеров для извлечения данных из чипов памяти, преимущественно используемых в «китайских телефонах». Однако повсеместное использование производителями мобильных устройств шифрования пользовательских данных в топовых моделях привело к тому, что это оборудование постепенно теряет актуальность. Извлечь данные из чипа памяти с его помощью можно, но они будут в зашифрованном виде, а их расшифровка является нетривиальной задачей.

Мобильная криминалистика, программные средства

Наблюдая за развитием мобильной криминалистики, можно легко увидеть, что по мере развития функционала мобильных устройств происходило и развитие программ для их анализа. Если раньше лицо, производящее следствие, или иной заказчик довольствовались данными из телефонной книги, СМС, ММС, вызовами, графическими и видео-файлами, то сейчас специалиста просят извлечь большее количество данных. Кроме перечисленных, как правило, требуется извлечь:

«Мобильный Криминалист»: сегодня это одна из лучших программ для анализа данных, извлеченных из мобильных устройств. Если вы хотите извлечь максимальное количество данных из мобильного устройства, используйте эту программу. Интегрированные просмотрщики баз данных SQLite и plist-файлов позволят более досконально исследовать определенные SQLite-базы данных и plist-файлы вручную.

Изначально программа разрабатывалась для использования на компьютерах, поэтому использовать ее на нетбуке или планшете (устройствах с размером экрана 13 дюймов и менее) будет некомфортно.

Особенностью программы является жесткая привязка путей, по которым расположены файлы — базы данных приложений. То есть если структура базы данных какого-либо приложения осталась прежней, но изменился путь, по которому база данных находится в мобильном устройстве, «Мобильный Криминалист» просто пропустит такую базу данных в ходе анализа. Поэтому исследование подобных баз данных придется производить вручную, используя файловый браузер «Мобильного Криминалиста» и вспомогательные утилиты.

Результаты исследования мобильного устройства в программе Мобильный Криминалист:

Тенденцией последних лет является «смешение» функционала программ. Так, производители, традиционно занимавшиеся разработкой программ для мобильной криминалистики, внедряют в свои продукты функционал, позволяющий исследовать жесткие диски. Производители криминалистических программ, ориентированных на исследование жестких дисков, добавляют в них функционал, необходимый для исследования мобильных устройств. И те, и другие добавляют функционал по извлечению данных из облачных хранилищ и так далее. В итоге получаются универсальные «программы-комбайны», с помощью которых можно производить и анализ мобильных устройств, и анализ жестких дисков, и извлечение данных из облачных хранилищ, и аналитику данных, извлеченных из всех этих источников.

В нашем рейтинге программ для мобильной криминалистики именно такие программы занимают следующие два места: Magnet AXIOM — программа канадской компании Magnet Forensics, и Belkasoft Evidence Center — разработка питерской компании Belkasoft. Эти программы по своим функциональным возможностям в извлечении данных из мобильных устройств, конечно же, уступают программным и аппаратным средствам, описанным выше. Но они хорошо производят их анализ и могут использоваться для контроля полноты извлечения различных типов артефактов. Обе программы активно развиваются и стремительно наращивают свой функционал в части исследования мобильных устройств.

Окно выбора источника мобильных данных программы AXIOM:

Результаты исследования мобильного устройства программой Belkasoft Evidence Center:

Компьютерная криминалистика, аппаратные блокираторы записи

Tableau T35U — аппаратный блокиратор компании Tableau, позволяющий безопасно подключать исследуемые жесткие диски к компьютеру исследователя по шине USB3. Данный блокиратор имеет разъемы, позволяющие подключать к нему жесткие диски по интерфейсам IDE и SATA (а при наличии переходников и жесткие диски с другими типами интерфейсов). Особенностью этого блокиратора является возможность эмуляции операций «чтение—запись». Это бывает полезным при исследовании накопителей, зараженных вредоносным программным обеспечением.

Оба блокиратора записи в качестве основного подключения используют подключение к компьютеру исследователя по шине USB3, что обеспечивает комфортные условия работы исследователя при клонировании и анализе носителей информации.

