К списку уроков

Урок 9. Forensic

Онлайн и в Б-835, 4 декабря (четверг), 15:15

Форензика — это область знаний, занимающаяся сбором, анализом и представлением цифровых доказательств для расследования киберпреступлений или других инцидентов.

Часть 1: Стеганография (Steganography)

Стеганография — это искусство и наука скрытия факта передачи информации. В отличие от криптографии, где сообщение нечитаемо, но мы видим, что оно зашифровано, в стеганографии файл выглядит как обычная картинка или аудиозапись, но внутри спрятан секрет.

Основные методы скрытия

1. LSB (Least Significant Bit) — Метод наименее значащего бита

Это самый популярный метод в CTF для изображений и аудио.

  • Как это работает: Каждый пиксель состоит из 3 цветов (RGB), каждый цвет — это байт (8 бит). Если изменить самый младший (последний) бит, цвет изменится настолько незначительно, что человеческий глаз этого не заметит.

  • Атака: Мы извлекаем последние биты каждого байта и собираем их в новый поток данных (текст или файл).

  • Вместимость: В картинке 200x200 пикселей можно спрятать около 14 Кбайт данных.

2. Скрытие в метаданных (EXIF)

Файлы (особенно фото) содержат служебную информацию: модель камеры, дату съемки, GPS-координаты.

  • CTF вектор: Флаг часто прячут в полях Comment, Artist или Description. Всегда проверяйте метаданные первым делом!

3. Concatenation (Склейка файлов)

Файлы имеют структуру. Например, картинка JPEG всегда заканчивается байтами FF D9. Всё, что идет после этих байтов, не отображается при просмотре, но физически находится в файле.

  • Атака: Использование утилит типа binwalk для поиска скрытых файлов внутри "контейнера".

4. Аудио-стеганография

  • Спектрограмма: Изображение кодируется в частоты звука. Если открыть такой файл в спектральном анализаторе (например, Audacity), вы увидите нарисованный звуком флаг или картинку.

  • LSB в аудио: Аналогично картинкам, но меняются биты в сэмплах амплитуды.

Часть 2: Цифровая криминалистика (Digital Forensics)

Форензика — наука о поиске, восстановлении и анализе данных для расследования инцидентов. Главный принцип: «Любое действие оставляет след».

Основные направления

1. Network Forensics (Анализ трафика)

Вам дают файл .pcap (dump трафика).

  • Что ищем:

    • Переданные файлы (картинки, zip-архивы).

    • Незашифрованные данные (HTTP, FTP, Telnet) — логины и пароли часто передаются в открытом виде.

    • Странные DNS-запросы (туннелирование данных).

  • Инструмент: Wireshark.

2. Disk Forensics (Анализ жестких дисков)

Вам дают образ диска (файлы .img, .dd, .iso).

  • Что ищем:

    • Удаленные файлы (они не стираются сразу, удаляется только запись в таблице файлов).

    • Историю браузера, Cookies, сохраненные пароли.

    • Системные логи и реестр (Windows Registry) — кто входил, какие флешки вставляли.

  • Инструмент: Autopsy, FTK Imager.

3. Memory Forensics (Анализ оперативной памяти)

Вам дают дамп ОЗУ (Memory Dump). Это "снимок" того, что компьютер обрабатывал в конкретную секунду.

  • Что ищем:

    • Список запущенных процессов (даже скрытых руткитами).

    • Содержимое буфера обмена (Clipboard) — пароли, которые скопировал пользователь.

    • Историю командной строки (cmd, bash).

    • Скриншоты рабочего стола, которые ОС кэширует в памяти.

  • Инструмент: Volatility Framework.

Часть 3: Теория, которую нужно знать (Magic Bytes)

Это база для обеих категорий. Компьютер определяет тип файла не по расширению (.jpg), а по сигнатуре (Magic Bytes) в начале файла.

Таблица популярных сигнатур:

Формат

Magic Bytes (Hex)

PNG

89 50 4E 47 ...

JPG

FF D8 ...

ZIP

50 4B 03 04 ...

CTF Trick: Если файл не открывается, посмотрите его в Hex-редакторе. Возможно, хакер испортил "магические байты", и вам нужно их восстановить вручную.

Часть 4: Инструментарий (Toolkit)

Для Стеганографии:

  • strings (Linux): Показывает весь читаемый текст в файле. Самый первый шаг!

  • exiftool: Чтение метаданных.

  • binwalk: Поиск и извлечение файлов, спрятанных внутри других (матрешка).

  • zsteg: Автоматический перебор LSB для PNG/BMP.

  • steghide: Классическая утилита для JPEG/WAV (нужен пароль или брутфорс).

  • Sonic Visualiser / Audacity: Для просмотра спектрограмм аудио.

Для Форензики:

  • Wireshark: Анализ сетевого трафика.

  • Volatility: Анализ дампов оперативной памяти.

  • Autopsy / TestDisk: Анализ образов дисков и восстановление удаленных файлов.

  • Hex Editor (например, HxD): Ручная правка байтов файла.

Часть 5: Методология решения

  1. Осмотр:

    • Какой тип файла? (file task)

    • Есть ли читаемые строки? (strings task | grep flag)

    • Что в метаданных? (exiftool task)

  2. Анализ содержимого:

    • Если картинка: нет ли искажений цвета? (LSB)

    • Если архив: не просит ли пароль? (ZipCracker)

    • Если дамп памяти: какой профиль системы? (volatility imageinfo)

  3. Извлечение:

    • Есть ли вклеенные файлы? (binwalk -e task)

    • Если это трафик: File -> Export Objects в Wireshark.

Полезные материалы

  • Aperisolve: Онлайн-комбайн для стеганографии картинок. Делает всё сразу (zsteg, steghide, exiftool).

    • Ссылка: aperisolve.com

  • CyberChef: "Швейцарский нож" для декодирования данных.

    • Ссылка: gchq.github.io/CyberChef

  • Forensics Wiki: Огромная база знаний по форензике.

    • Ссылка: forensicswiki.xyz

  • Trail of Bits CTF Guide: Отличный гайд по форензике.