Компьютерная криминалистика, программные средства

Старички для нестандартных ситуаций

15 лет назад бесспорными лидерами компьютерной экспертизы являлись программы Encase Forensics и AccessData FTK. Их функционал естественным образом дополнял друг друга и позволял извлекать максимальное количество различных типов артефактов из исследуемых устройств. В наши дни эти проекты являются аутсайдерами рынка. Текущая функциональность Encase Forensics значительно отстает от предъявляемых сегодня требований к программному обеспечению для исследования компьютеров и серверов под управлением Windows. Использование Encase Forensics остается актуальным в «нестандартных» случаях: когда надо исследовать компьютеры под управлением OC MacOS или сервера под управлением ОС Linux, извлекать данные из файлов редких форматов. Встроенный в Encase Forensics макроязык Ensripts содержит огромную библиотеку готовых скриптов, реализованных производителем и энтузиастами: с помощью них возможен анализ большого числа различных операционных и файловых систем.

AccessData FTK пытается поддерживать функционал продукта на необходимом уровне, но время обработки накопителей им значительно превышает разумное количество времени, которое может позволить себе потратить среднестатистический специалист на подобное исследование.

Особенности AccessData FTK:

поиск по ключевым словам, реализованный на очень высоком уровне
аналитика различных кейсов, позволяющая выявлять взаимосвязи в устройствах, изъятых по разным делам
возможность настройки интерфейса программы под себя
поддержка файлов редких форматов (например, баз данных Lotus Notes)

Молодые и растущие

Бесспорным лидером программных средств для компьютерной криминалистики является Magnet Axiom. Программа не просто постепенно развивается, а покрывает добавляющимся функционалом целые сегменты: исследование мобильных устройств, извлечение из облачных хранилищ, исследование устройств под управлением операционной системы MacOS и так далее. Программа имеет удобный и функциональный интерфейс, в котором все под рукой, и может применяться для расследования инцидентов информационной безопасности, связанных с заражением компьютеров или мобильных устройств вредоносным программным обеспечением или с утечками данных.

Российским аналогом Magnet AXIOM является Belkasoft Evidence Center. Belkasoft Evidence Center позволяет извлекать и анализировать данные из мобильных устройств, облачных хранилищ и жестких дисков. При анализе жестких дисков доступно извлечение данных из веб-браузеров, чатов, информации об облачных сервисах, детектирование зашифрованных файлов и разделов, извлечение файлов по заданному расширению, данных о геолокации, электронной почты, данных из платежных систем и социальных сетей, миниатюр, системных файлов, системных журналов и так далее. Имеет гибкий настраиваемый функционал по извлечению удаленных данных.

широкий спектр артефактов, извлекаемых из различных носителей информации
хороший встроенный просмотрщик баз данных SQLite
сбор данных с удаленных компьютеров и серверов
интегрированный функционал по проверке обнаруженных файлов на Virustotal

Недостатками программы являются неудобный интерфейс и неочевидность выполнения отдельных действий в программе. Для эффективного использования программы необходимо пройти соответствующее обучение.

Основное окно программы Belkasoft Evidence Center, отображающее статистику найденных криминалистических артефактов при исследовании конкретного устройства:

Постепенно российский рынок завоевывает X-Ways Forensics. Эта программа — швейцарский нож компьютерной криминалистики. Универсальная, точная, надежная и компактная. Особенностью программы является большая скорость обработки данных (по сравнению с другими программами этой категории) и оптимальный функционал, покрывающий основные потребности специалиста по компьютерной криминалистике. Программа имеет встроенный механизм, позволяющий минимизировать ложноположительные результаты. То есть исследователь, проводя восстановление файлов с жесткого диска объемом 100 Гб, видит не 1 Тб восстановленных файлов (большая часть из которых является ложноположительным результатами, как это обычно происходит при использовании программ восстановления), а именно те файлы, которые реально были восстановлены.

С помощью X-Ways Forensics можно:

находить и анализировать данные электронной почты
анализировать историю веб-браузеров, журналы ОС Windows и прочие системные артефакты
отфильтровать результаты, избавиться от ненужного, оставить только ценное и актуальное
построить временную шкалу и посмотреть активности в интересующий период
реконструировать рэйды (RAID)
монтировать виртуальные диски
осуществлять проверку на наличие вредоносного программного обеспечения

Недостатки X-Ways Forensics:

аскетичный интерфейс
отсутствие полноценного встроенного просмотрщика баз данных SQLite
необходимость глубокого изучения программы: выполнение некоторых действий, необходимых для получения нужного специалисту результата, не всегда очевидно

Восстановление данных, аппаратные средства

В настоящее время на российском рынке доминирует только один производитель подобного оборудования — компания ACELab, которая производит аппаратные средства для анализа, диагностики и восстановления жестких дисков (комплексы PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS), SSD накопителей (комплекс PC-3000 SSD), флеш-накопителей (комплекс PC-3000 Flash), RAID (комплексы PC-3000 Express RAID, PC-3000 UDMA RAID, PC-3000 SAS RAID). Доминирование ACELab на рынке аппаратных решений по восстановлению данных обусловлено высоким качеством вышеперечисленных продуктов и ценовой политикой ACELab, которая не позволяет конкурентам войти на этот рынок.

Восстановление данных, программные средства

Несмотря на большое количество различных программ восстановления, как платных, так и бесплатных, очень трудно найти программу, которая бы корректно и полно производила восстановление различных типов файлов в разнообразных файловых системах. На сегодняшний день существуют только две программы, обладающие примерно одинаковым функционалом, которые позволяют это делать: R-Studio и UFS Explorer. Тысячи программ восстановления иных производителей либо не дотягивают по своим функциональным возможностям до указанных программ, либо существенно уступают им.

Открытое программное обеспечение

Autopsy — удобный инструмент для анализа компьютеров под управлением операционной системы Windows и мобильных устройств под управлением операционной системы Android. Имеет графический интерфейс. Может быть использован при расследовании компьютерных инцидентов.

Photorec — одна из лучших бесплатных программ для восстановления данных. Хорошая бесплатная альтернатива платным аналогам.

Eric Zimmerman Tools – комплект бесплатных утилит, каждая из которых позволяет исследовать какой-то отдельный артефакт Windows. Как показала практика, использование Eric Zimmerman Tools повышает эффективность работы специалиста при реагировании на инцидент в «полевых условиях». В настоящее время, эти утилиты доступны в виде пакета программ — Kroll Artifact Parser and Extractor (KAPE).

Дистрибутивы на основе Linux

SIFT — Linux-дистрибутив, разработанный и поддерживаемый коммерческой организацией SANS Institute, которая специализирующаяся на обучении специалистов в области кибербезопасности и расследовании инцидентов. SIFT содержит большое количество актуальных версий бесплатных программ, которые могут быть использованы как для извлечения данных из различных источников, так и для их анализа. SIFT используется в рамках проводимых компанией обучений, и его содержимое постоянно актуализируется. Удобство работы определяется конкретным инструментом, находящемся в данном дистрибутиве, с которым приходится работать исследователю.

Kali Linux – уникальный Linux-дистрибутив, который используется специалистами как для проведения аудита безопасности, так и для проведения расследований. В 2017 году издательство «Packt Publishing» опубликовало книгу Шива В.Н. Парасрама (Shiva V. N Parasram) «Digital Forensics with Kali Linux». В данной книге приводятся советы о том, как проводить копирование, исследование и анализ компьютеров, отдельных накопителей, копий данных из оперативной памяти и сетевого траффика с помощью утилит, входящих в этот комплект.

Подведем итог

Это исследование является результатом моего эмпирического опыта работы с описанным аппаратным и программным обеспечением, применяемых в ходе криминалистического исследования компьютерной техники и мобильных устройств. Надеюсь, что изложенные сведения будут полезны специалистам, планирующим приобретать программы и аппаратные средства для проведения компьютерной криминалистики и расследования инцидентов.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

Если iOS-девайсы выпускает лишь корпорация Apple, то мобильные устройства на Android — просто колоссальное число производителей. Поэтому и способов извлечения данных несколько. Если ты читал мою статью про мобильную криминалистику Apple-девайсов (ссылка выше), то знаешь, что эти самые способы делятся на три группы: извлечение на логическом уровне, извлечение на уровне файловой системы и извлечение на физическом уровне. И сейчас мы подробно разберем каждый из способов.

WARNING

Статья адресована специалистам по безопасности и тем, кто собирается ими стать. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Извлечение данных на логическом уровне

Разумеется, наиболее простой способ логического извлечения — пресловутое резервное копирование посредством Android Debug Bridge. Сделать это довольно легко — достаточно активировать в настройках устройства отладку по USB, подключить его к компьютеру и воспользоваться следующей командой:

Чтобы побороть такую несправедливость, разработчики криминалистического программного обеспечения, например Oxygen Software и Magnet Forensics, включают в свои инструменты так называемые приложения-агенты, которые устанавливаются на целевое устройство и позволяют извлечь вожделенные базы данных. Например, mmssms.db, как несложно догадаться, содержит сведения о переданных и полученных SMS и MMS. Как ты уже понял, зачастую форензик-софтом для логического извлечения используется все тот же ADB, а полученный бэкап распаковывается и обогащается данными, извлеченными приложением-агентом. Кстати, если ты хочешь сам распаковать такой бэкап, то благодаря опенсорсному инструменту adbextractor ты можешь с легкостью это сделать:

В результате получишь tar-архив с содержимым твоего ADB-бэкапа.

Извлечение данных на уровне файловой системы

Так как в последнее время, особенно с выходом Android Nougat, смартфоны с шифрованием перестали быть редкостью, этот способ извлечения данных наиболее приемлем. Как ты наверняка знаешь, просто так получить полный доступ к файловой системе пользовательского раздела нельзя, для этого нужны права суперпользователя. На этом подробно останавливаться я не буду. Уверен, в твоем арсенале найдется с десяток инструментов, позволяющих получить заветный root-доступ на Android-девайсе (а если нет, советую изучить материал по этой ссылке, ну и Гугл тебе в помощь).

Как понимаешь, это не самый гуманный способ, особенно если говорить о мобильной криминалистике, ведь он оставляет массу следов в памяти устройства, например добавит приложение SuperSU, а в случае KingoRoot и еще парочку бесполезных приложений. Тем не менее временами приходится использовать и такие сомнительные методы: здесь главное — все тщательно документировать. Разумеется, не все root-методы одинаково вредны, иногда можно получить временный root-доступ, который вполне себе криминалистически правильный.

Есть и более приемлемый способ — так называемый Nandroid-бэкап. Здесь на помощь криминалисту приходят всевозможные кастомные рекавери-прошивки, например TWRP. Кстати, ребята из Oxygen Software сделали свои собственные, очищенные от всевозможного мусора и максимально приближенные к криминалистическим стандартам, о них мы поговорим позже, когда займемся извлечением данных на физическом уровне.

Вернемся к TWRP и Nandroid. Такой бэкап, в отличие от пресловутого ADB, позволяет сделать практически точную копию состояния твоего Android-девайса в определенный момент времени, а это значит, что абсолютно все данные приложений достанутся криминалистам. И да, сложный графический пароль твои данные едва ли спасет. А вот заблокированный загрузчик очень даже может, так как в этом случае прошить кастомное рекавери едва ли получится. Такие смартфоны очень расстраивают криминалистов, уж поверь мне.

Итак, что же нам понадобится для создания Nandroid-бэкапа? Рассмотрим на примере самых распространенных Android-девайсов — тех, что произведены группой компаний Samsung. Во-первых, нужен подходящий образ рекавери, его можно найти на официальном сайте TWRP. Во-вторых, свеженькая (а иногда и не очень свеженькая) версия Odin — он-то и позволит залить прошивку в смартфон.

Продолжение доступно только участникам

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Современного человека трудно представить без гаджета в кармане. Это значит, что мобильные устройства представляют особый интерес для криминалистов и злоумышленников, которые пытаются добраться до сохранённой там информации. Мы проанализировали эффективность «софта» для извлечения данных из мобильных устройств.

Введение

В криминалистике мобильных устройств можно выделить три основных проблемы.

Первая — извлечение информации (рекомендуем ознакомиться со статьёй «Сheckm8, или новые горизонты извлечения данных из iPhone»). Производители мобильных устройств, заботясь о безопасности данных их владельцев, пытаются максимально затруднить процесс извлечения каких-либо конфиденциальных сведений. Это приводит в том числе к ситуациям, когда сам владелец устройства утрачивает доступ к своим данным, забыв пароль, или к таким грустным моментам, когда жена не может извлечь памятные ей семейные фотографии из телефона погибшего мужа. Процедуры же восстановления информации из заблокированных мобильных устройств могут стоить в разы больше, чем сами гаджеты. Эксперты тратят много времени и усилий на то, чтобы преодолеть защитные механизмы, и всё чаще такие попытки заканчиваются неудачей.

Третья проблема — объёмы данных, хранящихся в мобильных устройствах, стремительно догоняют (а в отдельных случаях — и перегоняют) ёмкости накопителей ноутбуков и настольных компьютерных систем. Как пример можно сравнить ноутбук MacBook Air, имеющий встроенный накопитель объёмом 128 ГБ, и смартфоны iPhone, в которых бывает внутренний накопитель ёмкостью 256 ГБ или 512 ГБ. Поэтому мало извлечь данные из мобильного устройства: нужно ещё качественно и быстро произвести их анализ.

В этой статье будет дано простое обзорное сравнение наиболее популярных утилит для мобильной криминалистики. Мы оценили время, затрачиваемое на анализ данных различными утилитами, и рассмотрели то, какие типы артефактов и в каком количестве при этом извлекаются.

Объекты тестирования

Для тестирования использовались два криминалистических образа, содержащих типичные данные для наиболее распространённых мобильных устройств — под управлением операционных систем Android и iOS.

Первый объект тестирования — это образ мобильного устройства (полная копия памяти, называемая также «физический дамп»), работающего под управлением ОС Android 8. Этот образ представляет собой несжатую бинарную копию информации во флеш-памяти устройства. Размер образа — 32 ГБ. Эта копия общедоступна; вы можете использовать её как для проверки полученных результатов, так и для собственных тестов.

Второй объект тестирования — копия файловой системы смартфона iPhone SE, который работал под управлением операционной системы iOS 13.3.1. Объём файла — 8,3 ГБ. Эта копия мобильного устройства также является общедоступной.

Тестированию подвергались типовые программные комплексы: AXIOM версии 4.0.1.19617 (Magnet Forensics), UFED Physical Analyzer версии 7.31.0.222 (Cellebrite), Belkasoft Evidence Center версии 9.9800.4963 (ООО «Белкасофт»), XRY версии 8.2.0 (Micro Systemation AB).

Для тестирования использовался стенд, содержавший следующие основные компоненты (табл. 1).

Таблица 1. Основные компоненты стенда

Этап 1. Оценка времени

На первом этапе оценивалось время, которое тратит та или иная тестируемая программа на обработку двух описанных выше образов. Так как некоторые из рассматриваемых инструментов имеют возможность выбора того, что именно следует обрабатывать, использовались настройки по умолчанию — т. е. тот режим работы программы, который применял бы обычный человек, не желающий тратить время на конфигурирование дополнительных параметров по анализируемым данным. Результаты тестов приведены в табл. 2.

Таблица 2. Скорость обработки криминалистических образов

Как видно из таблицы, в этом тесте фаворитом оказалась программа UFED Physical Analyzer. Второе место заняла утилита XRY. Необычно большое время на анализ образа Android затратила программа Belkasoft Evidence Center: её предыдущая версия (9.7.4265) провела исследование того же дампа за 3 минуты и 41 секунду. Будем надеяться, что разработчики программы оперативно устранят эту проблему.

Может быть, высокая скорость обработки данных связана с тем, что программы извлекли данные не в полном объёме? Оценим полученные результаты.

Этап 2. Оценка результатов анализа

Результаты анализа образа Android-устройства

Безусловными лидерами по извлечению артефактов из этого образа оказались Belkasoft Evidence Center и AXIOM. Другие программы добыли существенно меньше данных.

Рисунок 1. Артефакты, извлечённые Belkasoft Evidence Center

Рисунок 2. Артефакты, извлечённые AXIOM

Результаты анализа образа iPhone SE

Фаворитом этой части сравнения оказалась программа AXIOM. Она не только извлекла больше важных данных, но ещё и дополнила их огромным количеством системных артефактов, которые могут помочь исследователю понять, как функционировало устройство.

Рисунок 3. Артефакты, извлечённые AXIOM

Рисунок 4. Артефакты, извлечённые UFED Physical Analyzer

Второе место в анализе TAR-файла заняла программа UFED Physical Analyzer. Она извлекла такие категории артефактов, как «Действие» и «Местоположение».

Выводы

Как показало проведённое тестирование, получаемые в ходе исследования мобильных устройств результаты необходимо проверять, так как они могут отличаться при анализе одних и тех же исходных данных с помощью различных программных комплексов для мобильной криминалистики.

Из результатов следует, что наиболее сбалансированной программой для анализа данных, извлечённых из мобильных устройств (по соотношению количества артефактов и времени, затраченного на анализ), является программа AXIOM. Этот программный комплекс добывает не только важные материалы наподобие документов или истории чатов в мессенджерах, но и много другой технической информации, которая будет полезна исследователю.

Программа, естественно, только для Windows, поэтому Parallels Desktop и в данном случае будет нашим другом.

Вообще, лучше использовать получение данных с устройства, так как это позволяет расшифровать файл паролей, но в остальном оба метода идентичны. Извлечение данных осуществляется с помощью визарда, который выяснит у вас все данные. Поскольку программа предназначена для использования в первую очередь органами следствия — можно задать разную служебную информацию. Также стоит задать номер телефона владельца этого устройства, это позволяет Oxygen Forensic Suite сопоставлять данные нескольких дампов, отслеживая зависимости между их владельцами.

Вот фактически тоже самое в виде удобной диаграммы с разбитием на первый и второй круг общения. Это позволяет четко определить наиболее близких знакомых владельца телефона.

Кое-что о владельце может сказать содержимое словаря, которое также анализируется и показывается.

В программе есть много способов представления данных. Вот так, например, выглядит представление в виде временной шкалы. Вы можете сами убедиться, сколько информации о вас хранит телефон.

Тут есть группировка по видам данных, например, сетевые соединения.

В общем, как видите, безопасность мобильных устройств вещь очень хрупкая и эфемерная. Теперь со спокойной совестью можно переходить и к интервью.

Кому (кроме спецслужб и МВД, разумеется) может быть полезна эта программа?
Всем law enforcement организациям плюс тем компаниям, которые обеспокоены сохранением коммерческой тайны. Частные компании часто используют OFS для контроля общения своих сотрудников, а также для поиска утечек информации, представляющей коммерческую тайну.

Отличаются ли разные мобильные платформы в бережности отношения к пользовательским данным? Кто лучше в этом, кто хуже?
Конечно отличаются. Лучше всех пока дела обстоят у Windows Phone 7 и Blackberry. В Blackberry вообще такие богатые настройки security, что при правильном их использовании шансов извлечь что-то из аппарата нет. Хуже всех с приватностью дела у Android и Symbian. Apple где-то посередине: они стараются закрывать всё по максимуму, но благодаря популярности платформы, хакеры находят всё новые дыры, позволяющие обойти систему безопасности.

Как по-вашему, насколько аккуратно Apple подходит к конфиденциальности пользователей?
Apple делает всё возможное. Но тут дело не только в Apple, а ещё и в авторах 3rd party applications. Мы на тренингах показываем — какие данные хранят и, мало того, помещают в iTunes Backup некоторые приложения. Доходит до хранения логинов и паролей в открытом текстовом виде. Очень смешно.

Можно ли как-то защититься от исследования телефона? Есть ли какие-то общие советы?
Полностью себя обезопасить — нет, нельзя. Меня приглашали в Metropolitan Police (самое крупное полицеское управления Великобритании) и демонстрировали устройство наподобие эдакого станка, которое умеет снимать данные напрямую с чипов памяти мобильных устройств, даже частично повреждённых. Так что тут всё зависит от важности данных, которые люди хранят у себя в мобильнике. Кому-то и разбивание/утопление телефона не поможет, а кому-то достаточно будет простого пароля.

Спасибо за интервью!

Подводя итог, хочу еще раз призвать читателей задуматься: какие данные вы доверяете телефону и насколько они ценны. Потому что, если ценность данных превысит стоимость их извлечения, можете считать, что желающий эти данные добыть обязательно найдется.

Читайте также: